Decyzja wykonawcza 2021/1772 na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679, stwierdzająca odpowiedni stopień ochrony danych osobowych przez Zjednoczone Królestwo

(Tekst mający znaczenie dla EOG)

(Dz.U.UE L z dnia 11 października 2021 r.)

KOMISJA EUROPEJSKA,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,

uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) 2 , w szczególności jego art. 45 ust. 3,

a także mając na uwadze, co następuje:

1. WPROWADZENIE

(1) W rozporządzeniu (UE) 2016/679 określono zasady dotyczące przekazywania danych osobowych przez administratorów danych lub podmioty przetwarzające w Unii Europejskiej do państw trzecich i organizacji międzynarodowych w zakresie, w jakim takie przekazywanie wchodzi w zakres stosowania rozporządzenia. Zasady dotyczące międzynarodowego przekazywania danych określono w rozdziale V rozporządzenia, tj. w art. 44-50. Chociaż przepływ danych osobowych do państw spoza Unii Europejskiej oraz z takich państw jest niezbędnym warunkiem rozwoju współpracy międzynarodowej i handlu transgranicznego, przekazywanie danych osobowych do państw trzecich nie może obniżać stopnia ochrony zapewnianego tym danym w Unii Europejskiej 3 .

(2) Na podstawie art. 45 ust. 3 rozporządzenia (UE) 2016/679 Komisja może w drodze aktu wykonawczego przyjąć decyzję stwierdzającą, że państwo trzecie, terytorium lub określony sektor lub określone sektory w tym państwie trzecim lub organizacja międzynarodowa zapewniają odpowiedni stopień ochrony. Przy spełnieniu tego warunku przekazanie danych osobowych do państwa trzeciego może nastąpić bez konieczności uzyskania jakiegokolwiek dodatkowego zezwolenia, jak przewidziano w art. 45 ust. 1 i motywie 103 rozporządzenia.

(3) Jak określono w art. 45 ust. 2 rozporządzenia (UE) 2016/679, przy przyjmowaniu decyzji stwierdzającej odpowiedni stopień ochrony należy opierać się na wszechstronnej analizie porządku prawnego państwa trzeciego, obejmującej zarówno jego przepisy dotyczące podmiotów odbierających dane, jak i ograniczenia oraz zabezpieczenia w zakresie dostępu organów publicznych do danych osobowych. W swojej ocenie Komisja musi ustalić, czy dane państwo trzecie daje gwarancje zapewniające stopień ochrony "zasadniczo odpowiadający" stopniowi ochrony zapewnianemu w Unii Europejskiej (motyw 104 rozporządzenia (UE) 2016/679). Oceny spełnienia tego warunku dokonuje się według standardu ustanowionego w przepisach Unii Europejskiej, w szczególności w rozporządzeniu (UE) 2016/679, a także w orzecznictwie Trybunału Sprawiedliwości Unii Europejskiej 4 . Istotne znaczenie w tym zakresie mają również wytyczne dotyczące odpowiedniego stopnia ochrony przekazywanych danych osobowych zatwierdzone przez Europejską Radę Ochrony Danych (EROD) 5 .

(4) Jak wyjaśnił w swoim orzecznictwie Trybunał Sprawiedliwości Unii Europejskiej, nie oznacza to konieczności stwierdzenia identycznego stopnia ochrony 6 . W szczególności środki, z jakich korzysta dane państwo trzecie do zapewnienia ochrony danych osobowych, mogą różnić się od środków wprowadzonych w Unii Europejskiej, o ile w praktyce skutecznie zapewniają wysoki stopień ochrony 7 . W związku z powyższym odpowiedni standard ochrony można osiągnąć bez konieczności dokładnego powielenia przepisów unijnych. Przy określaniu odpowied- niości chodzi raczej o stwierdzenie, czy biorąc pod uwagę istotę prawa do ochrony danych oraz jego skuteczne wprowadzenie w życie, egzekwowanie i nadzór nad jego przestrzeganiem, konkretny zagraniczny system zapewnia jako całość wymagany stopień ochrony 8 .

(5) Komisja uważnie przeanalizowała prawo i praktykę Zjednoczonego Królestwa. Na podstawie ustaleń przedstawionych w motywach 8-270 Komisja stwierdza, że Zjednoczone Królestwo zapewnia odpowiedni stopień ochrony danych osobowych przekazywanych w ramach zakresu stosowania rozporządzenia (UE) 2016/679 z Unii Europejskiej do Zjednoczonego Królestwa.

(6) Wniosek ten nie dotyczy danych osobowych przekazywanych do celów kontroli imigracji w Zjednoczonym Królestwie ani danych, które z innego względu wchodzą w zakres wyłączenia niektórych praw osób, których dane dotyczą, do celów utrzymania skutecznej kontroli imigracyjnej ("wyłączenie dotyczące imigracji") zgodnie z pkt 4 ppkt 1 załącznika 2 do brytyjskiej ustawy o ochronie danych. Ważność i wykładnia zwolnienia imigracyjnego na mocy prawa Zjednoczonego Królestwa nie została rozstrzygnięta w następstwie orzeczenia sądu apelacyjnego Anglii i Walii z dnia 26 maja 2021 r. Uznając, że prawa osób, których dane dotyczą, mogą co do zasady zostać ograniczone do celów kontroli imigracyjnej, co stanowi "istotny aspekt interesu publicznego", sąd apelacyjny stwierdził, że zwolnienie imigracyjne w obecnej postaci jest niezgodne z prawem Zjednoczonego Królestwa, ponieważ ten środek ustawodawczy nie zawiera szczegółowych przepisów określających zabezpieczenia wymienione w art. 23 ust. 2 ogólnego rozporządzenia o ochronie danych Zjednoczonego Królestwa (RODO UK) 9 . W tej sytuacji przekazywanie z Unii do Zjednoczonego Królestwa danych osobowych, do których może mieć zastosowanie wyłączenie imigracyjne, należy wyłączyć z zakresu niniejszej decyzji 10 . Gdy niezgodność z prawem Zjednoczonego Królestwa zostanie usunięta, należy ponownie ocenić wyłączenie dotyczące imigracji, a także potrzebę utrzymania ograniczenia zakresu stosowania niniejszej decyzji.

(7) Niniejsza decyzja nie powinna mieć wpływu na bezpośrednie stosowanie rozporządzenia (UE) 2016/679 w odniesieniu do organizacji mających siedzibę w Zjednoczonym Królestwie, jeżeli spełnione są warunki dotyczące terytorialnego zakresu stosowania tego rozporządzenia, określone w jego art. 3.

2. PRZEPISY MAJĄCE ZASTOSOWANIE DO PRZETWARZANIA DANYCH OSOBOWYCH

2.1. Ramy konstytucyjne

(8) Zjednoczone Królestwo jest demokracją parlamentarną, w której głową państwa jest suweren konstytucyjny. W państwie tym istnieje suwerenny parlament, który jest nadrzędny wobec wszystkich innych instytucji rządowych, władza wykonawcza wywodząca się z parlamentu i przed nim odpowiedzialna oraz niezależna władza sądownicza. Legitymacja władzy wykonawczej wywodzi się z jej zdolności do zdobycia zaufania wybieranej Izby Gmin; władza wykonawcza jest odpowiedzialna przed obiema izbami parlamentu odpowiadającymi za nadzorowanie rządu oraz za debatowanie nad ustawami i ich uchwalanie.

(9) Parlament Zjednoczonego Królestwa przekazał Parlamentowi Szkockiemu, Zgromadzeniu Narodowemu Walii (Senedd Cymru) oraz Zgromadzeniu Irlandii Północnej odpowiedzialność za stanowienie prawa w kwestiach krajowych w Szkocji, Walii i Irlandii Północnej, których Parlament Zjednoczonego Królestwa nie zastrzegł dla siebie. Chociaż ochrona danych jest kwestią zastrzeżoną, tj. w całym państwie obowiązują te same przepisy, inne obszary polityki istotne dla niniejszej decyzji są zdecentralizowane. Na przykład zwierzchnictwo nad systemami sądownictwa karnego, w tym nad policją, w Szkocji i Irlandii Północnej zostało powierzone odpowiednio Parlamentowi Szkockiemu i Zgromadzeniu Irlandii Północnej. Zjednoczone Królestwo nie posiada skodyfikowanej konstytucji w postaci spisanej ustawy zasadniczej. Zasady konstytucyjne kształtowały się w miarę upływu czasu i wywodzą się w szczególności z orzecznictwa i zwyczaju. Wartość konstytucyjna niektórych ustaw, takich jak Wielka Karta Swobód, ustawa o prawach z 1689 r. i ustawa o prawach człowieka z 1998 r., została uznana przez sądy. Prawa podstawowe osób fizycznych ukształtowano, jako element konstytucji, poprzez prawo precedensowe (common law), wspomniane ustawy oraz traktaty międzynarodowe, w szczególności europejską konwencję praw człowieka, którą Zjednoczone Królestwo ratyfikowało w 1951 r. W 1987 r. Zjednoczone Królestwo ratyfikowało również Konwencję Rady Europy o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych (konwencja nr 108) 11 .

(10) Ustawą o prawach człowieka z 1998 r. wprowadzono prawa zawarte w europejskiej konwencji praw człowieka do prawa Zjednoczonego Królestwa. Ustawa o prawach człowieka zapewnia każdej osobie fizycznej podstawowe prawa i wolności przewidziane w art. 2-12 i 14 europejskiej konwencji praw człowieka, art. 1, 2 i 3 pierwszego protokołu do niej oraz art. 1 trzynastego protokołu do niej w związku z art. 16, 17 i 18 tej konwencji. Należą do nich prawo do poszanowania życia prywatnego i rodzinnego (i prawo do ochrony danych jako element tego prawa) oraz prawo do rzetelnego procesu sądowego 12 . W szczególności na podstawie art. 8 tej konwencji władza publiczna może ingerować w korzystanie z prawa do prywatności wyłącznie w przypadkach przewidzianych przez ustawę i koniecznych w demokratycznym społeczeństwie z uwagi na bezpieczeństwo państwowe, bezpieczeństwo publiczne lub dobrobyt gospodarczy kraju, ochronę porządku i zapobieganie przestępstwom, ochronę zdrowia i moralności lub ochronę praw i wolności osób.

(11) Zgodnie z ustawą o prawach człowieka z 1998 r. wszelkie działania władzy publicznej muszą być zgodne z prawem określonym w konwencji 13 . Ponadto akty ustawowe i wykonawcze muszą być interpretowane i stosowane w sposób zgodny z prawami określonymi w konwencji 14 .

2.2. Ramy ochrony danych obowiązujące w Zjednoczonym Królestwie

(12) Zjednoczone Królestwo wystąpiło z Unii Europejskiej w dniu 31 stycznia 2020 r. Na podstawie Umowy o wystąpieniu Zjednoczonego Królestwa Wielkiej Brytanii i Irlandii Północnej z Unii Europejskiej i Europejskiej Wspólnoty Energii Atomowej 15  prawo Unii nadal miało zastosowanie w Zjednoczonym Królestwie w okresie przejściowym do dnia 31 grudnia 2020 r. Przed wystąpieniem i w okresie przejściowym ramy prawne dotyczące ochrony danych osobowych w Zjednoczonym Królestwie składały się z odpowiednich przepisów UE (w szczególności rozporządzenia (UE) 2016/679 i dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/680 16 ) oraz ustawodawstwa krajowego, zwłaszcza ustawy o ochronie danych z 2018 r. (Data Protection Act 2018, "DPA 2018") 17 , która przewidywała przepisy krajowe doprecyzowujące i ograniczające stosowanie przepisów rozporządzenia (UE) 2016/679 (w przypadkach dozwolonych na mocy tego rozporządzenia) oraz transponujące dyrektywę (UE) 2016/680.

(13) Aby przygotować się do wystąpienia z UE, rząd Zjednoczonego Królestwa przyjął Ustawę o wystąpieniu z Unii Europejskiej z 2018 r. 18 , która wprowadza do prawa Zjednoczonego Królestwa przepisy Unii mające bezpośrednie zastosowanie 19 . To tzw. "pozostające w mocy prawo Unii" obejmuje rozporządzenie (UE) 2016/679 w całości (włącznie z motywami) 20 . Zgodnie z tym aktem sądy Zjednoczonego Królestwa muszą dokonywać wykładni tego niezmienionego, pozostającego w mocy prawa Unii zgodnie ze stosownym orzecznictwem Trybunału Sprawiedliwości i ogólnymi zasadami prawa Unii obowiązującymi bezpośrednio przed zakończeniem okresu przejściowego (zwanymi odpowiednio "pozostającym w mocy orzecznictwem UE" i "pozostającymi w mocy ogólnymi zasadami prawa Unii") 21 .

(14) Zgodnie z Ustawą o wystąpieniu z Unii Europejskiej z 2018 r. ministrowie Zjednoczonego Królestwa są uprawnieni do uchwalania przepisów wykonawczych w drodze aktów zwanych statutory instruments, aby wprowadzać niezbędne zmiany w pozostającym w mocy prawie Unii Europejskiej w następstwie wystąpienia Zjednoczonego Królestwa z Unii Europejskiej. Uprawnienie to wykonali za pomocą rozporządzenia w sprawie ochrony danych, prywatności i łączności elektronicznej wprowadzającego zmiany w związku z wyjściem z UE z 2019 r. (rozporządzenie w sprawie ochrony danych, prywatności i łączności elektronicznej) 22 . Rozporządzeniem tym zmieniono rozporządzenie (UE) 2016/679 wprowadzone do prawa Zjednoczonego Królestwa Ustawą o wystąpieniu z Unii Europejskiej z 2018 r., DPA 2018 oraz inne ustawodawstwo w dziedzinie ochrony danych w celu dostosowania ich do kontekstu krajowego 23 .

(15) W związku z tym po zakończeniu okresu przejściowego ramy prawne dotyczące ochrony danych osobowych w Zjednoczonym Królestwie obejmują:

- RODO UK, wprowadzone do prawa Zjednoczonego Królestwa na mocy Ustawy o wystąpieniu z Unii Europejskiej z 2018 r. i zmienione rozporządzeniem w sprawie ochrony danych, prywatności i łączności elektronicznej 24 , oraz

- DPA 2018 25 , zmieniona rozporządzeniem w sprawie ochrony danych, prywatności i łączności elektronicznej.

(16) Ponieważ RODO UK opiera się na przepisach UE, przepisy o ochronie danych w Zjednoczonym Królestwie w wielu aspektach ściśle odzwierciedlają odpowiednie przepisy mające zastosowanie w Unii Europejskiej.

(17) Oprócz uprawnień przyznanych Sekretarzowi Stanu na mocy Ustawy o wystąpieniu z Unii Europejskiej z 2018 r. w kilku przepisach DPA 2018 przyznano Sekretarzowi Stanu uprawnienia do przyjęcia przepisów wykonawczych w celu zmiany niektórych przepisów ustawy lub przyjęcia przepisów uzupełniających i dodatkowych 26 . Dotychczas Sekretarz Stanu wykonywał wyłącznie uprawnienie wynikające z art. 137 DPA 2018 do przyjęcia rozporządzenia zmieniającego w sprawie opłat i informacji dotyczących ochrony danych z 2019 r., określającego okoliczności, w których administratorzy danych są zobowiązani do uiszczenia rocznej opłaty na rzecz niezależnego organu ochrony danych Zjednoczonego Królestwa - Komisarza ds. Informacji.

(18) Ponadto dalsze wytyczne dotyczące ustawodawstwa Zjednoczonego Królestwa w dziedzinie ochrony danych przedstawiono w kodeksach postępowania i innych wytycznych przyjętych przez Komisarza ds. Informacji. Chociaż formalnie wytyczne te nie są prawnie wiążące, mają znaczenie dla wykładni i przedstawiają, w jaki sposób ustawodawstwo w dziedzinie ochrony danych ma zastosowanie i jest egzekwowane przez Komisarza w praktyce. W szczególności w art. 121-125 DPA 2018 nałożono na Komisarza obowiązek opracowania kodeksów postępowania dotyczących udostępniania danych, marketingu bezpośredniego, projektowania dostosowanego do wieku oraz ochrony danych i dziennikarstwa.

(19) Pod względem struktury i głównych elementów ramy prawne Zjednoczonego Królestwa mające zastosowanie do danych przekazywanych na podstawie niniejszej decyzji są zatem bardzo podobne do ram obowiązujących w Unii Europejskiej. Jest to związane z faktem, że ramy takie opierają się nie tylko na zobowiązaniach ustanowionych w prawie krajowym, które zostało ukształtowane przez prawo Unii, ale również na zobowiązaniach zapisanych w prawie międzynarodowym, w szczególności w rezultacie przystąpienia przez Zjednoczone Królestwo do europejskiej konwencji praw człowieka i konwencji nr 108, a także poddania się jurysdykcji Europejskiego Trybunału Praw Człowieka. W związku z tym wspomniane zobowiązania wynikające z prawnie wiążących instrumentów międzynarodowych, dotyczące zwłaszcza ochrony danych osobowych, stanowią szczególnie ważny element ram prawnych będących przedmiotem oceny w niniejszej decyzji.

2.3. Zakres przedmiotowy i terytorialny

(20) Podobnie do rozporządzenia (UE) 2016/679 RODO UK ma zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany lub do przetwarzania w sposób inny niż zautomatyzowany, jeżeli dane osobowe stanowią część zbioru danych 27 . Definicje pojęć "dane osobowe", "osoba, której dane dotyczą" i "przetwarzanie" w RODO UK są takie same jak definicje tych pojęć w rozporządzeniu (UE) 2016/679 28 . Ponadto RODO UK ma zastosowanie do ręcznego przetwarzania nieusystematyzowanych danych osobowych 29  przechowywanych przez niektóre organy publiczne Zjednoczonego Królestwa 30 , chociaż zasady i prawa określone w RODO UK, które nie są związane z takimi danymi osobowymi, nie mają już zastosowania na mocy art. 24 i 25 DPA 2018. Podobnie do zakresu rozporządzenia (UE) 2016/679 RODO UK nie ma zastosowania do przetwarzania danych osobowych przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze 31 .

(21) RODO UK obejmuje swoim zakresem także przetwarzanie w ramach działalności, która bezpośrednio przed końcem okresu przejściowego nie wchodziła w zakres prawa Unii Europejskiej (np. bezpieczeństwo narodowe) 32  lub wchodziła w zakres tytułu V rozdział 2 Traktatu o Unii Europejskiej (działania w dziedzinie wspólnej polityki zagranicznej i bezpieczeństwa) 33 . Podobnie jak w systemie Unii Europejskiej RODO UK nie ma zastosowania do przetwarzania danych osobowych przez właściwy organ do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom (tzw. "cele ścigania przestępstw") - takie przetwarzanie reguluje natomiast część 3 DPA 2018, tak jak ma to miejsce w przypadku dyrektywy (UE) 2016/680 na gruncie prawa Unii Europejskiej - ani przetwarzania danych osobowych przez służby wywiadowcze (Służbę Bezpieczeństwa, Tajną Służbę Wywiadowczą i Centralę Łączności Rządowej), które obejmuje część 4 DPA 2018 34 .

(22) Zakres terytorialny RODO UK jest opisany w art. 3 RODO UK 35  i obejmuje przetwarzanie danych osobowych (niezależnie od miejsca, w którym się ono odbywa) w związku z działalnością prowadzoną przez jednostkę organizacyjną administratora lub podmiotu przetwarzającego w Zjednoczonym Królestwie, jak również przetwarzanie danych osobowych osób przebywających w Zjednoczonym Królestwie, jeżeli czynności przetwarzania dotyczą oferowania towarów lub usług takim osobom lub monitorowania ich zachowania 36 . Odzwierciedla to podejście przyjęte w art. 3 rozporządzenia (UE) 2016/679.

2.4. Definicje danych osobowych i pojęć administratora i podmiotu przetwarzającego

(23) Definicje danych osobowych, przetwarzania, administratora, podmiotu przetwarzającego, a także definicja pseudo- nimizacji, określone w rozporządzeniu (UE) 2016/679, są zachowane w RODO UK bez istotnych zmian 37 . Ponadto szczególne kategorie danych są zdefiniowane w art. 9 ust. 1 RODO UK w taki sam sposób, jak w rozporządzeniu (UE) 2016/679 ("ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby"). Art. 205 DPA 2018 zawiera definicję "danych biometrycznych" 38 , "danych dotyczących zdrowia" 39  i "danych genetycznych" 40 .

2.5. Zabezpieczenia, prawa i obowiązki

2.5.1. Zgodność z prawem i rzetelność przetwarzania

(24) Dane osobowe powinno się przetwarzać zgodnie z prawem i rzetelnie.

(25) Zasady zgodności z prawem, rzetelności i przejrzystości oraz podstawy zgodności przetwarzania z prawem są zagwarantowane w prawie Zjednoczonego Królestwa poprzez art. 5 ust. 1 lit. a) i art. 6 ust. 1 RODO UK, które są identyczne z odpowiednimi przepisami rozporządzenia (UE) 2016/679 41 . Art. 8 DPA 2018 uzupełnia art. 6 ust. 1 lit. e), stanowiąc, że przetwarzanie danych osobowych na podstawie art. 6 ust. 1 lit. e) RODO UK (niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej przez administratora) obejmuje przetwarzanie danych osobowych, które jest niezbędne do sprawowania wymiaru sprawiedliwości, sprawowania funkcji przez którąkolwiek z izb parlamentu, sprawowania funkcji powierzonej danej osobie na mocy przepisu prawa stanowionego lub precedensowego, sprawowania władzy królewskiej, funkcji ministerstwa lub departamentu rządowego bądź działania wspierającego lub promującego zaangażowanie demokratyczne.

(26) W odniesieniu do zgody (jednej z podstaw zgodności przetwarzania z prawem) w RODO UK również zachowano warunki przewidziane w art. 7 rozporządzenia (UE) 2016/679 w niezmienionej formie, tj. administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę, pisemne zapytanie o zgodę musi być przedstawione jasnym i prostym językiem, osoba, której dane dotyczą, musi mieć prawo w dowolnym momencie wycofać zgodę, a oceniając, czy zgodę wyrażono dobrowolnie, należy wziąć pod uwagę, czy od zgody na przetwarzanie danych nie jest uzależnione wykonanie umowy, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy. Ponadto zgodnie z art. 8 RODO UK, w związku ze świadczeniem usług społeczeństwa informacyjnego zgoda dziecka jest zgodna z prawem tylko wtedy, gdy wiek dziecka wynosi co najmniej 13 lat. Mieści się to w przedziale wiekowym ustanowionym w art. 8 rozporządzenia (UE) 2016/679.

2.5.2. Przetwarzanie szczególnych kategorii danych osobowych

(27) Jeżeli przetwarzane są "szczególne kategorie" danych, powinny istnieć szczególne zabezpieczenia.

(28) RODO UK i DPA 2018 zawierają przepisy szczególne dotyczące przetwarzania szczególnych kategorii danych osobowych, które zdefiniowano w art. 9 ust. 1 RODO UK w taki sam sposób, jak w rozporządzeniu (UE) 2016/679 (zob. motyw 23 powyżej). Zgodnie z art. 9 RODO UK przetwarzanie szczególnych kategorii danych jest zasadniczo zabronione, chyba że ma zastosowanie szczególny wyjątek.

(29) W wyjątkach tych (wymienionych w art. 9 ust. 2 i 3 RODO UK) nie wprowadzono żadnych zmian merytorycznych w stosunku do wyjątków zawartych w art. 9 ust. 2 i 3 rozporządzenia (UE) 2016/679. O ile osoba, której dane dotyczą, nie wyraziła wyraźnej zgody na przetwarzanie tych danych osobowych, przetwarzanie szczególnych kategorii danych osobowych jest dopuszczalne tylko w szczególnych i ograniczonych okolicznościach. W większości przypadków przetwarzanie danych wrażliwych musi być niezbędne do konkretnego celu określonego w odpowiednim przepisie (zob. art. 9 ust. 2 lit. b), c), f), g), h), i) oraz j)).

(30) Ponadto, w przypadku gdy wyjątek na podstawie art. 9 ust. 2 RODO UK wymaga zezwolenia z mocy prawa lub odnosi się do interesu publicznego, w art. 10 DPA 2018 oraz w załączniku 1 do tej ustawy dodatkowo określono warunki, które muszą być spełnione, aby można było powołać się na te wyjątki. Na przykład w przypadku przetwarzania danych wrażliwych w celu ochrony "zdrowia publicznego" (art. 9 ust. 2 lit. i) RODO UK), w załączniku 1 część 1 pkt 3 lit. b) wymaga się, aby oprócz kryterium niezbędności takie przetwarzanie było prowadzone "przez pracownika służby zdrowia lub na jego odpowiedzialność" lub "przez inną osobę, która jest zobowiązana do zachowania poufności na mocy przepisu prawa stanowionego lub precedensowego", w tym na mocy ugruntowanego w common law obowiązku zachowania poufności.

(31) W przypadku przetwarzania danych wrażliwych ze względów związanych z ważnym interesem publicznym (art. 9 ust. 2 lit. g) RODO UK), część 2 załącznika 1 do DPA 2018 zawiera wyczerpujący wykaz celów, które można uznać za leżące w ważnym interesie publicznym, oraz określa - dla każdego z tych celów - konkretne warunki dodatkowe. Za ważny interes publiczny uznaje się na przykład promowanie różnorodności rasowej i etnicznej na wyższych szczeblach organizacji. Przetwarzanie danych wrażliwych w tym konkretnym celu podlega szczegółowym wymogom, w tym wymogowi, aby przetwarzanie odbywało się w ramach procesu identyfikacji osób odpowiednich do zajmowania wyższych stanowisk, było niezbędne do promowania różnorodności rasowej i etnicznej oraz aby wyrządzenie znacznej szkody lub spowodowanie znaczących niedogodności dla osoby, której dane dotyczą, nie było prawdopodobne.

(32) W art. 11 ust. 1 DPA 2018 ustanowiono warunki przetwarzania danych osobowych w okolicznościach opisanych w art. 9 ust. 3 RODO UK odnoszącym się do obowiązku zachowania tajemnicy. Obejmuje to okoliczności, w których przetwarzanie jest prowadzone przez pracownika służby zdrowia lub pracownika opieki społecznej bądź przez inną osobę, która w tych okolicznościach jest zobowiązana do zachowania poufności na mocy przepisu prawa stanowionego lub precedensowego, lub na odpowiedzialność takiego pracownika lub takiej osoby.

(33) Ponadto korzystanie z wielu wyjątków wymienionych w art. 9 ust. 2 RODO UK wymaga odpowiednich i szczególnych zabezpieczeń. W zależności od charakteru przetwarzania i poziomu ryzyka dla praw i wolności osób, których dane dotyczą, w warunkach przetwarzania przewidzianych w załączniku 1 do DPA 2018 ustanowiono różne zabezpieczenia. Z kolei w załączniku 1 określono warunki dla każdej sytuacji przetwarzania.

(34) W niektórych przypadkach DPA 2018 reguluje i ogranicza rodzaj danych wrażliwych, które można przetwarzać pod kątem spełnienia konkretnej podstawy prawnej. W pkt 8 załącznika 1 zezwala się na przykład na przetwarzanie danych wrażliwych do celów promowania równości szans lub równego traktowania. Ten warunek przetwarzania można zastosować tylko wtedy, gdy dane ujawniają pochodzenie rasowe lub etniczne, przekonania religijne lub światopoglądowe, orientację seksualną lub gdy są to dane dotyczące zdrowia.

(35) W niektórych przypadkach w DPA 2018 ograniczono możliwość stosowania tego warunku przetwarzania do określonego rodzaju administratora. W pkt 23 załącznika 1 przewidziano na przykład przetwarzanie danych wrażliwych w związku z odpowiedziami wybieranych przedstawicieli na pytania obywateli Ten warunek przetwarzania można zastosować tylko wtedy, gdy administrator jest wybranym przedstawicielem lub działa z jego upoważnienia.

(36) W niektórych innych przypadkach w DPA 2018 określono ograniczenia dotyczące kategorii osób, których dane dotyczą, w odniesieniu do warunku przetwarzania, który ma być stosowany. Pkt 21 załącznika 1 reguluje na przykład przetwarzanie danych wrażliwych na potrzeby pracowniczych programów emerytalnych. Warunek ten można zastosować wyłącznie wówczas, gdy osoba, której dane dotyczą, jest siostrą lub bratem bądź jednym z rodziców, dziadków lub pradziadków członka programu.

(37) Ponadto w przypadku powoływania się na wyjątki zawarte w art. 9 ust. 2 RODO UK, które doprecyzowano w art. 10 DPA 2018 wraz z załącznikiem 1 do tej ustawy, administrator w większości przypadków jest zobowiązany do sporządzenia "odpowiedniego dokumentu dotyczącego polityki". W dokumencie tym muszą się znaleźć procedury administratora danych mające na celu zapewnienie zgodności z zasadami określonymi w art. 5 RODO UK. Muszą się w nim również znaleźć zasady dotyczące zatrzymywania i usuwania danych, ze wskazaniem prawdopodobnego okresu przechowywania. W stosownych przypadkach administratorzy muszą dokonać przeglądu i aktualizacji tego dokumentu. Administrator musi przechowywać dokument programowy przez sześć miesięcy po zakończeniu przetwarzania i musi udostępnić go na żądanie Komisarzowi ds. Informacji 42 .

(38) Zgodnie z pkt 41 załącznika 1 do DPA 2018 dokumentowi dotyczącemu polityki musi zawsze towarzyszyć rozszerzony rejestr przetwarzania. W rejestrze tym należy odnotowywać wywiązywanie się z zobowiązań zawartych w dokumencie dotyczącym polityki, tj. czy dane są usuwane lub zatrzymywane zgodnie z przyjętą polityką. Jeśli nie stosowano się do przyjętej polityki, w rejestrze należy odnotować przyczyny. W rejestrze należy również opisać, w jaki sposób przetwarzanie spełnia warunki określone w art. 6 RODO UK (zgodność przetwarzania z prawem) i konkretny warunek określony w załączniku 1 do DPA 2018, na który się powołano.

(39) Ponadto, podobnie jak rozporządzenie (UE) 2016/679, RODO UK przewiduje również ogólne zabezpieczenia niektórych operacji przetwarzania szczególnych kategorii danych. W art. 35 RODO UK znajduje się wymóg przeprowadzenia oceny skutków dla ochrony danych, jeśli przetwarzanie szczególnych kategorii danych odbywa się na dużą skalę. Zgodnie z art. 37 RODO UK administrator lub podmiot przetwarzający musi wyznaczyć inspektora ochrony danych, gdy główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu szczególnych kategorii danych na dużą skalę.

(40) W odniesieniu do danych osobowych dotyczących wyroków skazujących i czynów zabronionych art. 10 RODO UK ma takie samo brzmienie jak art. 10 rozporządzenia (UE) 2016/679. Umożliwia przetwarzanie danych osobowych dotyczących wyroków skazujących oraz czynów zabronionych wyłącznie pod nadzorem władz publicznych lub jeżeli przetwarzanie jest dozwolone prawem krajowym przewidującym odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą.

(41) Jeśli przetwarzanie danych dotyczących wyroków skazujących oraz czynów zabronionych nie odbywa się pod nadzorem władz publicznych, art. 10 ust. 5 DPA 2018 stanowi, że takie przetwarzanie może odbywać się wyłącznie w konkretnych celach lub sytuacjach określonych w częściach 1, 2 i 3 załącznika 1 do DPA 2018 i podlega szczegółowym wymogom, które określono dla każdego z tych celów/każdej z tych sytuacji. Na przykład przetwarzanie danych dotyczących wyroków skazujących przez podmioty niezarobkowe może odbywać się, jeśli przetwarzania dokonuje się a) w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, b) pod warunkiem że (i) przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że (ii) dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą.

(42) Ponadto w części 3 załącznika 1 do DPA 2018 określono dalsze okoliczności, w których można wykorzystywać dane dotyczące wyroków skazujących, odpowiadające podstawom prawnym przetwarzania danych wrażliwych określonym w art. 9 ust. 2 rozporządzenia (UE) 2016/679 i RODO UK (np. zgoda osoby, której dane dotyczą, żywotne interesy osoby fizycznej, jeśli osoba, której dane dotyczą, jest prawnie lub fizycznie niezdolna do wyrażenia zgody, jeśli dane zostały już w sposób oczywisty upublicznione przez osobę, której dane dotyczą, jeśli przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczenia itp.).

2.5.3. Ograniczenie celu, prawidłowość, minimalizacja danych, ograniczenie przechowywania i bezpieczeństwo danych

(43) Dane osobowe powinny być przetwarzane w określonym celu, a następnie wykorzystywane tylko w takim zakresie, w jakim nie jest to niezgodne z celem przetwarzania.

(44) Zasadę tę przewidziano w art. 5 ust. 1 lit. b) rozporządzenia (UE) 2016/679 i zachowano bez zmian w art. 5 ust. 1 lit. b) RODO UK. Warunki dotyczące dalszego zgodnego z celem przetwarzania, o których mowa w art. 6 ust. 4 rozporządzenia (UE) 2016/679, zachowano również bez istotnych zmian w art. 6 ust. 4 lit. a)-e) RODO UK.

(45) Ponadto dane powinny być prawidłowe i w razie potrzeby uaktualniane. Powinny być również adekwatne, stosowne oraz ograniczone do celów, w których są przetwarzane, a także co do zasady przechowywane przez okres nie dłuższy niż jest to niezbędne do celów, w których przetwarza się dane osobowe.

(46) Te zasady minimalizacji danych, prawidłowości i ograniczenia przechowywania określono w art. 5 ust. 1 lit. c)-e) rozporządzenia (UE) 2016/679 i zachowano bez zmian w art. 5 ust. 1 lit. c)-e) RODO UK.

(47) Dane osobowe powinny być również przetwarzane w sposób zapewniający im bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem. W tym celu podmioty gospodarcze powinny wdrożyć odpowiednie środki techniczne lub organizacyjne, aby chronić dane osobowe przed ewentualnymi zagrożeniami. Środki te należy ocenić, biorąc pod uwagę stan wiedzy technicznej oraz koszty ich wdrożenia.

(48) Bezpieczeństwo danych jest zapisane w prawie Zjednoczonego Królestwa za pomocą zasady integralności i poufności w art. 5 ust. 1 lit. f) RODO UK oraz w art. 32 RODO UK dotyczącym bezpieczeństwa przetwarzania. Przepisy te są takie same jak odpowiednie przepisy rozporządzenia (UE) 2016/679. Ponadto, na tych samych warunkach, jak określone w art. 33 i 34 rozporządzenia (UE) 2016/679, RODO UK zawiera wymóg zgłaszania naruszenia ochrony danych osobowych organowi nadzorczemu (art. 33 RODO UK) oraz zawiadamiania osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych (art. 34 RODO UK).

2.5.4. Przejrzystość

(49) Osoby, których dane dotyczą, powinny być informowane o głównych cechach przetwarzania ich danych osobowych.

(50) Zapewniają to art. 13 i 14 RODO UK, które, oprócz ogólnej zasady przejrzystości, określają przepisy dotyczące informacji, których należy udzielać osobom, których dane dotyczą 43 . W RODO UK nie wprowadzono żadnych istotnych zmian tych przepisów w porównaniu z odpowiednimi artykułami rozporządzenia (UE) 2016/679. Podobnie jak w przypadku rozporządzenia (UE) 2016/679, wymogi dotyczące przejrzystości zawarte w tych artykułach podlegają jednak kilku wyjątkom określonym w DPA 2018 (zob. motywy 55-72).

2.5.5. Prawa indywidualne

(51) Osobom, których dane dotyczą, powinny przysługiwać określone prawa, które można egzekwować wobec administratora lub podmiotu przetwarzającego, w szczególności prawo dostępu do zebranych danych, prawo do sprzeciwu wobec przetwarzania oraz prawo do sprostowania i usunięcia danych. Jednocześnie prawa te mogą podlegać ograniczeniom w zakresie, w jakim ograniczenia te są niezbędne i proporcjonalne do ochrony bezpieczeństwa publicznego lub innych ważnych celów leżących w ogólnym interesie publicznym.

2.5.5.1. Prawa podmiotowe

(52) W RODO UK osobom fizycznym przyznano te same egzekwowalne prawa co w rozporządzeniu (UE) 2016/679. Przepisy zapewniające prawa osób fizycznych utrzymano w RODO UK bez istotnych zmian.

(53) Prawa te obejmują prawo dostępu przysługujące osobie, której dane dotyczą (art. 15 RODO UK), prawo do sprostowania danych (art. 16 RODO UK), prawo do usunięcia danych (art. 17 RODO UK), prawo do ograniczenia przetwarzania (art. 18 RODO UK), obowiązek powiadomienia o sprostowaniu lub usunięciu danych osobowych lub o ograniczeniu przetwarzania (art. 19 RODO UK), prawo do przenoszenia danych (art. 20 RODO UK) oraz prawo do sprzeciwu (art. 21 RODO UK) 44 . Prawo do sprzeciwu obejmuje również prawo osoby, której dane dotyczą, do sprzeciwu wobec przetwarzania danych osobowych na potrzeby marketingu bezpośredniego przewidziane w art. 21 ust. 2 i 3 rozporządzenia (UE) 2016/679. Ponadto, zgodnie z art. 122 DPA 2018, Komisarz ds. Informacji musi przygotować kodeks postępowania dotyczący prowadzenia marketingu bezpośredniego zgodnie z wymogami zawartymi w ustawodawstwie w dziedzinie ochrony danych (oraz rozporządzeniu w sprawie prywatności i łączności elektronicznej w związku z dyrektywą WE z 2003 r.) oraz innymi tego rodzaju wytycznymi służącymi promowaniu dobrych praktyk w zakresie marketingu bezpośredniego, które Komisarz uzna za stosowne. Biuro Komisarza ds. Informacji opracowuje obecnie kodeks marketingu bezpośredniego 45 .

(54) W RODO UK bez istotnych zmian zachowano również prawo osoby, której dane dotyczą, do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, które wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa zgodnie z art. 22 RODO. Dodano jednak nowy ustęp 3A, aby uwzględnić fakt, że w art. 14 DPA 2018 określono zabezpieczenia praw, wolności i uzasadnionych interesów osób, których dane dotyczą, w przypadku gdy przetwarzanie odbywa się na podstawie art. 22 ust. 2 lit. b) RODO UK. Dotyczy to wyłącznie sytuacji, w której podstawą takiej decyzji jest zezwolenie lub wymóg wynikający z prawa Zjednoczonego Królestwa, i nie dotyczy sytuacji, w której decyzja jest niezbędna na podstawie umowy lub osoba, której dane dotyczą, wyraziła wyraźną zgodę na jej podjęcie. W przypadkach gdy ma zastosowanie art. 14 DPA 2018, administrator musi, w możliwie najkrótszym czasie, powiadomić na piśmie osobę, której dane dotyczą, że decyzję podjęto wyłącznie na podstawie zautomatyzowanego przetwarzania. Osoba, której dane dotyczą, ma prawo zwrócić się do administratora - w terminie miesiąca od otrzymania zawiadomienia - o ponowne rozpatrzenie decyzji lub podjęcie nowej decyzji, która nie będzie oparta wyłącznie na zautomatyzowanym przetwarzaniu. Sekretarz Stanu jest uprawniony do przyjęcia dalszych gwarancji w odniesieniu do zautomatyzowanego podejmowania decyzji. Uprawnienie to nie jest jeszcze wykonywane.

2.5.5.2. Ograniczenia praw indywidualnych i inne przepisy

(55) W DPA 2018 określono kilka ograniczeń praw indywidualnych, które mieszczą się w ramach art. 23 RODO UK. We wspomnianych ramach nie wprowadza się żadnych ograniczeń dotyczących prawa do sprzeciwu wobec marketingu bezpośredniego przewidzianego w art. 21 ust. 2 i 3 RODO UK ani prawa do tego, by nie podlegać zautomatyzowanemu podejmowaniu decyzji, o którym mowa w art. 22 RODO UK.

(56) Ograniczenia te określono w załącznikach 2-4 do DPA 2018. Władze Zjednoczonego Królestwa wyjaśniły, że kierują się dwiema zasadami: zasadą szczegółowości (przyjmowanie szczegółowego podejścia, dzielenie szeroko zakrojonych ograniczeń na liczne bardziej szczegółowe przepisy) i zasadą warunkowości (każdemu przepisowi towarzyszą zabezpieczenia w formie ograniczeń lub warunków w celu zapobiegania nadużyciom) 46 .

(57) Ograniczenia opisane w art. 23 ust. 1 RODO UK mają z założenia być stosowane wyłącznie w określonych okolicznościach, w których są one niezbędne w demokratycznym społeczeństwie, oraz w sposób proporcjonalny do wyznaczonego, prawnie uzasadnionego celu. Ponadto zgodnie z utrwalonym orzecznictwem dotyczącym wykładni ograniczeń wyłączenie z zakresu stosowania systemu ochrony danych można zastosować w każdym konkretnych przypadku wyłącznie wtedy, gdy jest to niezbędne i proporcjonalne 47 . Wymaga się, aby kryterium niezbędności było "rygorystyczne i wymagało, by ingerencja w prawa podmiotu była proporcjonalna do wagi zagrożenia interesu publicznego. W tym celu należy zatem przeprowadzić klasyczną analizę proporcjonalności 48 ".

(58) Cele, jakim mają służyć opisane ograniczenia, odpowiadają celom wymienionym w art. 23 rozporządzenia (UE) 2016/679, z wyjątkiem ograniczeń dotyczących bezpieczeństwa narodowego i obrony, które uregulowano w art. 26 DPA 2018, ale które podlegają tym samym wymogom niezbędności i proporcjonalności (zob. motywy 63-66).

(59) Niektóre ograniczenia, np. ograniczenia związane z zapobieganiem przestępstwom lub ich wykrywaniem, zatrzymywaniem i ściganiem przestępców oraz wymiarem lub pobieraniem podatków lub ceł 49 , pozwalają na ograniczenie wszystkich praw indywidualnych i obowiązków w zakresie przejrzystości (z wyjątkiem praw określonych w art. 21 ust. 2 i art. 22). Zakres stosowania innych ograniczeń ogranicza się do obowiązków w zakresie przejrzystości i praw dostępu, takich jak ograniczenia związane z prawniczą tajemnicą zawodową 50 , prawem do wolności od wymogu udzielenia informacji, które prowadziłyby do samooskarżenia 51 , oraz finansowaniem przedsiębiorstw, w szczególności z zapobieganiem wykorzystywaniu informacji wewnętrznych 52 . Niewiele z tych ograniczeń pozwala na ograniczenie obowiązku administratora w zakresie informowania osoby, której dane dotyczą, o naruszeniu ochrony danych oraz zasad ograniczenia celu, a także zgodności z prawem, rzetelności i przejrzystości przetwarzania 53 .

(60) Niektóre ograniczenia są "w pełni" automatycznie stosowane do określonego rodzaju przetwarzania danych osobowych (np. stosowanie obowiązków w zakresie przejrzystości i praw indywidualnych jest wyłączone, w przypadku gdy dane osobowe są przetwarzane do celów oceny, czy dana osoba ma odpowiednie kwalifikacje do pełnienia urzędu sądowego, lub dane osobowe są przetwarzane przez sąd, trybunał lub osobę fizyczną w ramach sprawowania przez nie wymiaru sprawiedliwości).

(61) W większości przypadków w odpowiednim punkcie załącznika 2 do DPA 2018 określono jednak, że ograniczenie ma zastosowanie wyłącznie w przypadku, gdy (i w takim zakresie, w jakim) zastosowanie przepisów "prawdopodobnie byłoby sprzeczne" z prawnie uzasadnionym celem tego ograniczenia: na przykład wymienione przepisy RODO UK nie mają zastosowania do danych osobowych przetwarzanych w celu zapobiegania przestępstwom lub ich wykrywania, zatrzymywania lub ścigania przestępców lub wymiaru lub pobierania podatków lub ceł "w zakresie, w jakim zastosowanie tych przepisów prawdopodobnie byłoby sprzeczne z którąkolwiek z tych kwestii" 54 .

(62) Zgodnie z wykładnią dokonywaną konsekwentnie przez sądy Zjednoczonego Królestwa sformułowanie "prawdopodobnie byłoby sprzeczne" oznacza "bardzo znaczącą i dużą szansę uszczerbku dla określonych interesów publicznych" 55 . Na ograniczenie podlegające kryterium sprzeczności można się zatem powołać tylko wówczas i tylko w takim zakresie, w jakim istnieje bardzo znacząca i duża szansa, że przyznanie określonego prawa naruszyłoby określony interes publiczny. Administrator jest odpowiedzialny za ocenę w poszczególnych przypadkach, czy warunki te zostały spełnione 56 .

(63) Oprócz ograniczeń zawartych w załączniku 2 do DPA 2018 w art. 26 DPA 2018 przewidziano wyłączenie, które można stosować w odniesieniu do określonych przepisów RODO UK i DPA 2018, jeżeli wyłączenie to jest wymagane do celów ochrony bezpieczeństwa narodowego lub do celów obrony. Wspomniane wyłączenie ma zastosowanie do zasad ochrony danych (z wyjątkiem zasady zgodności z prawem), obowiązków w zakresie przejrzystości, praw osoby, której dane dotyczą, obowiązku powiadomienia o naruszeniu ochrony danych, zasad dotyczących międzynarodowego przekazywania danych, niektórych obowiązków i uprawnień Komisarza ds. Informacji, a także zasad dotyczących środków ochrony prawnej, odpowiedzialności i sankcji, z wyjątkiem przepisu dotyczącego ogólnych warunków nakładania administracyjnych kar pieniężnych określonego w art. 83 RODO UK oraz przepisu dotyczącego sankcji określonego w art. 84 RODO UK. Ponadto w art. 28 DPA 2018 zmieniono zastosowanie art. 9 ust. 1, aby umożliwić przetwarzanie szczególnych kategorii danych określonych w art. 9 ust. 1 RODO UK w zakresie, w jakim przetwarzanie odbywa się w celu zapewnienia bezpieczeństwa narodowego lub w celach obrony oraz przy zapewnieniu odpowiednich zabezpieczeń w odniesieniu do praw i wolności osób, których dane dotyczą 57 .

(64) Wyłączenie można stosować wyłącznie w zakresie, w jakim jest to wymagane do zapewnienia bezpieczeństwa narodowego lub obronności. Ponieważ dotyczy to również pozostałych wyłączeń określonych w DPA 2018, administrator musi rozpatrywać je i powoływać się na nie w każdym przypadku z osobna. Ponadto każde zastosowanie wyłączenia musi być zgodne ze standardami praw człowieka (opartymi na ustawie o prawach człowieka z 1998 r.), według których w demokratycznym społeczeństwie każda ingerencja w prawo do prywatności powinna być niezbędna i proporcjonalna 58 .

(65) Taką wykładnię zwolnienia potwierdza Komisarz ds. Informacji, który wydał szczegółowe wytyczne dotyczące stosowania wyłączenia dotyczącego bezpieczeństwa narodowego i obronności, stwierdzając w nich, że administrator musi rozpatrywać je i powoływać się na nie w każdym przypadku z osobna 59 . W wytycznych podkreślono w szczególności, że "[n]ie jest to wyłączenie ogólne" i że do jego zastosowania "nie wystarczy, aby dane były przetwarzane do celów bezpieczeństwa narodowego". Administrator danych, powołując się na to wyłączenie, musi "wykazać, że istnieje realna możliwość negatywnego wpływu na bezpieczeństwo narodowe", a w razie potrzeby wymaga się od administratora danych "dostarczenia [Komisarzowi ds. Informacji] uzasadnienia skorzystania z tego wyłączenia". Wytyczne zawierają listę kontrolną i szereg przykładów służących dalszemu doprecyzowaniu warunków, na jakich można powoływać się na to wyłączenie.

(66) Fakt, że dane są przetwarzane do celów bezpieczeństwa narodowego lub obrony, nie jest zatem sam w sobie wystarczający do zastosowania wyłączenia. Administrator musi uwzględnić faktyczne konsekwencje dla bezpieczeństwa narodowego, gdyby musiał zastosować się do konkretnego przepisu dotyczącego ochrony danych. Wyłączenie można stosować wyłącznie do przepisów szczegółowych, które określono jako stwarzające ryzyko, i należy je stosować w możliwie najbardziej restrykcyjny sposób 60 .

(67) Podejście to potwierdził Trybunał ds. Ochrony Danych (Information Tribunal) 61 . W sprawie Baker przeciwko Secretary of State for the Home Department ("Baker przeciwko Secretary of State") Trybunał orzekł, że zastosowanie wyłączenia dotyczącego bezpieczeństwa narodowego jako wyłączenia ogólnego w odniesieniu do wniosków o udzielenie dostępu otrzymanych przez służby wywiadowcze jest niezgodne z prawem. Wyłączenie należy stosować w każdym przypadku z osobna, rozpatrując każdy wniosek indywidualnie i w świetle prawa osób fizycznych do poszanowania ich życia prywatnego 62 .

2.5.6. Ograniczenia dotyczące danych osobowych przetwarzanych do celów dziennikarskich, artystycznych, akademickich i literackich, do celów archiwalnych oraz do celów badań naukowych

(68) Zgodnie z art. 85 ust. 2 RODO UK możliwe jest wyłączenie danych osobowych przetwarzanych do celów dziennikarskich, artystycznych, akademickich i literackich z szeregu przepisów RODO UK. W części 5 załącznika 2 do DPA 2018 określono wyłączenia dotyczące przetwarzania w tych celach. Przewidziano w niej wyłączenia z zasad ochrony danych (z wyjątkiem zasady integralności i poufności), podstaw prawnych przetwarzania (w tym szczególnych kategorii danych i danych dotyczących wyroków skazujących itp.), warunków wyrażenia zgody, obowiązków w zakresie przejrzystości, praw osób, których dane dotyczą, obowiązku powiadomienia o naruszeniu ochrony danych, wymogu przeprowadzenia konsultacji z Komisarzem ds. Informacji przed przetwarzaniem wysokiego ryzyka oraz zasad dotyczących międzynarodowego przekazywania danych 63 . W tym zakresie RODO UK nie odbiega w istotny sposób od rozporządzenia (UE) 2016/679, w którym w art. 85 przewidziano możliwość wyłączenia przetwarzania dokonywanego dla potrzeb dziennikarskich lub do celów wypowiedzi akademickiej, artystycznej lub literackiej z szeregu wymogów określonych w rozporządzeniu (UE) 2016/679. Przepisy DPA 2018, zwłaszcza część 5 załącznika 2, są zgodne z RODO UK.

(69) Podstawowy proces ważenia interesów, który należy przeprowadzić zgodnie z art. 85 RODO UK, dotyczy tego, czy wyłączenie od przepisów o ochronie danych wymienionych w motywie 68 jest "niezbędne, by pogodzić prawo do ochrony danych osobowych z wolnością wypowiedzi i informacji" 64 . Zgodnie z pkt 26 ppkt 2 i 3 załącznika 2 do DPA 2018 Zjednoczone Królestwo stosuje kryterium "zasadnego przekonania" w celu osiągnięcia tej równowagi. Aby wyłączenie było uzasadnione, administrator musi być zasadnie przekonany, (i) że publikacja leży w interesie publicznym; oraz (ii) że zastosowanie odpowiedniego przepisu RODO byłoby niezgodne z celem dziennikarskim, akademickim, artystycznym lub literackim. Jak potwierdzono w orzecznictwie, kryterium "zasadnego przekonania" obejmuje zarówno element subiektywny, jak i obiektywny 65 : nie wystarczy, aby administrator wykazał, że sam uznał zachowanie zgodności z przepisem za niezgodne z określonym celem. Jego przekonanie musi być uzasadnione, tj. takie, które mogłaby podzielać racjonalnie myśląca osoba, znająca istotne fakty. W związku z tym administrator musi dołożyć należytej staranności, dochodząc do swojego przekonania, aby być w stanie wykazać jego zasadność. Zgodnie z wyjaśnieniami przedstawionymi przez władze Zjednoczonego Królestwa kryterium "zasadnego przekonania" należy stosować w odniesieniu do każdego wyłączenia z osobna 66 . W przypadku spełnienia warunków wyłączenie uznaje się za niezbędne i proporcjonalne w rozumieniu prawa Zjednoczonego Królestwa.

(70) Zgodnie z art. 124 DPA 2018 Komisarz ds. Informacji ma opracować kodeks postępowania w zakresie ochrony danych i dziennikarstwa. Trwają prace nad tym kodeksem. Na podstawie ustawy o ochronie danych z 1998 r. wydano w tej sprawie wytyczne, w których podkreślono w szczególności, że aby powołać się na opisane wyłączenie, nie wystarczy jedynie stwierdzić, że zgodność z przepisami stanowiłaby utrudnienie dla działalności dziennikarskiej, lecz należy przedstawić wyraźny argument świadczący o tym, że dany przepis stanowi przeszkodę w prowadzeniu odpowiedzialnego dziennikarstwa 67 . Organ regulacyjny Zjednoczonego Królestwa ds. telekomunikacji, OFCOM, oraz BBC - w ramach swoich wytycznych redakcyjnych - również opublikowały wytyczne dotyczące stosowania kryterium interesu publicznego i równoważenia interesu publicznego z interesem osoby fizycznej w zakresie ochrony prywatności 68 . W wytycznych przedstawiono przykłady informacji, które można uznać za leżące w interesie publicznym, oraz wyjaśniono konieczność wykazania, że w szczególnych okolicznościach konkretnej sprawy interes publiczny przeważa nad prawem do prywatności.

(71) Podobnie do przepisów art. 89 RODO dane osobowe przetwarzane do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych można również wyłączyć z zakresu stosowania szeregu wymienionych przepisów RODO UK 69 . W odniesieniu do badań naukowych i celów statystycznych możliwe jest zastosowanie wyłączeń od przepisów RODO UK dotyczących potwierdzenia przetwarzania, dostępu do danych i zabezpieczeń w przypadku przekazywania danych do państw trzecich; prawa do sprostowania; ograniczenia przetwarzania i sprzeciwu wobec przetwarzania. W odniesieniu do archiwizacji w interesie publicznym możliwe są również wyłączenia z zakresu stosowania obowiązku powiadomienia o sprostowaniu lub usunięciu danych osobowych lub o ograniczeniu przetwarzania oraz prawa do przenoszenia danych.

(72) Zgodnie z pkt 27 ppkt 1 i pkt 28 ppkt 1 załącznika 2 do DPA 2018 wyłączenia z zakresu stosowania wymienionych przepisów RODO UK są możliwe, gdy zastosowanie przepisów "uniemożliwiłoby lub poważnie utrudniłoby osiągnięcie" wspomnianych celów 70 .

(73) Biorąc pod uwagę znaczenie wyżej wymienionych wyłączeń dla skutecznego wykonywania praw indywidualnych, wszelkie istotne zmiany dotyczące wykładni tych wyłączeń i ich stosowania w praktyce (oprócz wyjaśnionego w motywie 6 wyłączenia dotyczącego utrzymania skutecznej kontroli imigracji), w tym wszelkie dalsze zmiany w orzecznictwie oraz wytycznych Komisarza ds. Informacji i jego działań w zakresie egzekwowania przepisów, zostaną należycie uwzględnione w kontekście ciągłego monitorowania niniejszej decyzji 71 .

2.5.7. Ograniczenia dotyczące dalszego przekazywania danych

(74) Stopień ochrony zapewnianej danym osobowym przekazywanym z Unii Europejskiej administratorom lub podmiotom przetwarzającym w Zjednoczonym Królestwie nie może zostać obniżony wskutek dalszego przekazywania takich danych odbiorcom z państw trzecich. Takie "dalsze przekazywanie danych", które z perspektywy administratora lub podmiotu przetwarzającego ze Zjednoczonego Królestwa stanowi międzynarodowe przekazywanie danych ze Zjednoczonego Królestwa, powinno być dozwolone wyłącznie wówczas, gdy kolejny odbiorca spoza Zjednoczonego Królestwa sam podlega przepisom zapewniającym stopień ochrony zbliżony do poziomu gwarantowanego w porządku prawnym Zjednoczonego Królestwa. Z tego powodu stosowanie przepisów RODO UK i DPA 2018 dotyczących międzynarodowego przekazywania danych osobowych jest ważnym czynnikiem zapewniającym ciągłość ochrony w przypadku przekazywania danych osobowych z Unii Europejskiej do Zjednoczonego Królestwa na podstawie niniejszej decyzji.

(75) System międzynarodowego przekazywania danych osobowych ze Zjednoczonego Królestwa określono w art. 44-49 RODO UK, uzupełnionego DPA 2018; system ten jest zasadniczo identyczny z zasadami określonymi w rozdziale V rozporządzenia (UE) 2016/679 72 . Przekazywanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej może odbywać się wyłącznie na podstawie rozporządzenia stwierdzającego odpowiedni stopień ochrony (obowiązujący w Zjednoczonym Królestwie odpowiednik decyzji stwierdzającej odpowiedni stopień ochrony na podstawie rozporządzenia (UE) 2016/679) lub - w przypadku braku takiego rozporządzenia - pod warunkiem zapewnienia przez administratora lub podmiot przetwarzający odpowiednich zabezpieczeń zgodnie z art. 46 RODO UK. W przypadku braku rozporządzenia stwierdzającego odpowiedni stopień ochrony lub odpowiednich zabezpieczeń przekazywanie danych może nastąpić wyłącznie na podstawie wyjątków określonych w art. 49 RODO UK.

(76) Rozporządzenia stwierdzające odpowiedni stopień ochrony, wydawane przez Sekretarza Stanu, mogą stanowić, że państwo trzecie (lub terytorium lub sektor w państwie trzecim), organizacja międzynarodowa lub opis 73  takiego państwa, terytorium, sektora lub takiej organizacji zapewniają odpowiedni stopień ochrony danych osobowych. Dokonując oceny odpowiedniości stopnia ochrony, Sekretarz Stanu musi wziąć pod uwagę dokładnie te same elementy, które Komisja jest zobowiązana ocenić na mocy art. 45 ust. 2 lit. a)-c) rozporządzenia (UE) 2016/679 w związku z motywem 104 rozporządzenia (UE) 2016/679 oraz pozostającym w mocy orzecznictwem UE. Oznacza to, że przy ocenie odpowiedniości stopnia ochrony państwa trzeciego właściwym standardem będzie to, czy dane państwo trzecie zapewnia stopień ochrony "zasadniczo odpowiadający" stopniowi gwarantowanemu w Zjednoczonym Królestwie.

(77) Co się tyczy procedury, rozporządzenia stwierdzające odpowiedni stopień ochrony podlegają "ogólnym" wymogom proceduralnym określonym w art. 182 DPA 2018. W ramach wspomnianej procedury Sekretarz Stanu musi przeprowadzić konsultacje z Komisarzem ds. Informacji, gdy proponuje przyjęcie rozporządzeń Zjednoczonego Królestwa stwierdzających odpowiedni stopień ochrony 74 . Po przyjęciu przez Sekretarza Stanu rozporządzenia te są przedkładane parlamentowi i podlegają procedurze "odrzucenia przez obie izby parlamentu", w ramach której obie izby parlamentu mogą poddać rozporządzenie kontroli i mają możliwość przyjęcia wniosku o jego unieważnienie w ciągu 40 dni 75 .

(78) Zgodnie z art. 17B ust. 1 DPA 2018 rozporządzenia stwierdzające odpowiedni stopień ochrony należy poddawać przeglądowi co najmniej raz na cztery lata, a Sekretarz Stanu musi na bieżąco monitorować zmiany zachodzące w państwach trzecich i organizacjach międzynarodowych, które mogłyby wpłynąć na decyzje w sprawie wprowadzenia rozporządzeń stwierdzających odpowiedni stopień ochrony lub w sprawie zmiany lub uchylenia takich przepisów. Jeżeli Sekretarz Stanu uzyska wiedzę, że określone państwo lub organizacja nie zapewnia już odpowiedniego stopnia ochrony danych osobowych, musi zmienić lub uchylić - w niezbędnym zakresie - rozporządzenie i rozpocząć konsultacje z danym państwem trzecim lub organizacją międzynarodową w celu rozwiązania kwestii braku odpowiedniego stopnia ochrony. Te aspekty proceduralne odzwierciedlają również odpowiednie wymogi określone w rozporządzeniu (UE) 2016/679.

(79) W przypadku braku rozporządzeń stwierdzających odpowiedni stopień ochrony międzynarodowe przekazywanie danych może mieć miejsce, jeżeli administrator lub podmiot przetwarzający zapewnili odpowiednie zabezpieczenia zgodnie z art. 46 RODO UK. Zabezpieczenia te są podobne do tych, określonych w art. 46 rozporządzenia (UE) 2016/679. Obejmują one prawnie wiążące i możliwe do wyegzekwowania instrumenty między organami lub podmiotami publicznymi, wiążące reguły korporacyjne 76 , standardowe klauzule o ochronie danych, zatwierdzone kodeksy postępowania, zatwierdzone mechanizmy certyfikacji oraz - za zgodą Komisarza ds. Informacji - klauzule umowne między administratorami (lub podmiotami przetwarzającymi) lub porozumienia administracyjne między organami publicznymi. Z proceduralnego punktu widzenia zmieniono jednak reguły, aby funkcjonowały w ramach Zjednoczonego Królestwa, w szczególności Sekretarz Stanu (art. 17C) lub Komisarz ds. Informacji (art. 119A) mogą przyjąć standardowe klauzule o ochronie danych zgodnie z DPA 2018.

(80) W przypadku braku decyzji stwierdzającej odpowiedni stopień ochrony lub odpowiednich zabezpieczeń, przekazywanie danych może nastąpić wyłącznie na podstawie wyjątków określonych w art. 49 RODO UK 77 . W RODO UK nie wprowadzono żadnych istotnych zmian w zakresie wyjątków w porównaniu z odpowiednimi przepisami rozporządzenia (UE) 2016/679. Zgodnie z RODO UK, podobnie jak w przypadku rozporządzenia (UE) 2016/679, na określone wyjątki można się powoływać wyłącznie w przypadku gdy przekazywanie danych ma charakter sporadyczny 78 . Ponadto Komisarz ds. Informacji w swoich wytycznych dotyczących międzynarodowego przekazywania danych wyjaśnia, że: "Należy je stosować wyłącznie jako faktyczne »wyjątki« od ogólnej zasady, zgodnie z którą nie należy przekazywać danych w sposób ograniczony, chyba że jest to przedmiotem decyzji stwierdzającej odpowiedni stopień ochrony lub istnieją odpowiednie zabezpieczenia" 79 . W odniesieniu do przekazania, które jest niezbędne ze względu na ważne względy interesu publicznego (art. 49 ust. 1 lit. d)), Sekretarz Stanu może przyjąć przepisy w celu określenia okoliczności, w których przekazywanie danych osobowych państwu trzeciemu lub organizacji międzynarodowej nie jest niezbędne ze względu na ważne względy interesu publicznego. Ponadto na mocy rozporządzenia Sekretarz Stanu może ograniczyć przekazywanie danej kategorii danych osobowych do państwa trzeciego lub organizacji międzynarodowej, jeżeli przekazanie nie może nastąpić na podstawie rozporządzeń stwierdzających odpowiedni stopień ochrony, a Sekretarz Stanu uważa, że ograniczenie jest niezbędne ze względu na ważne względy interesu publicznego. Dotychczas nie przyjęto takich przepisów.

(81) Wspomniane ramy dotyczące międzynarodowego przekazywania danych zaczęły obowiązywać na koniec okresu przejściowego 80 . Pkt 4 załącznika 21 do DPA 2018 (wprowadzony na mocy rozporządzenia w sprawie ochrony danych, prywatności i łączności elektronicznej) stanowi jednak, że do zakończenia okresu przejściowego określone przekazania danych osobowych są traktowane tak, jakby opierały się na rozporządzeniach stwierdzających odpowiedni stopień ochrony. Przekazania te obejmują przekazania danych do państwa EOG, na terytorium Gibraltaru, do instytucji, organu i jednostki organizacyjnej UE ustanowionych na mocy lub na podstawie Traktatu o Unii Europejskiej oraz do państw trzecich będących przedmiotem decyzji UE stwierdzającej odpowiedni stopień ochrony na koniec okresu przejściowego. W związku z tym przekazywanie danych do tych państw może nadal się odbywać na takich samych zasadach jak przed wystąpieniem Zjednoczonego Królestwa z Unii Europejskiej. Po zakończeniu okresu przejściowego Sekretarz Stanu ma obowiązek przeprowadzić przegląd tych ustaleń dotyczących odpowiedniego stopnia ochrony w terminie czterech lat, tj. do końca grudnia 2024 r. Zgodnie z wyjaśnieniem przedstawionym przez władze Zjednoczonego Królestwa, mimo że Sekretarz Stanu ma obowiązek przeprowadzić taki przegląd do końca grudnia 2024 r., przepisy przejściowe nie obejmują przepisu dotyczącego "wygaśnięcia" i odpowiednie przepisy przejściowe nie przestaną automatycznie obowiązywać, jeżeli przegląd nie zostanie zakończony do końca grudnia 2024 r.

(82) Jeśli chodzi wreszcie o przyszłą ewolucję międzynarodowego systemu Zjednoczonego Królestwa w zakresie przekazywania danych - czy to poprzez przyjęcie nowych rozporządzeń stwierdzających odpowiedni stopień ochrony, zawieranie umów międzynarodowych lub wypracowanie innych mechanizmów przekazywania - Komisja będzie ściśle monitorować sytuację, oceniać, czy poszczególne mechanizmy transferu są wykorzystywane w sposób zapewniający ciągłość ochrony, oraz, w razie konieczności, podejmować odpowiednie środki w celu zaradzenia ewentualnym negatywnym skutkom dla takiej ciągłości (zob. motywy 278-287). Ponieważ UE i Zjednoczone Królestwo mają podobne zasady dotyczące międzynarodowego przekazywania danych, można się spodziewać, że problematycznym rozbieżnościom będzie można również zapobiec dzięki współpracy oraz wymianie informacji i doświadczeń, m.in. między Komisarzem ds. Informacji a EROD.

2.5.8. Rozliczalność

(83) Zgodnie z zasadą rozliczalności podmioty przetwarzające dane są zobowiązane do wdrożenia odpowiednich środków technicznych i organizacyjnych, aby skutecznie przestrzegać swoich obowiązków w zakresie ochrony danych oraz być w stanie wykazać taką zgodność, zwłaszcza wobec właściwego organu nadzorczego.

(84) Zasadę rozliczalności przewidzianą w rozporządzeniu (UE) 2016/679 zachowano bez istotnych zmian w art. 5 ust. 2 RODO UK i to samo odnosi się do art. 24 dotyczącego obowiązków administratora, art. 25 dotyczącego uwzględnienia ochrony danych w fazie projektowania oraz domyślnej ochrony danych, a także art. 30 dotyczącego rejestrowania czynności przetwarzania. Zachowano również art. 35 i 36 dotyczące oceny skutków dla ochrony danych i uprzednich konsultacji z organem nadzorczym. W RODO UK zachowano bez istotnych zmian przepisy art. 37-39 rozporządzenia (UE) 2016/679 dotyczące wyznaczenia inspektora ochrony danych i jego zadań. Ponadto w RODO UK zachowano przepisy art. 40 i 42 rozporządzenia (UE) 2016/679 dotyczące kodeksu postępowania i certyfikacji 81 .

2.6. Nadzór i egzekwowanie przepisów

2.6.1. Niezależny nadzór

(85) Aby zagwarantować w praktyce odpowiedni stopień ochrony danych, należy ustanowić niezależny organ nadzorczy, uprawniony do monitorowania i egzekwowania zgodności z przepisami o ochronie danych. W ramach wykonywanych obowiązków i realizowanych uprawnień organ ten powinien być całkowicie niezależny i bezstronny.

(86) W Zjednoczonym Królestwie za nadzór i egzekwowanie zgodności z przepisami RODO UK i DPA 2018 odpowiada Komisarz ds. Informacji. Komisarz ds. Informacji jest "pojedynczą osobą prawną": odrębnym podmiotem prawnym składającym się z jednej osoby. Komisarza ds. Informacji wspiera w pracy biuro. W dniu 31 marca 2020 r. Biuro Komisarza ds. Informacji zatrudniało 768 stałych pracowników 82 . Departamentem finansującym Komisarza ds. Informacji jest Departament Cyfryzacji, Kultury, Mediów i Sportu 83 .

(87) Kwestię niezależności Komisarza ds. Informacji wyraźnie uregulowano w art. 52 RODO UK, w którym nie wprowadzono żadnych istotnych zmian względem art. 52 ust. 1-3 RODO. Komisarz musi działać z zachowaniem pełnej niezależności, wykonując swoje zadania i uprawnienia zgodnie z RODO UK, pozostawać wolny od bezpośrednich lub pośrednich wpływów zewnętrznych w odniesieniu do tych zadań i uprawnień oraz nie może zwracać się do nikogo o instrukcje ani ich od nikogo przyjmować. Komisarz musi również powstrzymać się od wszelkich czynności sprzecznych ze swoimi obowiązkami i w okresie sprawowania urzędu nie może podejmować żadnego zajęcia zarobkowego ani niezarobkowego sprzecznego z tymi obowiązkami.

(88) Warunki powoływania i odwoływania Komisarza ds. Informacji określono w załączniku 12 do DPA 2018. Komisarz ds. Informacji jest powoływany przez Jej Królewską Mość na wniosek rządu w wyniku uczciwego i otwartego konkursu. Kandydat musi posiadać odpowiednie kwalifikacje, umiejętności i kompetencje. Zgodnie z kodeksem zarządzania w zakresie nominacji publicznych 84  zespół doradczy ds. oceny sporządza wykaz ewentualnych kandydatów. Zanim Sekretarz Stanu w Departamencie Cyfryzacji, Kultury, Mediów i Sportu podejmie ostateczną decyzję, właściwa komisja specjalna parlamentu musi przeprowadzić kontrolę poprzedzającą nominację. Stanowisko komisji podaje się do wiadomości publicznej 85 .

(89) Kadencja Komisarza ds. Informacji trwa maksymalnie siedem lat. Ta sama osoba nie może zostać powołana na stanowisko Komisarza ds. Informacji więcej niż jeden raz. Jej Królewska Mość może odwołać Komisarza ds. Informacji ze stanowiska na podstawie oświadczenia obu izb parlamentu 86 . Wniosek o odwołanie Komisarza ds. Informacji może zostać przedstawiony jednej z izb parlamentu jedynie w wypadku, gdy minister przedstawi sprawozdanie, w którym wyrazi przekonanie, że Komisarz ds. Informacji jest winny poważnego uchybienia lub nie spełnia już warunków wymaganych do sprawowania funkcji Komisarza 87 .

(90) Środki na finansowanie działalności Komisarza ds. Informacji pochodzą z trzech źródeł: (i) opłat za ochronę danych wnoszonych przez administratorów, które są ustalane na podstawie rozporządzeń wydanych przez Sekretarza Stanu 88  (rozporządzenie dotyczące opłat i informacji związanych z ochroną danych z 2018 r.) i wynoszą 85-90 % rocznego budżetu Biura 89 ; (ii) subwencji wypłacanych przez rząd na rzecz Komisarza ds. Informacji, wykorzystywanych głównie do finansowania kosztów operacyjnych Komisarza ds. Informacji w odniesieniu do zadań niezwiązanych z ochroną danych 90 ; oraz (iii) opłat pobieranych z tytułu świadczenia usług 91 . Obecnie nie pobiera się takich opłat.

(91) Ogólne funkcje Komisarza ds. Informacji dotyczące przetwarzania danych osobowych, do których ma zastosowanie ogólne rozporządzenie o ochronie danych Zjednoczonego Królestwa, określono w art. 57 RODO UK, wiernie odzwierciedlając odpowiednie przepisy rozporządzenia (UE) 2016/679. Jego funkcje obejmują monitorowanie i egzekwowanie przepisów RODO UK, promowanie świadomości społecznej, rozpatrywanie skarg wnoszonych przez osoby, których dane dotyczą, prowadzenie postępowań itp. Ponadto w art. 115 DPA 2018 określono inne ogólne funkcje Komisarza, które obejmują obowiązek doradzania parlamentowi, rządowi i innym instytucjom i organom w sprawie środków prawnych i administracyjnych związanych z ochroną praw i wolności osób fizycznych w odniesieniu do przetwarzania danych osobowych, oraz uprawnienia do wydawania, z inicjatywy Komisarza lub na wniosek, opinii przeznaczonych dla parlamentu, rządu lub innych instytucji i organów, a także ogółu społeczeństwa we wszelkich sprawach związanych z ochroną danych osobowych. Aby utrzymać niezależność sądów, Komisarz ds. Informacji nie jest uprawniony do wykonywania swoich funkcji w odniesieniu do przetwarzania danych osobowych przez osobę fizyczną sprawującą wymiar sprawiedliwości bądź sąd lub trybunał sprawujący wymiar sprawiedliwości. Nadzór nad sądownictwem zapewniają wyspecjalizowane organy (zob. motywy 99-103).

2.6.2. Egzekwowanie przepisów, w tym sankcje

(92) Uprawnienia Komisarza ds. Informacji określono w art. 58 RODO UK, w którym nie wprowadzono żadnych istotnych zmian w porównaniu z odpowiednim artykułem rozporządzenia (UE) 2016/679. DPA 2018 zawiera przepisy uzupełniające dotyczące sposobu wykonywania tych uprawnień. W szczególności Komisarz posiada uprawnienia w zakresie:

a) nakazania administratorowi i podmiotowi przetwarzającemu (a w określonych okolicznościach każdej innej osobie) dostarczenia niezbędnych informacji poprzez publikację zawiadomienia informacyjnego ("zawiadomienie informacyjne") 92 ;

b) prowadzenia postępowań i audytów poprzez wydanie zawiadomienia oceniającego, na mocy którego administrator lub podmiot przetwarzający może być zobowiązany do zezwolenia Komisarzowi na wejście do określonych pomieszczeń, przeprowadzenie inspekcji lub analizy dokumentów lub sprzętu, przesłuchanie osób przetwarzających dane osobowe w imieniu administratora itp. ("zawiadomienie oceniające") 93 ;

c) uzyskania w inny sposób dostępu do dokumentów itp. administratorów i podmiotów przetwarzających oraz dostępu do ich pomieszczeń zgodnie z art. 154 DPA 2018 ("uprawnienia do wstępu i inspekcji");

d) wykonywania uprawnień naprawczych, w tym za pomocą ostrzeżeń i upomnień lub wydawania nakazów w postaci zawiadomienia egzekucyjnego, w ramach którego zobowiązuje się administratorów/podmioty przetwarzające do podjęcia lub powstrzymania się od podjęcia konkretnych kroków, w tym nakazuje się administratorowi lub podmiotowi przetwarzającemu podjęcie działań określonych w art. 58 ust. 2 lit. c)-g) i

j) RODO UK ("zawiadomienie egzekucyjne") 94 ;

e) oraz nakładania administracyjnych kar pieniężnych w drodze zawiadomienia w sprawie sankcji ("zawiadomienie w sprawie sankcji") 95 . Kary takie mogą zostać nałożone również w przypadku nieprzestrzegania przez organ publiczny przepisów RODO UK 96 .

(93) W ramach polityki działań regulacyjnych Komisarza ds. Informacji określono okoliczności, w których Komisarz ds. Informacji może wydać zawiadomienie informacyjne, oceniające, egzekucyjne lub w sprawie sankcji 97 . W ramach zawiadomienia egzekucyjnego wydanego w odpowiedzi na uchybienie administratora lub podmiotu przetwarzającego możliwe jest nakładanie wyłącznie wymogów, które Komisarz uzna za właściwe w celu zaradzenia uchybieniu. Zawiadomienia egzekucyjne i w sprawie sankcji można wydać w odniesieniu do administratora lub podmiotu przetwarzającego w związku z naruszeniem przepisów rozdziału II RODO UK (zasady przetwarzania), art. 12-22 (prawa osoby, której dane dotyczą), art. 25-39 (obowiązki administratorów i podmiotów przetwarzających) oraz art. 44-49 (międzynarodowe przekazywanie danych) RODO UK. Zawiadomienie egzekucyjne można również wydać w przypadku gdy administrator nie spełnił wymogu uiszczenia opłaty określonej w przepisach zawartych w art. 137 DPA 2018. Ponadto podmiot monitorujący, o którym mowa w art. 41, lub podmiot świadczący usługi certyfikacyjne mogą otrzymać zawiadomienie egzekucyjne, jeżeli nie wypełnili swoich zobowiązań wynikających z RODO UK. Zawiadomienie w sprawie sankcji można również wydać w odniesieniu do osoby, która nie zastosowała się do zawiadomienia informacyjnego, oceniającego ani egzekucyjnego.

(94) W ramach zawiadomienia w sprawie sankcji zobowiązuje się daną osobę do wpłacenia na rzecz Komisarza ds. Informacji kwoty określonej w zawiadomieniu. Podejmując decyzję o wydaniu zawiadomienia w sprawie sankcji danej osobie i określając kwotę sankcji, Komisarz ds. Informacji musi uwzględnić kwestie wymienione w art. 83 ust. 1 i 2 RODO UK, które są identyczne z odpowiednimi przepisami rozporządzenia (UE) 2016/679 98 . Zgodnie z art. 83 ust. 4 i 5 maksymalne kwoty administracyjnych kar pieniężnych w przypadku niewypełnienia zobowiązań, o których mowa we wspomnianych przepisach, wynoszą odpowiednio 8 700 000 GBP lub 17 500 000 GBP. W przypadku przedsiębiorstwa Komisarz ds. Informacji może również nałożyć grzywnę stanowiącą odsetek rocznego światowego obrotu, przy czym zastosowanie ma kwota wyższa. Podobnie jak w równoważnych przepisach rozporządzenia (UE) 2016/679, kwoty te ustalono w art. 83 ust. 4 i 5 odpowiednio na poziomie 2 % i 4 %. W przypadku niezastosowania się do zawiadomienia informacyjnego, oceniającego lub egzekucyjnego maksymalna kwota sankcji, jaką można nałożyć w ramach zawiadomienia w sprawie sankcji, jest równa wyższej z następujących kwot: 17 500 000 GBP lub - w przypadku przedsiębiorstwa - 4 % rocznego światowego obrotu.

(95) RODO UK wraz z DPA 2018 przyczyniły się również do wzmocnienia innych uprawnień Komisarza ds. Informacji. Przykładowo Komisarz może obecnie przeprowadzać obowiązkowe kontrole w odniesieniu do wszystkich administratorów i podmiotów przetwarzających w drodze zawiadomień oceniających, podczas gdy na mocy poprzednich przepisów - ustawy o ochronie danych z 1998 r. - Komisarz miał takie uprawnienia wyłącznie w odniesieniu do instytucji rządowych na szczeblu centralnym i organizacji zajmujących się ochroną zdrowia, zaś pozostałe podmioty musiały wyrazić zgodę na kontrolę.

(96) Od czasu wprowadzenia rozporządzenia (UE) 2016/679 Komisarz ds. Informacji rozpatruje rocznie około 40 000 skarg od osób, których dane dotyczą 99 , a ponadto prowadzi około 2 000 postępowań z urzędu 100 . Większość skarg dotyczy praw dostępu do danych i praw do ich ujawniania. W następstwie prowadzonych postępowań Komisarz podejmuje środki egzekucyjne w wielu sektorach. Mówiąc ściślej, według ostatniego sprawozdania rocznego Komisarza ds. Informacji (2019-2020) 101 , w okresie sprawozdawczym Komisarz wydał 54 zawiadomienia informacyjne, 8 zawiadomień oceniających, 7 zawiadomień egzekucyjnych, 4 ostrzeżenia, doprowadził do 8 oskarżeń i nałożył 15 kar 102 .

(97) Obejmują one szereg znaczących kar pieniężnych nałożonych na podstawie rozporządzenia (UE) 2016/679 i DPA 2018. W szczególności w październiku 2020 r. Komisarz ds. Informacji nałożył na brytyjskie przedsiębiorstwo lotnicze karę w wysokości 20 mln GBP za naruszenie ochrony danych dotyczące ponad 400 000 klientów. Pod koniec października 2020 r. na międzynarodową sieć hoteli nałożono grzywnę w wysokości 18,4 mln GBP za niedopełnienie obowiązku zapewnienia bezpieczeństwa danych osobowych milionów klientów, a w listopadzie 2020 r. na brytyjskiego usługodawcę sprzedającego w internecie bilety wstępu na imprezy nałożono grzywnę w wysokości 1,25 mln GBP za niedopełnienie obowiązku ochrony danych klientów dotyczących płatności 103 .

(98) Oprócz opisanych w motywie 92 uprawnień Komisarza ds. Informacji do egzekwowania przestrzegania przepisów, niektóre naruszenia ustawodawstwa w dziedzinie ochrony danych stanowią przestępstwo i mogą tym samym podlegać sankcjom karnym (art. 196 DPA 2018). Dotyczy to na przykład świadomego lub nieopatrznego uzyskania lub ujawnienia danych osobowych bez zgody administratora, doprowadzenia do ujawnienia danych osobowych innej osobie bez zgody administratora 104 , deanonimizacji informacji będących zanonimizowanymi danymi osobowymi bez zgody administratora odpowiedzialnego za anonimizację danych osobowych 105 , umyślnego utrudniania Komisarzowi wykonywania jego uprawnień w zakresie kontroli danych osobowych zgodnie z zobowiązaniami międzynarodowymi 106 , składania fałszywych oświadczeń w odpowiedzi na zawiadomienie informacyjne lub niszczenia informacji w związku z zawiadomieniem informacyjnym i oceniającym 107 .

2.6.3. Nadzór nad wymiarem sprawiedliwości

(99) Nadzór nad przetwarzaniem danych osobowych przez sądy i wymiar sprawiedliwości ma dwojaki charakter. W przypadku gdy osoby zajmujące stanowisko sędziowskie lub sąd nie sprawują wymiaru sprawiedliwości, nadzór sprawuje Komisarz ds. Informacji. W przypadku gdy administrator sprawuje wymiar sprawiedliwości, Komisarz ds. Informacji nie może wykonywać swoich funkcji nadzorczych 108 , a nadzór sprawują organy specjalne. Odzwierciedla to podejście przyjęte w rozporządzeniu (UE) 2016/679 (art. 55 ust. 3).

(100) W szczególności w drugim scenariuszu w przypadku sądów Anglii i Walii i trybunału pierwszej instancji i wyższych trybunałów Anglii i Walii, taki nadzór sprawuje panel sądowy ds. ochrony danych (Judicial Data Protection Panel) 109 . Ponadto Lord Chief Justice (zwierzchnik sądownictwa Anglii i Walii) i Senior President of Tribunals (zwierzchnik trybunałów pozasądowych) wydali oświadczenie o ochronie prywatności 110 , w którym określili sposób, w jaki sądy w Anglii i Walii przetwarzają dane osobowe w związku z pełnieniem funkcji sądowych. Podobne oświadczenie wydano w systemach sądownictwa Irlandii Północnej 111  i Szkocji 112 .

(101) Ponadto w Irlandii Północnej Lord Chief Justice Irlandii Północnej mianował sędziego Wysokiego Trybunału na stanowisko sędziego sprawującego nadzór nad ochroną danych osobowych 113 . Wydano również wytyczne dla kadr wymiaru sprawiedliwości Irlandii Północnej dotyczące postępowania w przypadku utraty lub ewentualnej utraty danych oraz procedury rozwiązywania wszelkich kwestii z tym związanych 114 .

(102) W Szkocji Lord President (zwierzchnik sądownictwa) wyznaczył sędziego sprawującego nadzór nad ochroną danych osobowych, który rozpatruje wszelkie skargi dotyczące ochrony danych. Odbywa się to na zasadach rozpatrywania skarg sądowych, które odzwierciedlają zasady określone dla Anglii i Walii 115 .

(103) Natomiast jeżeli chodzi o Sąd Najwyższy, wyznaczono jednego z sędziów tego sądu do sprawowania nadzoru nad ochroną danych.

2.6.4. Środki zaskarżenia

(104) W celu zapewnienia odpowiedniej ochrony, a zwłaszcza egzekwowania praw indywidualnych, osoba, której dane dotyczą, powinna mieć możliwość korzystania ze skutecznych administracyjnych i sądowych środków zaskarżenia, w tym dochodzenia odszkodowania.

(105) Po pierwsze, osoba, której dane dotyczą, ma prawo do wniesienia skargi do Komisarza ds. Informacji, jeżeli uważa, że doszło do naruszenia RODO UK w odniesieniu do danych osobowych, które jej dotyczą 116 . W RODO UK zachowano bez istotnych zmian przepisy dotyczącego tego prawa, określone w art. 77 rozporządzenia (UE) 2016/679. To samo dotyczy art. 57 ust. 1 lit. f) i art. 57 ust. 2, w których określono zadania Komisarza w odniesieniu do rozpatrywania skarg. Jak opisano w motywach 92-98 powyżej, Komisarz ds. Informacji jest uprawniony do oceny przestrzegania RODO UK i DPA 2018 przez administratora i podmiot przetwarzający, wezwania ich do podjęcia lub zaniechania koniecznych kroków w przypadku nieprzestrzegania przepisów i nałożenia grzywien.

(106) Po drugie, RODO UK i DPA 2018 zapewniają prawo do środka ochrony prawnej przeciwko Komisarzowi ds. Informacji. Zgodnie z art. 78 ust. 1 RODO UK osoba fizyczna ma prawo do skutecznego środka ochrony prawnej przed sądem przeciwko prawnie wiążącej decyzji Komisarza jej dotyczącej. W ramach kontroli sądowej sędzia bada decyzję zaskarżoną w pozwie i sprawdza, czy Komisarz ds. Informacji działał zgodnie z prawem. Ponadto, zgodnie z art. 78 ust. 2 RODO UK, jeżeli Komisarz nie rozpatrzy odpowiednio skargi złożonej przez osobę, której dane dotyczą, 117  skarżący może skorzystać z środka ochrony prawnej przed sądem. Może on wystąpić do trybunału pierwszej instancji o nakazanie Komisarzowi podjęcia odpowiednich kroków w celu udzielenia odpowiedzi na skargę lub poinformowania skarżącego o postępach w rozpatrywaniu skargi 118 . Ponadto każda osoba, której Komisarz doręczył jedno z wyżej wymienionych zawiadomień (zawiadomienie informacyjne, oceniające, egzekucyjne lub w sprawie sankcji), może odwołać się do trybunału pierwszej instancji 119 . Jeżeli Trybunał uzna, że decyzja Komisarza ds. Informacji nie jest zgodna z prawem lub że Komisarz powinien był skorzystać z przysługującej mu swobody uznania w inny sposób, Trybunał uwzględnia odwołanie lub zastępuje zawiadomienie lub decyzję innym zawiadomieniem lub decyzją, które Komisarz mógł wydać.

(107) Po trzecie, osoby fizyczne mogą wnieść środki zaskarżenia przeciwko administratorom i podmiotom przetwarzającym bezpośrednio do sądu na podstawie art. 79 RODO UK i art. 167 DPA 2018. Jeżeli po otrzymaniu wniosku osoby, której dane dotyczą, sąd stwierdzi, że doszło do naruszenia jej praw wynikających z ustawodawstwa w dziedzinie ochrony danych, sąd może nakazać administratorowi w odniesieniu do tego przetwarzania lub podmiotowi przetwarzającemu działającemu w imieniu tego administratora podjęcie kroków określonych w nakazie lub zaniechanie podejmowania kroków określonych w nakazie.

(108) Ponadto, zgodnie z art. 82 RODO UK i art. 168 DPA 2018 każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia RODO UK, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę. Przepisy dotyczące odszkodowania i odpowiedzialności zawarte w art. 82 ust. 1-5 RODO UK są identyczne z odpowiadającymi im przepisami rozporządzenia (UE) 2016/679. Zgodnie z art. 168 DPA 2018 szkody niemajątkowe obejmują również cierpienie. Zgodnie z art. 80 RODO UK osoba, której dane dotyczą, ma również prawo do upoważnienia reprezentatywnego organu lub reprezentatywnej organizacji do złożenia do Komisarza skargi w jej imieniu (na podstawie art. 77 RODO UK) oraz do wykonywania w jej imieniu praw, o których mowa w art. 78 (prawo do skutecznego środka ochrony prawnej przed sądem przeciwko Komisarzowi), art. 79 (prawo do skutecznego środka ochrony prawnej przed sądem przeciwko administratorowi lub podmiotowi przetwarzającemu) oraz art. 82 (prawo do odszkodowania i pociągnięcia do odpowiedzialności) RODO UK.

(109) Po czwarte, oprócz opisanych powyżej możliwości wniesienia środków zaskarżenia każda osoba, która uważa, że jej prawa, w tym prawa do prywatności i ochrony danych, zostały naruszone przez organy publiczne, może dochodzić roszczeń przed sądami Zjednoczonego Królestwa na podstawie ustawy o prawach człowieka z 1998 r. 120  Osoba fizyczna, która twierdzi, że organ publiczny działał (lub zamierza działać) w sposób niezgodny z prawem określonym w konwencji, a w rezultacie niezgodny z prawem w rozumieniu art. 6 ust. 1 ustawy o prawach człowieka z 1998 r., może wytoczyć powództwo przeciwko temu organowi przed właściwy sąd lub trybunał lub powołać się na dane prawa w dowolnym postępowaniu sądowym, jeśli jest (lub byłaby) ofiarą działania niezgodnego z prawem.

(110) Jeśli sąd stwierdzi, że jakiekolwiek działanie organu publicznego jest niezgodne z prawem, może - w ramach swojej właściwości - zastosować taki środek zabezpieczający lub środek ochrony prawnej lub wydać taki nakaz, jaki uzna za sprawiedliwy i właściwy 121 . Sąd może również orzec, że przepis ustawodawczy jest niezgodny z prawem określonym w konwencji.

(111) Ponadto po wyczerpaniu krajowych środków ochrony prawnej osobie fizycznej przysługuje środek zaskarżenia przed Europejskim Trybunałem Praw Człowieka z tytułu naruszeń praw gwarantowanych na mocy Konwencji o ochronie praw człowieka i podstawowych wolności.

3. DOSTĘP DO DANYCH OSOBOWYCH PRZEKAZYWANYCH Z UNII EUROPEJSKIEJ I ICH WYKORZYSTYWANIE PRZEZ ORGANY PUBLICZNE W ZJEDNOCZONYM KRÓLESTWIE

(112) Komisja oceniła również ramy prawne Zjednoczonego Królestwa dotyczące gromadzenia danych osobowych przekazywanych podmiotom gospodarczym w Zjednoczonym Królestwie i późniejszego ich wykorzystywania przez organy publiczne Zjednoczonego Królestwa w interesie publicznym, w szczególności do celów ścigania przestępstw i do celów dotyczących bezpieczeństwa narodowego (zwanego dalej "dostępem rządowym"). Oceniając, czy warunki dostępu rządowego do danych przekazywanych do Zjednoczonego Królestwa na podstawie niniejszej decyzji spełniałyby kryterium "zasadniczej odpowiedniości" zgodnie z art. 45 ust. 1 rozporządzenia (UE) 2016/679, zgodnie z wykładnią dokonaną przez Trybunał Sprawiedliwości Unii Europejskiej w świetle Karty praw podstawowych, Komisja wzięła pod uwagę w szczególności następujące kryteria.

(113) Po pierwsze, każde ograniczenie prawa do ochrony danych osobowych musi być przewidziane ustawą, a podstawa prawna, która pozwala na ingerencję w te prawa, musi sama określać zakres ograniczenia wykonywania danego prawa 122 .

(114) Po drugie, aby spełnić wymóg proporcjonalności, zgodnie z którym wyjątki od ochrony danych osobowych i ograniczenia tej ochrony mogą być stosowane tylko w takim zakresie, w jakim jest to absolutnie niezbędne w demokratycznym społeczeństwie do osiągnięcia szczególnych celów leżących w interesie ogólnym równoważnych z celami uznanymi przez Unię, ustawodawstwo danego państwa trzeciego, które zezwala na ingerencję, musi określać jasne i precyzyjne reguły dotyczące zakresu i stosowania danych środków oraz ustanawiać minimalne wymagania służące temu, aby osoby, których dane osobowe zostały przekazane, były zaopatrzone w wystarczające zabezpieczenia umożliwiające rzeczywistą ochronę ich danych przed ryzykiem nadużyć 123 . Ustawodawstwo powinno w szczególności wskazywać, w jakich okolicznościach i pod jakimi warunkami może zostać przyjęty środek przewidujący przetwarzanie takich danych 124 , a także obejmować spełnienie takich wymogów niezależnym nadzorem 125 .

(115) Po trzecie, ustawodawstwo to musi być prawnie wiążące na mocy prawa krajowego, a wspomniane wymogi prawne muszą być nie tylko wiążące dla władz, ale także egzekwowalne wobec władz danego państwa trzeciego przed sądami 126 . W szczególności osobom, których dane dotyczą, powinna przysługiwać możliwość skorzystania przed niezawisłym i bezstronnym sądem ze środków prawnych w celu uzyskania dostępu do dotyczących ich danych osobowych lub spowodowania korekty lub usunięcia takich danych 127 .

3.1. Ogólne ramy prawne

(116) Dostęp rządowy w Zjednoczonym Królestwie, w ramach wykonywania uprawnień przez organ publiczny, musi się odbywać z pełnym poszanowaniem prawa. Zjednoczone Królestwo ratyfikowało Konwencję o ochronie praw człowieka i podstawowych wolności (zob. motyw 9) i wszystkie organy publiczne w Zjednoczonym Królestwie są zobowiązane do działania zgodnie z jej postanowieniami 128 . Art. 8 konwencji stanowi, że jakakolwiek ingerencja w prywatność musi być zgodna z prawem, musi służyć osiągnięciu jednego z celów określonych w art. 8 ust. 2 oraz musi być proporcjonalna w odniesieniu do tego celu. Art. 8 wymaga również, aby ingerencja była "przewidywalna", tj. miała jasną, dostępną podstawę prawną, oraz aby prawo obejmowało odpowiednie zabezpieczenia zapobiegające nadużyciom.

(117) Ponadto Europejski Trybunał Praw Człowieka określił w swoim orzecznictwie, że wszelkie ingerencje w prawo do prywatności i ochrony danych powinny podlegać skutecznemu, niezależnemu i bezstronnemu systemowi nadzoru, który musi być zapewniony albo przez sędziego, albo przez inny niezależny organ 129  (np. organ administracji lub organ parlamentarny).

(118) Ponadto osobom fizycznym musi przysługiwać skuteczny środek ochrony prawnej, a Europejski Trybunał Praw Człowieka wyjaśnił, że środek ten musi zapewniać niezależny i bezstronny organ, który przyjął własny regulamin, w którego skład muszą wchodzić członkowie zajmujący (obecnie lub w przeszłości) wysokie stanowiska sędziowskie lub będący doświadczonymi prawnikami, a złożenie skargi do tego organu nie może wiązać się z ciężarem dowodu po stronie skarżącego. Przy rozpatrywaniu skarg od osób fizycznych niezależny i bezstronny organ powinien mieć dostęp do wszystkich istotnych informacji, w tym do materiałów niejawnych. Organ ten powinien wreszcie posiadać uprawnienia do usuwania niezgodności 130 .

(119) W 2018 r. Zjednoczone Królestwo ratyfikowało również Konwencję Rady Europy o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych (konwencja nr 108) i podpisało protokół zmieniający Konwencję o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych (znany jako konwencja nr 108+) 131 . Art. 9 konwencji nr 108 stanowi, że odstępstwa od ogólnych zasad ochrony danych (art. 5 - Jakość danych), zasad regulujących szczególne kategorie danych (art. 6 - Szczególne kategorie danych) i praw osób, których dane dotyczą, (art. 8 - Dodatkowe prawa osób, których dane dotyczą) są dopuszczalne tylko wtedy, gdy takie odstępstwo jest przewidziane przez prawo strony konwencji i jest środkiem niezbędnym w demokratycznym społeczeństwie w celu ochrony bezpieczeństwa państwa, bezpieczeństwa publicznego, interesów finansowych państwa lub zwalczania przestępstw lub w celu ochrony osoby, której dane dotyczą, lub praw i wolności innych osób 132 .

(120) W związku z tym dzięki członkostwu w Radzie Europy, przystąpieniu do Konwencji o ochronie praw człowieka i podstawowych wolności i poddaniu się jurysdykcji Europejskiego Trybunału Praw Człowieka Zjednoczone Królestwo podlega szeregowi zobowiązań zapisanych w prawie międzynarodowym, które kształtują jego system dostępu rządowego w oparciu o zasady, zabezpieczenia i prawa indywidualne podobne do tych gwarantowanych w prawie Unii i mających zastosowanie do państw członkowskich. Jak podkreślono w motywie 19, nieprzerwane przestrzeganie takich instrumentów stanowi zatem szczególnie istotny element oceny, na której opiera się niniejsza decyzja.

(121) Ponadto szczególne zabezpieczenia służące ochronie danych i prawa do ochrony danych zagwarantowano w DPA 2018 w odniesieniu do sytuacji, gdy dane są przetwarzane przez organy publiczne, w tym przez organy ścigania i bezpieczeństwa narodowego.

(122) W szczególności system przetwarzania danych osobowych w kontekście ścigania przestępstw określono w części 3 DPA 2018, którą uchwalono w celu transpozycji dyrektywy (UE) 2016/680. Część 3 DPA 2018 ma zastosowanie do przetwarzania danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom 133 .

(123) Pojęcie "właściwego organu" zdefiniowano w art. 30 DPA 2018 jako osobę wymienioną w załączniku 7 do DPA 2018, a także jako wszelką inną osobę w zakresie, w jakim pełni ona funkcje ustawowe do jakichkolwiek celów ścigania przestępstw 134 . Jak wyjaśniono poniżej (zob. motyw 139), niektóre właściwe organy (np. Krajowa Agencja ds. Zwalczania Przestępczości) mogą pod pewnymi warunkami korzystać z uprawnień przewidzianych w ustawie o uprawnieniach dochodzeniowo-śledczych z 2016 r. (IPA 2016). W takim przypadku zabezpieczenia przewidziane w IPA 2016 będą miały zastosowanie w uzupełnieniu zabezpieczeń przewidzianych w części 3 DPA 2018. Służby wywiadowcze (Tajna Służba Wywiadowcza, Służba Bezpieczeństwa i Centrala Łączności Rządowej) nie są "właściwymi organami" 135  w rozumieniu części 3 DPA 2018 i w związku z tym przepisy tej części nie mają zastosowania do żadnych ich działań. Odrębna część organu ochrony danych z 2018 r. (część 4) poświęcona jest przetwarzaniu danych osobowych przez służby wywiadowcze (więcej szczegółów w motywie 125).

(124) Podobnie jak w przypadku dyrektywy (UE) 2016/680 w części 3 DPA 2018 określono zasady dotyczące zgodności z prawem i rzetelności 136 , ograniczenia celu 137 , minimalizacji danych 138 , prawidłowości 139 , ograniczenia przechowywania 140  i bezpieczeństwa 141 . W ustawodawstwie określono szczególne obowiązki w zakresie przejrzystości 142  i zapewniono osobom fizycznym prawo dostępu do danych 143 , prawo do sprostowania i usunięcia danych 144  oraz prawo do niepodlegania zautomatyzowanemu podejmowaniu decyzji 145 . Właściwe organy są również zobowiązane do uwzględniania ochrony danych w fazie projektowania oraz stosowania domyślnej ochrony danych, do rejestrowania czynności przetwarzania oraz, w przypadku niektórych operacji przetwarzania, do przeprowadzania ocen skutków dla ochrony danych i do uprzedniego konsultowania się z Komisarzem ds. Informacji 146 . Zgodnie z art. 56 DPA 2018 organy muszą wykazać, że przestrzegają przepisów. Ponadto są one zobowiązane do wprowadzenia odpowiednich środków zapewniających bezpieczeństwo przetwarzania 147  i podlegają szczegółowym obowiązkom w przypadku naruszenia ochrony danych, w tym mają obowiązek zgłaszania takich naruszeń Komisarzowi ds. Informacji i osobom, których dane dotyczą 148 . Podobnie jak w przypadku dyrektywy (UE) 2016/680 istnieje również wymóg wyznaczenia przez administratora (chyba że jest nim sąd lub inny organ sądowy sprawujący wymiar sprawiedliwości) inspektora ochrony danych 149 , który pomaga administratorowi wywiązać się z jego obowiązków, a także monitoruje ich wypełnianie 150 . Ponadto aby zapewnić ciągłość ochrony, w ustawodawstwie określono szczegółowe wymogi dotyczące międzynarodowego przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych do celów ścigania przestępstw 151 . W dniu przyjęcia niniejszej decyzji Komisja [przyjęła] decyzję stwierdzającą odpowiedni stopień ochrony na podstawie art. 36 ust. 3 dyrektywy (UE) 2016/680, w której ustaliła, że system ochrony danych mający zastosowanie do przetwarzania danych przez organy ścigania Zjednoczonego Królestwa zapewnia stopień ochrony, który zasadniczo odpowiada ochronie zagwarantowanej na mocy dyrektywy (UE) 2016/680.

(125) Część 4 DPA 2018 ma zastosowanie do wszelkiego przetwarzania danych przez służby wywiadowcze lub w ich imieniu. W szczególności określono w niej główne zasady ochrony danych (zgodność z prawem, rzetelność i przejrzystość 152 ; ograniczenie celu 153 ; minimalizacja danych 154 ; prawidłowość 155 ; ograniczenie przechowywania 156  i bezpieczeństwo 157 ), określono warunki dotyczące przetwarzania szczególnych kategorii danych 158 , zapewniono prawa osób, których dane dotyczą 159 , określono obowiązek uwzględniania ochrony danych w fazie projektowania 160  i uregulowano międzynarodowe przekazywanie danych osobowych 161 . Komisarz ds. Informacji wydał niedawno szczegółowe wytyczne dotyczące przetwarzania danych przez agencje wywiadowcze na podstawie części 4 DPA 2018 162 .

(126) Jednocześnie w art. 110 DPA 2018 przewidziano wyłączenie stosowania określonych przepisów zawartych w części 4 tej ustawy 163 , gdy takie wyłączenie jest wymagane do ochrony bezpieczeństwa narodowego. Na wyłączenie to można się powołać na podstawie analizy poszczególnych przypadków 164 . Jak wyjaśniły władze Zjednoczonego Królestwa i jak potwierdzono w orzecznictwie, "administrator musi uwzględnić faktyczne konsekwencje dla bezpieczeństwa narodowego lub obrony narodowej, wynikające z ewentualnego zastosowania się do konkretnego przepisu dotyczącego ochrony danych, z uwzględnieniem racjonalnej możliwości przestrzegania zwykłej zasady bez narażania bezpieczeństwa narodowego lub obrony narodowej" 165 . Komisarz ds. Informacji sprawuje nadzór nad tym, czy wyłączenie zostało zastosowane prawidłowo 166 .

(127) Ponadto jeżeli chodzi o możliwość ograniczenia stosowania określonych powyżej przepisów zgodnie z częścią 111 DPA 2018 ze względu na ochronę "bezpieczeństwa narodowego", administrator może ubiegać się o podpisane przez ministra lub Prokuratora Generalnego poświadczenie potwierdzające, że ograniczenie takich praw jest niezbędnym i proporcjonalnym środkiem służącym ochronie bezpieczeństwa narodowego 167 .

(128) Rząd Zjednoczonego Królestwa opublikował wytyczne w celu ułatwienia administratorom podjęcia decyzji o ewentualnym wystąpieniu o wydanie poświadczenia bezpieczeństwa narodowego na podstawie DPA 2018, w których to wytycznych w szczególności podkreślono, że wszelkie ograniczenia praw osób, których dane dotyczą, do celów ochrony bezpieczeństwa narodowego muszą być proporcjonalne i niezbędne 168 . Wszelkie poświadczenia bezpieczeństwa narodowego muszą być publikowane na stronie internetowej Komisarza ds. Informacji 169 .

(129) Poświadczenie powinno być wydawane na czas określony, nie dłuższy niż pięć lat, tak aby podlegało regularnej ocenie przez władzę wykonawczą 170 . W poświadczeniu określa się dane osobowe lub kategorie danych osobowych podlegające wyłączeniu, a także przepisy DPA 2018, do których wyłączenie ma zastosowanie 171 .

(130) Należy zauważyć, że poświadczenie bezpieczeństwa narodowego nie stanowią dodatkowej podstawy ograniczania praw do ochrony danych ze względów bezpieczeństwa narodowego. Innymi słowy, administrator lub podmiot przetwarzający może powołać się na poświadczenie wyłącznie wówczas, gdy stwierdzi, że konieczne jest skorzystanie z wyłączenia dotyczącego bezpieczeństwa narodowego, co - jak wyjaśniono powyżej - jest możliwe jedynie na podstawie oceny każdego przypadku z osobna 172 . Nawet jeżeli do danej sprawy zastosowanie ma poświadczenie bezpieczeństwa narodowego, Komisarz ds. Informacji może zbadać, czy w tym konkretnym przypadku skorzystanie z wyłączenia dotyczącego bezpieczeństwa narodowego było uzasadnione 173 .

(131) Każdy, na kogo wydanie poświadczenia wywarło bezpośredni wpływ, może odwołać się do Wyższego Trybunału 174  od wydania poświadczenia 175  lub, gdy w poświadczeniu dane określono za pomocą ogólnego opisu, zaskarżyć stosowanie poświadczenia w odniesieniu do konkretnych danych 176 . W takiej sytuacji Trybunał bada decyzję o wydaniu poświadczenia i orzeka, czy istniały uzasadnione podstawy do jego wydania 177 . Może rozważyć wiele różnych aspektów, w tym niezbędność, proporcjonalność i zgodność z prawem, uwzględniając wpływ na prawa osób, których dane dotyczą, oraz wyważając potrzebę ochrony bezpieczeństwa narodowego. W rezultacie Trybunał może stwierdzić, że poświadczenie nie ma zastosowania do konkretnych danych osobowych będących przedmiotem odwołania 178 .

(132) Inny zbiór możliwych ograniczeń dotyczy wyłączeń, które na podstawie załącznika 11 do DPA 2018 stosuje się do określonych przepisów zawartych w części 4 DPA 2018 179  na potrzeby zabezpieczenia innych ważnych celów leżących w ogólnym interesie publicznym lub chronionych interesów, takich jak np. przywilej parlamentarny, prawnicza tajemnica zawodowa, przebieg postępowania sądowego lub skuteczność bojowa sił zbrojnych 180 . Wyłączenia stosowania tych przepisów dokonuje się albo w odniesieniu do określonych kategorii informacji ("ze względu na klasę"), albo w zakresie, w jakim stosowanie tych przepisów mogłoby zaszkodzić chronionemu interesowi ("ze względu na szkodę") 181 . Na wyłączenia ze względu na szkodę można się powoływać tylko w takim zakresie, w jakim zastosowanie wymienionego przepisu dotyczącego ochrony danych prawdopodobnie zaszkodziłoby danemu interesowi. Stosowanie wyłączenia musi być zatem zawsze uzasadnione poprzez wskazanie odpowiedniej szkody, która prawdopodobnie powstałaby w danym przypadku. Na wyłączenia ze względu na klasę można się powoływać wyłącznie w odniesieniu do konkretnej, ściśle zdefiniowanej kategorii informacji, dla której przyznano wyłączenie. Wyłączenia te są podobne pod względem celu i skutku do szeregu wyjątków od RODO UK (określonych w załączniku 2 do DPA 2018), które z kolei odzwierciedlają cel i skutek przewidziane w art. 23 RODO.

(133) Z powyższego wynika, że w rozumieniu obowiązujących w Zjednoczonym Królestwie przepisów prawnych - oraz zgodnie z wykładnią sądów i interpretacją Komisji ds. Informacji - istnieją ograniczenia i warunki zapewniające, aby wspomniane wyłączenia i ograniczenia pozostawały w zakresie niezbędnym i proporcjonalnym do ochrony bezpieczeństwa narodowego.

3.2. Dostęp organów publicznych Zjednoczonego Królestwa do danych na potrzeby ścigania przestępstw i wykorzystywanie danych przez te organy w tym celu

(134) W prawie Zjednoczonego Królestwa ustanowiono szereg ograniczeń w zakresie dostępu do danych osobowych i korzystania z nich na potrzeby ścigania przestępstw, a także mechanizmy nadzoru i środki zaskarżenia, które są zgodne z wymogami określonymi w motywach 113-115 niniejszej decyzji. Warunki uzyskania takiego dostępu oraz zabezpieczenia mające zastosowanie do wykonywania tych uprawnień poddano szczegółowej ocenie w kolejnych sekcjach.

3.2.1. Podstawy prawne i właściwe ograniczenia/zabezpieczenia

(135) Zgodnie z zasadą zgodności z prawem zagwarantowaną na podstawie art. 35 DPA 2018 przetwarzanie danych osobowych do jakichkolwiek celów ścigania przestępstw jest zgodne z prawem tylko wtedy, gdy opiera się na przepisach prawa oraz albo osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie w tym celu 182 , albo przetwarzanie jest niezbędne do wykonania zadania realizowanego w tym celu przez właściwy organ.

3.2.1.1. Nakazy przeszukania i nakazy wydania dowodów

(136) W ramach prawnych Zjednoczonego Królestwa pobieranie danych osobowych od podmiotów gospodarczych - w tym tych, które przetwarzałyby dane przekazywane z UE na podstawie niniejszej decyzji stwierdzającej odpowiedni stopień ochrony - do celów ścigania przestępstw jest dopuszczalne na podstawie nakazów przeszukania 183  i nakazów wydania dowodów 184 .

(137) Nakazy przeszukania wydaje sąd, zazwyczaj na wniosek funkcjonariusza prowadzącego postępowanie przygotowawcze. Nakazy umożliwiają funkcjonariuszowi wejście do pomieszczeń w celu poszukiwania materiałów lub osób istotnych dla prowadzonego przez niego postępowania przygotowawczego oraz zatrzymanie wszystkiego, co wskazano w ramach zezwolenia na przeszukanie, w tym wszelkich istotnych dokumentów lub materiałów zawierających dane osobowe 185 . Nakaz wydania dowodów, który również musi wydać sąd, zobowiązuje wskazaną w nakazie osobę do wydania lub udostępnienia materiałów, które znajdują się w jej posiadaniu lub nad którymi sprawuje kontrolę. Wnioskodawca musi uzasadnić przed sądem, dlaczego nakaz jest niezbędny, a także dlaczego leży on w interesie publicznym. Istnieje szereg uprawnień ustawowych, które pozwalają na wydawanie nakazów przeszukania i nakazów wydania dowodów. Z każdym przepisem wiąże się osobny zbiór warunków ustawowych, które należy spełnić, aby można było wydać nakaz przeszukania 186  lub nakaz wydania dowodów 187 .

(138) Nakazy wydania dowodów oraz nakazy przeszukania mogą zostać zaskarżone w ramach kontroli sądowej 188 . Jeśli chodzi o zabezpieczenia, wszystkie organy ścigania objęte zakresem części 3 DPA 2018, mogą uzyskać dostęp do danych osobowych - co jest formą przetwarzania - wyłącznie zgodnie z zasadami i wymogami określonymi w DPA 2018 (zob. motywy 122 i 124). W związku z tym wniosek złożony przez jakikolwiek organ ścigania powinien być zgodny z zasadą, według której cele przetwarzania muszą być konkretne, wyraźne i prawnie uzasadnione 189 , a dane osobowe przetwarzane przez właściwy organ muszą być stosowne oraz ograniczone do celu, w którym są przetwarzane 190 .

3.2.1.2. Uprawnienia dochodzeniowo-śledcze do celów ścigania przestępstw

(139) W celu zapobiegania tylko poważnym przestępstwom lub ich wykrywania 191  niektórym organom ścigania, na przykład Krajowej Agencji ds. Zwalczania Przestępczości lub Komendantowi Głównemu Policji 192 , przysługują ukierunkowane uprawnienia dochodzeniowo-śledcze na mocy IPA 2016. W takim przypadku zabezpieczenia przewidziane w IPA 2016 będą miały zastosowanie w uzupełnieniu zabezpieczeń przewidzianych w części 3 DPA 2018. Szczególne uprawnienia dochodzeniowe przysługujące wspomnianym organom ścigania to: ukierunkowane przechwytywanie (część 2 IPA 2016), ukierunkowane pozyskiwanie danych pochodzących z łączności (część 3 IPA 2016), ukierunkowane zatrzymywanie danych pochodzących z łączności (część 4 IPA 2016) oraz ukierunkowana ingerencja w urządzenia elektroniczne (część 5 IPA 2016). Przechwytywanie obejmuje pozyskanie treści wiadomości 193 , natomiast pozyskiwanie i zatrzymywanie danych pochodzących z łączności nie ma na celu zdobycia treści wiadomości, ale ustalenie, kto, kiedy, gdzie i jak wysłał wiadomość. Obejmuje to na przykład czas i okres trwania połączenia, numery telefonu lub adresy e-mail nadawcy i odbiorcy wiadomości, a czasami lokalizację urządzeń, z których przesłano wiadomość, abonenta usługi telefonicznej lub szczegółowy rachunek 194 . Ingerencja w urządzenia elektroniczne oznacza szereg technik stosowanych w celu uzyskania różnego rodzaju danych z urządzeń, w tym z komputerów, tabletów i smartfonów, a także kabli, przewodów i urządzeń pamięciowych 195 .

(140) Z uprawnień do ukierunkowanego przechwytywania można również korzystać, gdy jest to "niezbędne do celów wykonania przepisów unijnego instrumentu wzajemnej pomocy lub międzynarodowej umowy o wzajemnej pomocy" (tzw. "nakaz w ramach wzajemnej pomocy" 196 ). Nakazy w ramach wzajemnej pomocy wydaje się wyłącznie w związku z przechwytywaniem, a nie pozyskiwaniem danych pochodzących z łączności lub ingerencji w urządzenia elektroniczne. Te ukierunkowane uprawnienia uregulowano ustawą o uprawnieniach dochodzeniowo-śledczych z 2016 r. (IPA 2016) 197 , która wraz z ustawą regulującą uprawnienia dochodzeniowo-śledcze z 2000 r. (RIPA) w przypadku Anglii, Walii i Irlandii Północnej oraz ustawą regulującą uprawnienia dochodzeniowo-śledcze w Szkocji z 2000 r. (RIPSA), w przypadku Szkocji, zapewnia podstawę prawną i określa obowiązujące ograniczenia i zabezpieczenia dotyczące korzystania z takich uprawnień. W IPA 2016 przewidziano również system masowego korzystania z uprawnień dochodzeniowo-śledczych, chociaż nie jest on dostępny dla organów ścigania (mogą z niego korzystać wyłącznie agencje wywiadowcze) 198 .

(141) Aby skorzystać z tych uprawnień, organy muszą uzyskać nakaz 199  wydany przez właściwy organ 200  i zatwierdzony przez niezależnego komisarza sądowego 201  (tzw. procedura dwustopniowej autoryzacji nakazów). Uzyskanie takiego nakazu wymaga przeprowadzenia analizy niezbędności i proporcjonalności 202 . Ponieważ te ukierunkowane uprawnienia dochodzeniowo-śledcze przewidziane w IPA 2016 są takie same jak uprawnienia, którymi dysponują agencje bezpieczeństwa narodowego, warunki, ograniczenia i zabezpieczenia mające zastosowanie do takich uprawnień zostały szczegółowo omówione w artykule dotyczącym uzyskiwania dostępu do danych osobowych i ich wykorzystywania przez organy publiczne Zjednoczonego Królestwa do celów bezpieczeństwa narodowego (zob. motyw 177 i następne).

3.2.2. Dalsze wykorzystywanie zebranych informacji

(142) Udostępnianie danych przez organ ścigania innemu organowi do celów innych niż te, dla których pierwotnie je zebrano (tzw. "dalsze przekazywanie"), podlega określonym warunkom.

(143) Podobnie do tego, co przewidziano w art. 4 ust. 2 dyrektywy (UE) 2016/680, art. 36 ust. 3 DPA 2018 dopuszcza aby dane osobowe zebrane przez właściwy organ do celów ścigania przestępstw były dalej przetwarzane (przez pierwotnego administratora lub innego administratora) do wszelkich innych celów ścigania przestępstw, pod warunkiem że administrator jest upoważniony na mocy prawa do przetwarzania danych w tym innym celu, a przetwarzanie jest niezbędne i proporcjonalne w odniesieniu tego celu 203 . W takim przypadku wszystkie zabezpieczenia przewidziane w części 3 DPA 2018, o których mowa w motywach 122 i 124, mają zastosowanie do przetwarzania prowadzonego przez organ otrzymujący.

(144) W porządku prawnym Zjednoczonego Królestwa różne ustawy wyraźnie dopuszczają takie dalsze przekazywanie. W szczególności (i) ustawa o gospodarce cyfrowej z 2017 r. umożliwia udostępnianie danych między organami publicznymi do szeregu celów, na przykład w przypadku wszelkich nadużyć finansowych na szkodę sektora publicznego, które wiązałyby się ze stratą lub ryzykiem straty dla organów publicznych 204 , lub w przypadku długu należnego na rzecz organu publicznego lub Korony 205 ; (ii) ustawa o przestępczości i sądach z 2013 r. zezwala na udostępnianie danych Krajowej Agencji ds. Zwalczania Przestępczości (NCA) 206  w celu zwalczania przestępczości poważnej i zorganizowanej, prowadzenia postępowań przygotowawczych w sprawie takich przestępstw i ich ścigania; (iii) ustawa o poważnej przestępczości z 2007 r. zezwala organom publicznym na ujawnianie informacji organizacjom zwalczającym nadużycia finansowe do celów zapobiegania nadużyciom finansowym 207 .

(145) Ustawy te wyraźnie stanowią, że udostępnianie informacji musi być zgodne z zasadami określonymi w DPA 2018 Ponadto Kolegium Policyjne wydało zatwierdzone praktyki zawodowe dotyczące udostępniania informacji 208 , aby pomóc policji w wypełnianiu obowiązków w zakresie ochrony danych wynikających z RODO UK, DPA oraz ustawy o prawach człowieka z 1998 r. Zgodność udostępniania informacji z obowiązującymi ramami prawnymi w zakresie ochrony danych podlega oczywiście kontroli sądowej 209 .

(146) Ponadto podobnie do tego, co wynika z art. 9 dyrektywy (UE) 2016/680, DPA 2018 stanowi, że dane osobowe zebrane w jakimkolwiek celu związanym ze ściganiem przestępstw mogą być przetwarzane w celu, który nie jest celem związanym ze ściganiem przestępstw, jeżeli to przetwarzanie jest dozwolone przez prawo 210 .

(147) Ten rodzaj udostępniania danych obejmuje dwa scenariusze:

1) gdy organ ścigania przekazuje dane organowi niebędącemu organem ścigania ani agencją wywiadowczą (np. organowi ds. regulacji finansowej, organowi podatkowemu, organowi ochrony konkurencji, urzędowi ds. młodzieży itp.) oraz

2) gdy organ ścigania przekazuje dane agencji wywiadowczej. W pierwszym scenariuszu przetwarzanie danych osobowych wchodzi w zakres RODO UK, jak również w zakres części 2 DPA 2018. Komisja oceniła zabezpieczenia przewidziane w RODO UK i części 2 DPA 2018 w motywach 12-111 i stwierdziła, że Zjednoczone Królestwo zapewnia odpowiedni stopień ochrony danych osobowych przekazywanych zgodnie z zakresem stosowania rozporządzenia (UE) 2016/679 z Unii Europejskiej do Zjednoczonego Królestwa.

(148) W drugim scenariuszu, w odniesieniu do udostępniania danych zebranych przez organ ścigania agencji wywiadowczej do celów bezpieczeństwa narodowego, podstawą prawną upoważniającą do takiego udostępniania jest art. 19 ustawy o zwalczaniu terroryzmu z 2008 r. (CTA 2008) 211 . Zgodnie z tą ustawą każdy może przekazać informacje którejkolwiek ze służb wywiadowczych na potrzeby wykonywania którejkolwiek z funkcji tej służby, w tym dotyczącej "bezpieczeństwa narodowego".

(149) Jeśli chodzi o warunki, na jakich dane można udostępniać do celów bezpieczeństwa narodowego, ustawa o służbach wywiadowczych 212  oraz ustawa o Służbie Bezpieczeństwa 213  ograniczają możliwości służb wywiadowczych w zakresie uzyskiwania danych do tego, co jest niezbędne do wykonywania ich funkcji ustawowych. Organy ścigania zamierzające udostępniać dane służbom wywiadowczym będą musiały uwzględnić szereg czynników/ograniczeń oprócz ustawowych funkcji agencji określonych w ustawie o służbach wywiadowczych i ustawie o Służbie Bezpieczeństwa 214 . W art. 20 ustawy o zwalczaniu terroryzmu z 2008 r. wyraźnie wskazano, że wszelkie udostępnianie danych na podstawie art. 19 musi być również zgodne z ustawodawstwem w dziedzinie ochrony danych; oznacza to, że mają zastosowanie wszystkie ograniczenia i wymogi określone w części 3 DPA 2018. Ponadto ponieważ właściwe organy są organami publicznymi w rozumieniu ustawy o prawach człowieka z 1998 r., organy te muszą zagwarantować, że działają zgodnie z prawami określonymi w konwencji, w tym z art. 8 EKPC. Ograniczenia te służą temu, aby wszelkie udostępnianie danych między organami ścigania a służbami wywiadowczymi było zgodne z ustawodawstwem w dziedzinie ochrony danych i EKPC.

(150) Gdy właściwy organ zamierza udostępnić dane osobowe przetwarzane na podstawie części 3 DPA 2018 organom ścigania państwa trzeciego, zastosowanie mają szczególne wymagania 215 . Mianowicie takie przekazywanie może mieć miejsce, gdy odbywa się na podstawie rozporządzeń stwierdzających odpowiedni stopień ochrony wydanych przez Sekretarza Stanu lub, w przypadku braku takich rozporządzeń, pod warunkiem zapewnienia odpowiednich zabezpieczeń. Art. 75 DPA 2018 stanowi, że odpowiednie zabezpieczenia istnieją, gdy ustanowiono je aktem prawnym, który jest wiążący dla zamierzonego odbiorcy, lub gdy administrator, po dokonaniu oceny wszystkich okoliczności związanych z przekazywaniem tego rodzaju danych osobowych do państwa trzeciego lub organizacji międzynarodowej, stwierdza, że istnieją odpowiednie zabezpieczenia służące ochronie danych.

(151) Jeżeli przekazanie nie opiera się na rozporządzeniu stwierdzającym odpowiedni stopień ochrony ani na odpowiednich zabezpieczeniach, może nastąpić wyłącznie w niektórych, określonych okolicznościach, zwanych "szczególnymi okolicznościami" 216 . Dotyczy to sytuacji, w których przekazanie jest niezbędne:

a) w celu ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby;

b) w celu zabezpieczenia uzasadnionych interesów osoby, której dane dotyczą;

c) dla zapobieżenia bezpośredniemu, poważnemu ryzyku naruszenia bezpieczeństwa publicznego państwa członkowskiego lub państwa trzeciego;

d) w indywidualnym przypadku do celów ścigania przestępstw; lub

e) w indywidualnym przypadku do celów prawnych (np. w związku z postępowaniem sądowym lub w celu uzyskania porady prawnej). Należy zauważyć, że lit. d) i

e) nie mają zastosowania, jeżeli podstawowe prawa i wolności osoby, której dane dotyczą, są nadrzędne wobec interesu publicznego przemawiającego za przekazaniem. Ten zbiór okoliczności odpowiada szczególnym sytuacjom i warunkom kwalifikującym się jako "wyjątki" na podstawie art. 38 dyrektywy (UE) 2016/680.

(152) Ponadto w IPA 2016 nałożono dodatkowe zabezpieczenia w sytuacji, w której materiały uzyskane przez organy ścigania na podstawie nakazu upoważniającego do przechwytywania lub ingerencji w urządzenia elektroniczne są przekazywane do państwa trzeciego. W szczególności takie ujawnienie, określone jako "ujawnienie za granicą", jest dozwolone tylko wtedy, gdy organ wydający stwierdzi, że istnieją specjalne odpowiednie rozwiązania ograniczające liczbę osób, którym ujawnia się dane, oraz zakres ujawniania, udostępniania lub kopiowania wszelkich materiałów i liczbę wykonanych kopii. Ponadto organ wydający może stwierdzić, że konieczne są odpowiednie rozwiązania służące zapewnieniu, aby wszelkie kopie jakichkolwiek części tych materiałów zostały zniszczone, gdy tylko przestaną istnieć uzasadnione powody do ich zachowania (o ile nie zostaną zniszczone wcześniej) 217 .

(153) Ponadto szczególne formy dalszego przekazywania danych ze Zjednoczonego Królestwa do Stanów Zjednoczonych mogą w przyszłości odbywać się na podstawie "Umowy między rządem Zjednoczonego Królestwa Wielkiej Brytanii i Irlandii Północnej a rządem Stanów Zjednoczonych Ameryki o dostępie do danych elektronicznych w celu zwalczania poważnej przestępczości" ("umowa między Zjednoczonym Królestwem a USA" lub "umowa") 218  zawartej w październiku 2019 r. 219  Chociaż umowa między Zjednoczonym Królestwem a USA nie weszła jeszcze w życie w momencie przyjmowania niniejszej decyzji, jej spodziewane wejście w życie może mieć wpływ na dalsze przekazywanie do USA danych przekazanych wcześniej do Zjednoczonego Królestwa na podstawie decyzji. Dokładniej rzecz ujmując, dane przekazywane z UE do dostawców usług w Zjednoczonym Królestwie mogą podlegać nakazom wydania elektronicznego materiału dowodowego wydanym przez właściwe organy ścigania USA i stosowanym w Zjednoczonym Królestwie na podstawie wspomnianej umowy po jej wejściu w życie. W związku z tym ocena warunków i zabezpieczeń, na jakich takie nakazy mogą być wydawane i wykonywane, jest istotna dla niniejszej decyzji.

(154) W tym zakresie należy zauważyć, że, po pierwsze, jeśli chodzi o zakres przedmiotowy umowy, ma ona zastosowanie wyłącznie do przestępstw, które podlegają karze pozbawienia wolności o maksymalnym wymiarze co najmniej trzech lat (określanych jako "poważne przestępstwa") 220 , w tym "działalności terrorystycznej". Po drugie, dane przetwarzane w jurysdykcji drugiej strony można uzyskać na podstawie tej umowy wyłącznie w następstwie "nakazu [...] podlegającego kontroli lub nadzorowi na mocy prawa krajowego strony wydającej przez sąd, sędziego lub inny niezależny organ przed postępowaniem lub w trakcie postępowania dotyczącego wykonania nakazu" 221 . Po trzecie, wszelkie nakazy muszą "spełniać wymogi dotyczące racjonalnego uzasadnienia opartego na jasnych i wiarygodnych faktach, szczegółowości, zgodności z prawem i powagi działań będących przedmiotem postępowania przygotowawczego" 222  oraz "dotyczyć określonych kont, jak również wskazywać określoną osobę, konto, adres, urządzenie osobiste lub jakikolwiek inny określony identyfikator" 223 . Po czwarte, dane uzyskane na podstawie tej umowy są objęte ochroną równoważną względem szczególnych zabezpieczeń przewidzianych w tzw. "umowie ramowej między UE a USA" 224  - kompleksowej umowie o ochronie danych zawartej w grudniu 2016 r. przez UE i USA, w której określono zabezpieczenia i prawa mające zastosowanie do przekazywania danych w ramach współpracy dotyczącej ścigania przestępstw - i które w całości włączono do przedmiotowej umowy przez odniesienie na zasadzie mutatis mutandis, przede wszystkim aby uwzględnić szczególny charakter przekazywania danych (tj. przekazywanie danych od operatorów prywatnych do organów ścigania, a nie przekazywanie danych między organami ścigania) 225 . Umowa między Zjednoczonym Królestwem a USA wyraźnie stanowi, że ochrona równoważna ochronie zapewnianej przez umowę ramową między UE a USA będzie miała zastosowanie "do wszystkich danych osobowych wydanych w trakcie wykonywania nakazów podlegających umowie w celu zapewnienia równoważnej ochrony" 226 .

(155) Dane przekazywane organom USA na podstawie umowy między Zjednoczonym Królestwem a USA powinny zatem być objęte ochroną zapewnianą instrumentem prawa Unii, zawierającym niezbędne dostosowania odzwierciedlające charakter takiego przekazywania. Władze Zjednoczonego Królestwa potwierdziły ponadto, że ochrona przewidziana w umowie ramowej będzie miała zastosowanie do wszystkich danych osobowych wydawanych lub przechowywanych na podstawie umowy, niezależnie od charakteru lub rodzaju organu występującego z wnioskiem (np. zarówno federalne, jak i stanowe amerykańskie organy ścigania), tak więc równoważną ochronę należy zapewnić we wszystkich przypadkach. Władze Zjednoczonego Królestwa wyjaśniły jednak również, że nadal trwają rozmowy między Zjednoczonym Królestwem a USA w sprawie szczegółowych ustaleń dotyczących konkretnego wdrożenia zabezpieczeń służących ochronie danych. W kontekście rozmów ze służbami Komisji Europejskiej na temat niniejszej decyzji władze Zjednoczonego Królestwa potwierdziły, że dopuszczą do wejścia umowy w życie dopiero wtedy, gdy będą miały pewność, że zostanie wdrożona zgodnie z przewidzianymi w niej zobowiązaniami prawnymi, w tym w kwestii jasności co do zgodności z normami ochrony danych w przypadku wszelkich danych, o które wystąpiono na podstawie wspomnianej umowy. Ponieważ ewentualne wejście w życie umowy może mieć wpływ na stopień ochrony oceniany w niniejszej decyzji, Zjednoczone Królestwo powinno przekazywać Komisji Europejskiej wszelkie informacje i przyszłe wyjaśnienia na temat sposobu, w jaki USA będzie wypełniać swoje zobowiązania wynikające z umowy, gdy tylko staną się dostępne, a w każdym razie przed wejściem w życie umowy, aby zapewnić właściwe monitorowanie niniejszej decyzji zgodnie z art. 45 ust. 4 rozporządzenia (UE) 2016/679. Szczególna uwaga zostanie poświęcona stosowaniu i dostosowaniu zabezpieczeń umowy ramowej do szczególnego rodzaju przekazywania danych objętego umową między Zjednoczonym Królestwem a USA.

(156) Mówiąc bardziej ogólnie, wszelkie istotne zmiany dotyczące wejścia w życie i stosowania umowy zostaną należycie uwzględnione w kontekście stałego monitorowania niniejszej decyzji, w tym w odniesieniu do niezbędnych konsekwencji, które będzie należało wyciągnąć w przypadku jakichkolwiek przesłanek wskazujących, że zasadniczo odpowiadający stopień ochrony nie jest już zapewniany.

3.2.3. Nadzór

(157) W zależności od uprawnień wykonywanych przez właściwe organy przy przetwarzaniu danych osobowych do celów ścigania przestępstw (czy to na mocy DPA 2018, czy IPA 2016) nadzór nad wykonaniem tych uprawnień zapewniają różne organy. Gdy przetwarzanie danych osobowych wchodzi w zakres części 3 DPA 2018, nadzoruje je Komisarz ds. Informacji 227 . Niezależny i sądowy nadzór nad korzystaniem z uprawnień dochodzeniowo-śledczych na podstawie IPA 2016 zapewnia biuro Komisarza ds. Uprawnień Dochodzeniowo-Śledczych 228  (do tej kwestii odniesiono się w motywach 250-255). Ponadto dodatkowy nadzór gwarantuje parlament oraz inne organy.

3.2.3.1. Nadzór na podstawie części 3 DPA 2018

(158) Ogólne funkcje Komisarza ds. Informacji - którego niezależność i organizację omówiono w motywie 87 - w odniesieniu do przetwarzania danych osobowych wchodzącego w zakres części 3 DPA 2018 określono w załączniku 13 do DPA 2018. Głównym zadaniem Komisarza ds. Informacji jest monitorowanie i egzekwowanie części 3 DPA 2018, jak również zwiększanie świadomości społecznej, doradzanie parlamentowi, rządowi oraz innym instytucjom i organom. Aby utrzymać niezależność sądów, Komisarz ds. Informacji nie jest uprawniony do wykonywania swoich funkcji w odniesieniu do przetwarzania danych osobowych przez osobę fizyczną sprawującą wymiar sprawiedliwości bądź sąd lub trybunał sprawujący wymiar sprawiedliwości. W takich okolicznościach funkcje nadzorcze wykonują inne organy, jak wyjaśniono w motywach 99-103.

(159) Komisarz posiada ogólne uprawnienia dochodzeniowo-śledcze, uprawnienia w zakresie korekt, upoważnień i uprawnienia doradcze w odniesieniu do przetwarzania danych osobowych, do których zastosowanie ma część 3. W szczególności Komisarz posiada uprawnienia do zawiadomienia administratora lub podmiotu przetwarzającego o domniemanym naruszeniu przepisów części 3 DPA 2018, do udzielania ostrzeżeń lub upomnień administratorowi lub podmiotowi przetwarzającemu, który naruszył przepisy części 3 ustawy, a także do wydawania z własnej inicjatywy lub na wniosek opinii dla parlamentu, rządu lub innych instytucji i organów, a także obywateli w sprawie dowolnej kwestii związanej z ochroną danych osobowych 229 .

(160) Ponadto Komisarz posiada uprawnienia do wydawania zawiadomień informacyjnych 230 , zawiadomień oceniających 231  i zawiadomień egzekucyjnych 232 , a także uprawnienia do uzyskania dostępu do dokumentów administratorów i podmiotów przetwarzających, dostępu do ich pomieszczeń 233  oraz nakładania administracyjnych kar pieniężnych w formie zawiadomień w sprawie sankcji 234 . W polityce działań regulacyjnych Komisarza ds. Informacji określono okoliczności, w których wydaje on, odpowiednio, zawiadomienia informacyjne, oceniające, egzekucyjne i zawiadomienia w sprawie sankcji 235  (zob. również motyw 93 oraz motywy 101-102 decyzji stwierdzającej odpowiedni stopień ochrony na podstawie dyrektywy (UE) 2016/680.

(161) Zgodnie z ostatnimi sprawozdaniami rocznymi (2018-2019 236 , 2019-2020 237 ) Komisarz ds. Informacji przeprowadził szereg postępowań i zastosował środki egzekucyjne w odniesieniu do przetwarzania danych przez organy ścigania. Na przykład w październiku 2019 r. Komisarz przeprowadził postępowanie i wydał opinię w sprawie wykorzystywania przez organy ścigania technologii rozpoznawania twarzy w miejscach publicznych. W postępowaniu skupiono się w szczególności na wykorzystywaniu przez policję południowej Walii i Metropolitalną Służbę Policyjną możliwości w zakresie rozpoznawania twarzy na żywo. Komisarz ds. Informacji zbadał również stosowaną przez Metropolitalną Służbę Policyjną "matrycę gangów" 238  i stwierdził szereg poważnych naruszeń przepisów o ochronie danych, które mogły podważyć zaufanie publiczne w kwestii stosowania matrycy i sposobu wykorzystywania danych. W listopadzie 2018 r. Komisarz ds. Informacji wydał zawiadomienie egzekucyjne, w następstwie którego Metropolitalna Służba Policyjna podjęła kroki wymagane do zwiększenia bezpieczeństwa i rozliczalności oraz zapewnienia wykorzystywania danych w sposób proporcjonalny. Innym przykładem działań egzekucyjnych w tym obszarze jest grzywna w wysokości 325 000 GBP, którą Komisarz nałożył w maju 2018 r. na prokuraturę za utracenie niezaszyfrowanych płyt DVD zawierających nagrania z przesłuchań policyjnych. Komisarz ds. Informacji prowadził również postępowania dotyczące szerszych zagadnień, na przykład w pierwszej połowie 2020 r. w sprawie wydobywania danych z telefonów komórkowych do celów policyjnych oraz przetwarzania przez policję danych osób poszkodowanych. Ponadto Komisarz bada obecnie sprawę, która dotyczy dostępu organów ścigania do danych będących w posiadaniu podmiotu sektora prywatnego, Clearview AI Inc. 239

(162) Oprócz wymienionych w motywach 160 i 161 uprawnień Komisarza ds. Informacji do egzekwowania przestrzegania przepisów niektóre naruszenia ustawodawstwa w dziedzinie ochrony danych stanowią przestępstwo i mogą tym samym podlegać sankcjom karnym (art. 196 DPA 2018). Dotyczy to na przykład uzyskania, ujawnienia lub zatrzymania danych osobowych bez zgody administratora oraz doprowadzenia do ujawnienia danych osobowych innej osobie bez zgody administratora 240 ; deanonimizacji informacji będących zanonimizowanymi danymi osobowymi bez zgody administratora odpowiedzialnego za anonimizację danych osobowych 241 ; umyślnego utrudniania Komisarzowi wykonywania jego uprawnień w zakresie kontroli danych osobowych zgodnie z zobowiązaniami międzynarodowymi 242 , składania fałszywych oświadczeń w odpowiedzi na zawiadomienie informacyjne lub niszczenia informacji w związku z zawiadomieniem informacyjnym i oceniającym 243 .

3.2.3.2. Inne organy nadzoru w obszarze ścigania przestępstw

(163) Oprócz Komisarza ds. Informacji istnieje szereg organów nadzorczych w obszarze ścigania przestępstw, które posiadają szczególne uprawnienia związane z kwestiami dotyczącymi ochrony danych. Są to m.in. Komisarz ds. Zatrzymywania i Wykorzystywania Materiału Biometrycznego (Komisarz ds. Biometrii) 244  oraz Komisarz ds. Kamer Nadzorujących 245 .

3.2.3.3. Nadzór parlamentarny w obszarze ścigania przestępstw

(164) Komisja Specjalna do Spraw Wewnętrznych (Home Affairs Select Committee, HASC) zapewnia nadzór parlamentarny w obszarze ścigania przestępstw. Komisja składa się z 11 członków parlamentu wybranych z trzech największych partii politycznych. Zadaniem komisji jest badanie wydatków, administracji i polityki Home Office oraz powiązanych z nim organów publicznych, tj. m.in. policji i Krajowej Agencji ds. Zwalczania Przestępczości, których pracę komisja może kontrolować w szczególności 246 .

(165) Komisja może, w granicach swoich kompetencji, wybrać własny przedmiot dochodzenia, w tym konkretne przypadki, o ile dana sprawa nie jest rozpatrywana przez sąd. Komisja może również zwracać się do szerokiego grona odpowiednich grup i osób fizycznych o przedstawienie dowodów w formie pisemnej i ustnej. Komisja sporządza sprawozdania w sprawie swoich ustaleń i wydaje zalecenia dla rządu 247 . Rząd powinien odpowiedzieć na każde z zaleceń zawartych w sprawozdaniu i musi odpowiedzieć w ciągu 60 dni 248 .

(166) Jeżeli chodzi o niejawny nadzór, Komisja sporządziła również sprawozdanie dotyczące ustawy regulującej uprawnienia dochodzeniowo-śledcze z 2000 r. (RIPA 2000) 249 , w którym stwierdzono, że RIPA 2000 jest nieadekwatna. Sprawozdanie to uwzględniono podczas zastępowania istotnych części ustawy RIPA 2000 ustawą IPA 2016. Pełna lista dochodzeń znajduje się na stronie internetowej komisji 250 .

(167) Zadania Komisji Specjalnej do Spraw Wewnętrznych są wykonywane w Szkocji przez Podkomisję Sprawiedliwości ds. Działań Policyjnych (Justice Subcommittee on Policing), a w Irlandii Północnej przez Komisję Sprawiedliwości (Committee for Justice) 251 .

3.2.4. Środki zaskarżenia

(168) Jeśli chodzi o przetwarzanie danych przez organy ścigania, mechanizmy regulujące środki zaskarżenia określono w części 3 DPA 2018 oraz w IPA 2016, a także w ustawie o prawach człowieka z 1998 r.

(169) Ten zbiór mechanizmów zapewnia osobom, których dane dotyczą, skuteczne administracyjne i sądowe środki zaskarżenia, dzięki czemu mogą dochodzić swoich praw, w tym prawa do uzyskania dostępu do dotyczących ich danych osobowych lub sprostowania lub usunięcia takich danych.

(170) Po pierwsze, zgodnie z art. 165 DPA 2018 osoba, której dane dotyczą, ma prawo do wniesienia skargi do Komisarza ds. Informacji, jeżeli uważa, że doszło do naruszenia części 3 DPA 2018 w odniesieniu do danych osobowych, które jej dotyczą 252 . Komisarz ds. Informacji jest uprawniony do oceny przestrzegania DPA 2018 przez administratora i podmiot przetwarzający, wezwania ich do poczynienia koniecznych kroków w przypadku nieprzestrzegania przepisów oraz nakładania grzywien.

(171) Po drugie DPA 2018 przewiduje prawo do środka ochrony prawnej przeciwko Komisarzowi ds. Informacji, jeżeli nie rozpatrzy on odpowiednio skargi złożonej przez osobę, której dane dotyczą. Mówiąc ściślej, jeżeli Komisarz nie "poczyni postępów" 253  w rozpatrywaniu skargi złożonej przez osobę, której dane dotyczą, skarżący ma dostęp do środka ochrony prawnej przed sądem - może zwrócić się do trybunału pierwszej instancji 254  o nakazanie Komisarzowi podjęcia odpowiednich kroków w celu udzielenia odpowiedzi na skargę lub poinformowania skarżącego o postępach w rozpatrywaniu skargi 255 . Ponadto każda osoba, wobec której Komisarz wydał którekolwiek ze wspomnianych zawiadomień (zawiadomienie informacyjne, oceniające, egzekucyjne lub w sprawie sankcji), może odwołać się do Trybunału Pierwszej Instancji (First Tier Tribunal). Jeżeli Trybunał uzna, że decyzja Komisarza ds. Informacji nie jest zgodna z prawem lub że Komisarz powinien był skorzystać z przysługującej mu swobody uznania w inny sposób, Trybunał uwzględnia odwołanie lub zastępuje zawiadomienie lub decyzję innym zawiadomieniem lub decyzją, które Komisarz mógł wydać 256 .

(172) Po trzecie osoby fizyczne mogą wnieść środki zaskarżenia przeciwko administratorom i podmiotom przetwarzającym bezpośrednio do sądu. W szczególności, zgodnie z art. 167 DPA 2018, osoba, której dane dotyczą, może złożyć wniosek do sądu w sprawie naruszenia jej prawa wynikającego z ustawodawstwa w dziedzinie ochrony danych, a sąd może w drodze nakazu zażądać od administratora podjęcia (lub powstrzymania się od podjęcia) wszelkich kroków w odniesieniu do przetwarzania w celu zapewnienia zgodności z DPA 2018. Ponadto, zgodnie z art. 169 DPA 2018, każda osoba, która poniosła szkodę z powodu naruszenia wymogu określonego w ustawodawstwie w dziedzinie ochrony danych (w tym w części 3 DPA 2018), innym niż RODO UK, jest uprawniona do odszkodowania z tytułu tej szkody od administratora lub podmiotu przetwarzającego, z wyjątkiem sytuacji, gdy administrator lub podmiot przetwarzający udowodni, że nie jest w żaden sposób odpowiedzialny za zdarzenie powodujące szkodę. Szkoda obejmuje zarówno stratę finansową, jak i szkodę niezwiązaną ze stratą finansową, taką jak cierpienie.

(173) Każda osoba, która uważa, że jej prawa, w tym prawa do prywatności i ochrony danych, zostały naruszone przez dowolne organy publiczne, może wreszcie dochodzić roszczeń przed sądami Zjednoczonego Królestwa na podstawie ustawy o prawach człowieka z 1998 r. 257 , a po wyczerpaniu krajowych środków ochrony prawnej osobie fizycznej, organizacji pozarządowej i grupie osób przysługuje środek zaskarżenia przed Europejskim Trybunałem Praw Człowieka z tytułu naruszeń praw gwarantowanych w Konwencji o ochronie praw człowieka i podstawowych wolności 258  (zob. motyw 111).

3.2.4.1. Mechanizmy zaskarżenia dostępne na mocy IPA 2016

(174) Osobom fizycznym przysługują środki zaskarżenia z tytułu naruszenia IPA 2016 przed Trybunałem ds. Uprawnień Dochodzeniowo-Śledczych (Investigatory Powers Tribunal). Możliwe środki zaskarżenia dostępne na podstawie IPA 2016 opisano w motywach 263-269 poniżej.

3.3. Dostęp organów publicznych Zjednoczonego Królestwa do danych w celach związanych z bezpieczeństwem narodowym i wykorzystywanie przez nie danych w tych celach

(175) W porządku prawnym Zjednoczonego Królestwa służbami wywiadowczymi uprawnionymi do gromadzenia informacji elektronicznych będących w posiadaniu administratorów lub podmiotów przetwarzających ze względów bezpieczeństwa narodowego, w sytuacjach istotnych dla scenariusza odpowiedniości, są: Służba Bezpieczeństwa 259  (Security Service, MI5), 260  Tajna Służba Wywiadowcza (Secret Intelligence Service, SIS) oraz Centrala Łączności Rządowej 261  (Government Communications Headquarters, GCHQ) 262 .

3.3.1. Podstawy prawne, ograniczenia i zabezpieczenia

(176) W Zjednoczonym Królestwie uprawnienia agencji wywiadowczych określono w IPA 2016 i RIPA 2000, które wraz z DPA 2018 określają zakres przedmiotowy i podmiotowy tych uprawnień i przewidują ograniczenia i zabezpieczenia w zakresie ich wykonywania. W dalszych sekcjach szczegółowo oceniono powyższe uprawnienia, jak również ograniczenia i zabezpieczenia mające do nich zastosowanie.

3.3.1.1. Uprawnienia dochodzeniowo-śledcze wykonywane w kontekście bezpieczeństwa narodowego

(177) W IPA 2016 przewidziano ramy prawne dla korzystania z uprawnień dochodzeniowo-śledczych, tj. uprawnień do przechwytywania i dostępu do danych pochodzących z łączności oraz dokonywania ingerencji w urządzenia elektroniczne. W IPA 2016 wprowadzono ogólny zakaz i uznano za czyn zabroniony stosowanie technik umożliwiających dostęp do treści komunikacji, dostęp do danych pochodzących z łączności lub ingerencję w urządzenia elektroniczne bez zgodnego z prawem upoważnienia 263 . Znajduje to odzwierciedlenie w fakcie, że korzystanie z tych uprawnień dochodzeniowo-śledczych jest zgodne z prawem tylko wtedy, gdy odbywa się na podstawie nakazu lub upoważnienia 264 .

(178) W IPA 2016 określono szczegółowe zasady regulujące zakres i stosowanie poszczególnych uprawnień dochodzeniowych, a także szczególne ograniczenia i zabezpieczenia ich dotyczące. Stosuje się różne zasady w zależności od rodzaju uprawnień dochodzeniowo-śledczych (przechwytywanie komunikacji, pozyskiwanie i zatrzymywanie danych pochodzących z łączności oraz ingerencja w urządzenia elektroniczne) 265 , a także od tego, czy uprawnienia te wykonuje się w odniesieniu do konkretnego celu, czy też masowo. Szczegółowe informacje na temat zakresu, zabezpieczeń i ograniczeń określonych w IPA 2016 w odniesieniu do poszczególnych środków przedstawiono w sekcji poniżej.

(179) Ponadto uzupełnieniem IPA 2016 jest szereg ustawowych kodeksów postępowania, wydanych przez Sekretarza Stanu, zatwierdzonych przez obie izby parlamentu 266  i obowiązujących w całym państwie, zawierających dalsze wytyczne dotyczące korzystania ze wspomnianych uprawnień 267 . Jakkolwiek osoby, których dane dotyczą, mogą przy wykonywaniu swoich praw powoływać się bezpośrednio na przepisy określone w IPA 2016, w załączniku 7 ust. 5 do IPA 2016 określono, że kodeksy postępowania są dopuszczalne jako dowód w postępowaniu cywilnym i karnym, a sąd, trybunał lub organ nadzorczy może wziąć pod uwagę wszelkie niezgodności z kodeksami przy ustalaniu istotnej kwestii w postępowaniu sądowym 268 . W kontekście oceny wcześniejszych przepisów Zjednoczonego Królestwa w dziedzinie nadzoru - RIPA 2000 - pod kątem jakości prawa wielka izba Europejskiego Trybunału Praw Człowieka wyraźnie uznała znaczenie brytyjskich kodeksów postępowania i przyznała, że ich przepisy mogą być brane pod uwagę przy ocenie przewidywalności przepisów umożliwiających nadzór 269 .

(180) Należy zatem zauważyć, że ukierunkowane uprawnienia (ukierunkowane przechwytywanie 270 , pozyskiwanie danych pochodzących z łączności 271 , zatrzymywanie danych pochodzących z łączności 272  i ukierunkowana ingerencja w urządzenia elektroniczne 273 ) są dostępne dla agencji bezpieczeństwa narodowego i niektórych organów ścigania 274 , podczas gdy wyłącznie służby wywiadowcze mogą korzystać z uprawnień do masowego pozyskiwania danych (tj. masowego przechwytywania 275 , masowego pozyskiwania danych pochodzących z łączności 276 , masowej ingerencji w urządzenia elektroniczne 277  i masowych zbiorów danych osobowych 278 ).

(181) Podejmując decyzję, z którego uprawnienia dochodzeniowo-śledczego należy skorzystać, agencja wywiadowcza musi przestrzegać "ogólnych obowiązków w odniesieniu do prywatności" wymienionych w art. 2 ust. 2 lit. a) IPA 2016, które obejmują analizę niezbędności i proporcjonalności. Ściślej rzecz ujmując, zgodnie z tym przepisem organ publiczny mający zamiar skorzystać z uprawnienia dochodzeniowo-śledczego musi rozważyć (i) czy skutek, który ma zostać osiągnięty za pomocą nakazu, upoważnienia lub zawiadomienia, można by osiągnąć w sposób racjonalny za pomocą innych środków związanych z mniejszą ingerencją w prywatność; (ii) czy stopień ochrony, jaki należy zastosować w odniesieniu do każdego przypadku pozyskiwania informacji na podstawie nakazu, upoważnienia lub zawiadomienia, jest wyższy ze względu na szczególną wrażliwość tych informacji; (iii) interes publiczny w zakresie integralności i bezpieczeństwa systemów telekomunikacyjnych i usług pocztowych oraz (iv) wszelkie inne aspekty interesu publicznego w zakresie ochrony prywatności 279 .

(182) Sposób, w jaki należy stosować te kryteria - oraz sposób, w jaki ocenia się ich zgodność w ramach zatwierdzania korzystania z takich uprawnień przez Sekretarza Stanu i niezależnych komisarzy sądowych - określono dokładniej w odpowiednich kodeksach postępowania. W szczególności korzystanie z któregokolwiek ze wspomnianych uprawnień dochodzeniowych musi być zawsze "proporcjonalne do skutku, który ma zostać osiągnięty[, co] obejmuje zrównoważenie wagi ingerencji w prywatność (i innych względów określonych w art. 2 ust. 2) w stosunku do potrzeby prowadzenia działań pod względem dochodzeniowym, operacyjnym lub w zakresie zdolności". Oznacza to przede wszystkim, że "powinno ono dawać realistyczną perspektywę uzyskania oczekiwanej korzyści i nie powinno być nieproporcjonalne ani arbitralne" oraz, że "[n]ie należy uznawać ingerencji w prywatność za proporcjonalną, jeżeli poszukiwaną informację można by pozyskać za pomocą innych środków związanych z mniejszą ingerencją w prywatność 280 . Ściślej rzecz ujmując, zgodność z zasadą proporcjonalności należy oceniać z uwzględnieniem następujących kryteriów: "(i) zakres proponowanej ingerencji w prywatność w stosunku do skutku, który ma zostać osiągnięty; (ii) to, w jaki sposób i dlaczego metody, które mają zostać przyjęte, spowodują najmniejszą możliwą ingerencję w prywatność danej osoby i innych osób; (iii) to, czy działanie stanowi właściwe wykorzystanie ustawy oraz zasadny sposób osiągnięcia zamierzonego skutku, po rozważeniu wszystkich zasadnych alternatyw; (iv) to, jakich innych metod, w stosownych przypadkach, nie wdrożono lub jakie zastosowano, ale oceniono jako niewystarczające do osiągnięcia celów operacyjnych bez wykorzystania proponowanych uprawnień dochodzeniowo- śledczych" 281 .

(183) W praktyce, jak wyjaśniły władze Zjednoczonego Królestwa, gwarantuje to, że agencja wywiadowcza po pierwsze określa cel operacyjny (wyznaczając w ten sposób granice gromadzenia, np. międzynarodowy cel walki z terroryzmem na określonym obszarze geograficznym), a po drugie, na podstawie tego celu operacyjnego, będzie ona musiała rozważyć, która opcja techniczna (np. ukierunkowane lub masowe przechwytywanie, ukierunkowana lub masowa ingerencja w urządzenia elektroniczne, ukierunkowane lub masowe pozyskiwanie danych pochodzących z łączności) jest najbardziej proporcjonalna (tj. najmniej naruszająca prywatność, por. art. 2 ust. 2 ustawy o uprawnieniach dochodzeniowo-śledczych) do zamierzonego celu i dlatego może zostać zatwierdzona na podstawie jednej z dostępnych ustawowych podstaw prawnych.

(184) Warto zauważyć, że to oparcie się na standardach niezbędności i proporcjonalności zauważył także i przyjął z zadowoleniem specjalny sprawozdawca ONZ ds. prawa do prywatności, Joseph Cannataci, który w odniesieniu do systemu ustanowionego na podstawie IPA 2016 stwierdził, że "[t]e procedury obowiązujące zarówno w ramach służb wywiadowczych, jak i w ramach organów ścigania wydają się systematycznie wymagać rozważenia niezbędności i proporcjonalności środka lub operacji nadzoru przed zaleceniem jego zatwierdzenia, jak również jego przeglądu na tych samych podstawach" 282 . Ponadto zauważył on, że na spotkaniu z przedstawicielami organów ścigania i agencji bezpieczeństwa narodowego "dotarł [do niego] zgodny pogląd, że prawo do prywatności musi być głównym czynnikiem przy podejmowaniu jakichkolwiek decyzji dotyczących środków nadzoru. Wszyscy rozumieli i doceniali niezbędność i proporcjonalność jako kardynalne zasady, które należy brać pod uwagę".

(185) Szczegółowe kryteria wydawania poszczególnych nakazów, a także ograniczenia i zabezpieczenia ustanowione w IPA 2016 w odniesieniu do poszczególnych uprawnień dochodzeniowych opisano szczegółowo w motywach 186-243.

3.3.1.1.1. Ukierunkowane przechwytywanie i badanie

(186) Istnieją trzy rodzaje nakazów ukierunkowanego przechwytywania: nakaz ukierunkowanego przechwytywania 283 , nakaz ukierunkowanego zbadania oraz nakaz wzajemnej pomocy 284 . Warunki ich uzyskania takich nakazów oraz dotyczące ich zabezpieczenia określono w części 2 rozdział 1 IPA 2016

(187) Nakaz ukierunkowanego przechwytywania upoważnia do przechwytywania komunikacji opisanej w nakazie w trakcie jej przekazywania oraz do pozyskiwania innych danych istotnych dla tej komunikacji 285 , w tym danych wtórnych 286 . Nakaz ukierunkowanego badania upoważnia osobę do dokonania wyboru w celu zbadania przechwyconych treści pozyskanych na podstawie nakazu masowego przechwytywania 287 .

(188) Każdy nakaz na podstawie części 2 IPA 2016 może zostać wydany przez Sekretarza Stanu 288  i zatwierdzony przez komisarza sądowego 289 . We wszystkich przypadkach okres obowiązywania każdego rodzaju ukierunkowanego nakazu jest ograniczony do 6 miesięcy 290 , a zastosowanie mają przepisy szczegółowe dotyczące jego zmiany 291  i przedłużania 292 .

(189) Przed wydaniem nakazu Sekretarz Stanu przeprowadza ocenę niezbędności i proporcjonalności 293 . W szczególności w przypadku nakazu ukierunkowanego przechwytywania i nakazu ukierunkowanego badania Sekretarz Stanu powinien sprawdzić, czy środek jest niezbędny z jednego z następujących powodów: interesu bezpieczeństwa narodowego; zapobiegania poważnym przestępstwom lub ich wykrywania lub interesu dobrobytu gospodarczego Zjednoczonego Królestwa 294  w zakresie, w jakim interesy te są również istotne dla interesów bezpieczeństwa narodowego 295 . Z drugiej strony nakaz w ramach wzajemnej pomocy (zob. motyw 139 powyżej) może zostać wydany tylko wtedy, gdy Sekretarz Stanu uzna, że istnieją okoliczności równoważne z tymi, w których wydałby nakaz w celu zapobieżenia poważnemu przestępstwu lub jego wykrycia 296 .

(190) Ponadto Sekretarz Stanu powinien ocenić, czy środek jest proporcjonalny do skutku, który ma zostać osiągnięty 297 . Ocena proporcjonalności wnioskowanych środków musi uwzględniać ogólne obowiązki w odniesieniu do prywatności określone w art. 2 ust. 2 IPA 2016, w szczególności potrzebę oceny, czy skutek, który ma zostać osiągnięty za pomocą nakazu, upoważnienia lub zawiadomienia, można by w zasadny sposób osiągnąć za pomocą innych środków związanych z mniejszą ingerencją w prywatność oraz czy stopień ochrony, który ma być stosowany w odniesieniu do wszelkiego pozyskiwania informacji na podstawie nakazu, jest wyższy ze względu na szczególną wrażliwość tych informacji (zob. motyw 181 powyżej).

(191) W tym celu Sekretarz Stanu musi wziąć pod uwagę wszystkie elementy wniosku przedstawione przez organ składający wniosek, w szczególności te związane z osobami, których ma dotyczyć przechwycenie, oraz ze znaczeniem środka dla dochodzenia. Elementy te wyszczególniono w kodeksie postępowania w zakresie przechwytywania komunikacji i należy je opisać z określonym stopniem szczegółowości 298 . Ponadto w art. 17 IPA 2016 wymaga się, aby w każdym nakazie wydanym na podstawie jej rozdziału 2 wskazano lub opisano konkretną osobę lub grupę osób, organizację lub obiekt, których ma dotyczyć przechwycenie ("cel"). W przypadku nakazu ukierunkowanego przechwytywania lub nakazu ukierunkowanego badania mogą one również odnosić się do grupy osób, więcej niż jednej osoby lub organizacji, lub więcej niż jednego zespołu obiektów (zwane również "nakazem tematycznym") 299 . W takich przypadkach w nakazie należy opisać wspólny cel lub wspólną działalność grupy osób lub ope- rację/dochodzenia oraz wymienić lub opisać jak największą liczbę tych osób/organizacji lub zespół lokali, o ile jest to wykonalne w zasadny sposób 300 . Ponadto we wszystkich nakazach wydanych na podstawie części 2 IPA 2016 należy określić adresy, numery, aparaturę, czynniki lub kombinację czynników, które mają być wykorzystane do identyfikacji komunikacji 301 . W tym zakresie w kodeksie postępowania w zakresie przechwytywania komunikacji określono, że w przypadku nakazu ukierunkowanego przechwytywania i nakazu ukierunkowanego badania "w nakazie należy określić (lub opisać) czynniki lub kombinację czynników, które mają być wykorzystane do identyfikacji komunikacji. Jeżeli komunikacja ma być identyfikowana poprzez (przykładowo) odniesienie do numeru telefonu, numer ten należy określić poprzez podanie go w całości. Jeżeli jednak do identyfikacji komunikacji mają być użyte bardzo złożone lub stale zmieniające się selektory internetowe, selektory te należy opisać w możliwie najszerszym zakresie" 302 .

(192) Ważnym zabezpieczeniem w tym kontekście jest to, że ocena przeprowadzona przez Sekretarza Stanu w celu wydania nakazu wymaga zatwierdzenia przez niezależnego komisarza sądowego 303 , który w szczególności sprawdzi, czy decyzja o wydaniu nakazu jest zgodna z zasadami niezbędności i proporcjonalności 304  (informacje o statusie i roli komisarzy sądowych - zob. motywy 251-256 poniżej). W IPA 2016 doprecyzowano również, że przeprowadzając taką kontrolę, komisarz sądowy musi stosować te same zasady, które zastosowałby sąd w przypadku wniosku o kontrolę sądową 305 . Gwarantuje to, że w każdym przypadku i przed uzyskaniem dostępu do danych niezależny organ systematycznie kontroluje zgodność z zasadą niezbędności i proporcjonalności.

(193) W IPA 2016 przewidziano nieliczne konkretne i wąsko sformułowane wyjątki dotyczące przeprowadzania ukierunkowanego przechwytywania bez nakazu. Ograniczone przypadki są szczegółowo określone w prawie 306  i - z wyjątkiem przypadków opartych na zgodzie nadawcy lub odbiorcy - są prowadzone przez podmioty (prywatne lub publiczne) inne niż krajowe agencje bezpieczeństwa. Ponadto tego rodzaju przechwytywanie odbywa się w celach innych niż gromadzenie informacji wywiadowczych 307 , a w przypadku niektórych z nich bardzo mało prawdopodobne jest, aby gromadzenie danych mogło odbywać się w ramach scenariusza przekazywania danych (np. w przypadku przechwytywania dokonywanego w szpitalu psychiatrycznym lub w więzieniu). Biorąc pod uwagę charakter organu, do którego mają zastosowanie te szczególne przypadki (innego niż krajowe agencje bezpieczeństwa), zastosowanie będą miały wszystkie zabezpieczenia przewidziane w części 2 DPA 2018 i w RODO UK, w tym nadzór Komisarza ds. Informacji i dostępne mechanizmy dochodzenia roszczeń. Ponadto oprócz zabezpieczeń przewidzianych w DPA 2018 w niektórych przypadkach IPA 2016 przewiduje również nadzór ex post Biura Komisarza ds. Uprawnień Dochodzeniowo-Śledczych 308 .

(194) W sytuacji przechwytywania mają zastosowanie dodatkowe ograniczenia i zabezpieczenia związane ze szczególnym statusem osoby lub osób, których dotyczy przechwytywanie 309 . Przykładowo przechwytywanie materiałów objętych prawniczą tajemnicą zawodową jest dozwolone wyłącznie w wyjątkowych i uzasadnionych okolicznościach; osoba wydająca nakaz musi uwzględnić interes publiczny w zachowaniu poufności materiałów objętych prawniczą tajemnicą zawodową oraz to, że istnieją szczególne wymogi dotyczące postępowania z takimi materiałami, ich zatrzymywania i ujawniania 310 .

(195) Ponadto IPA 2016 przewiduje szczególne zabezpieczenia związane z bezpieczeństwem, zatrzymywaniem i ujawnianiem, które Sekretarz Stanu powinien wziąć pod uwagę przed wydaniem ukierunkowanego nakazu 311 . W szczególności w art. 53 ust. 5 IPA 2016 wymaga się, aby każdą kopię wszelkich materiałów zebranych na podstawie nakazu przechowywano w bezpieczny sposób i niszczono, gdy tylko nie ma już istotnych podstaw do jej zatrzymywania, natomiast w art. 53 ust. 2 IPA 2016 wymaga się, aby liczbę osób, którym ujawnia się materiał, oraz zakres, w jakim wszelkie materiały są ujawniane, udostępniane lub kopiowane, ograniczono do minimum niezbędnego do realizacji celów ustawowych.

(196) Ponadto gdy materiał przechwycony na podstawie nakazu ukierunkowanego przechwytywania albo na podstawie nakazu w ramach wzajemnej pomocy ma zostać przekazany do państwa trzeciego ("ujawnienia za granicą"), IPA 2016 przewiduje, że Sekretarz Stanu musi zapewnić, aby istniały odpowiednie ustalenia w celu zapewnienia istnienia podobnych zabezpieczeń dotyczących bezpieczeństwa, zatrzymywania i ujawniania w danym państwie trzecim 312 . Ponadto art. 109 ust. 2 DPA 2018 stanowi, że służby wywiadowcze mogą przekazywać dane osobowe poza terytorium Zjednoczonego Królestwa jedynie wówczas, gdy przekazanie jest niezbędne i proporcjonalne do celów wykonywania ustawowych funkcji administratora lub do innych celów przewidzianych w art. 2 ust. 2 lit. a) ustawy o Służbie Bezpieczeństwa z 1989 r. lub art. 2 ust. 2 lit. a) i art. 4 ust. 2 lit. a) ustawy o służbach wywiadowczych z 1994 r. 313 . Co ważne, wymogi te mają również zastosowanie w przypadkach, w których powołano się na wyłączenie ze względów bezpieczeństwa narodowego zgodnie z art. 110 DPA 2018, ponieważ w art. 110 DPA 2018 nie wymieniono art. 109 DPA 2018 jako jednego z przepisów, od których można odstąpić, jeżeli do celów ochrony bezpieczeństwa narodowego wymagane jest wyłączenie niektórych przepisów.

3.3.1.1.2. Ukierunkowane pozyskiwanie i zatrzymywanie danych pochodzących z łączności

(197) W IPA 2016 zezwolono Sekretarzowi Stanu na wymaganie od operatorów telekomunikacyjnych zatrzymywania danych pochodzących z łączności do celów ukierunkowanego dostępu przez szereg organów publicznych, w tym organy ścigania i agencje wywiadowcze. W części 4 IPA 2016 przewidziano zatrzymywanie danych pochodzących z łączności, natomiast w części 3 przewidziano ukierunkowane pozyskiwanie danych pochodzących z łączności. W części 3 i części 4 IPA 2016 określono również szczegółowe ograniczenia w korzystaniu z tych uprawnień oraz przewidziano określone zabezpieczenia.

(198) Termin "dane pochodzące z łączności" obejmuje odpowiedzi na pytania, kto, kiedy, gdzie i jak przekazał wiadomość, korzystając ze środków łączności, ale nie obejmuje treści tej wiadomości, tj. tego, co powiedziano lub napisano. W odróżnieniu od przechwytywania, pozyskiwanie i zatrzymywanie danych pochodzących z łączności nie ma na celu uzyskania treści wiadomości, ale pozyskanie informacji np. o abonencie usługi telefonicznej lub o szczegółowym rachunku. Mogą one dotyczyć czasu i okresu trwania komunikacji, numeru lub adresu e-mail nadawcy i odbiorcy, a czasami lokalizacji urządzeń, z których dokonano połączenia 314 .

(199) Należy zauważyć, że zatrzymywanie i pozyskiwanie danych pochodzących z łączności zazwyczaj nie będzie dotyczyć danych osobowych osób z UE, przekazywanych na podstawie niniejszej decyzji do Zjednoczonego Królestwa. Obowiązek zatrzymania lub ujawnienia danych pochodzących z łączności zgodnie z częściami 3 i 4 IPA 2016 obejmuje dane, które operatorzy telekomunikacyjni w Zjednoczonym Królestwie gromadzą bezpośrednio od użytkowników usługi telekomunikacyjnej 315 . Ten rodzaj przetwarzania "widoczny dla klienta" zazwyczaj nie wiąże się z przekazywaniem na podstawie niniejszej decyzji, tj. przekazywaniem od administratora lub podmiotu przetwarzającego w UE do administratora lub podmiotu przetwarzającego w Zjednoczonym Królestwie.

(200) Niemniej dla pełnego obrazu sytuacji w poniższych motywach opisano warunki i zabezpieczenia regulujące te systemy pozyskiwania i zatrzymywania danych.

(201) Jako założenie należy zauważyć, że zatrzymywanie i ukierunkowane pozyskiwanie danych pochodzących z łączności przysługuje zarówno krajowym agencjom bezpieczeństwa, jak i niektórym organom ścigania 316 . Warunki wymagające zatrzymywania lub pozyskiwania danych pochodzących z łączności mogą różnić się w zależności od podstawy złożenia wniosku o zastosowanie środka, a mianowicie bezpieczeństwa narodowego lub celu związanego z egzekwowaniem prawa.

(202) W szczególności, chociaż w nowym systemie wprowadzono ogólny wymóg uprzedniego uzyskania zezwolenia niezależnego organu, mający zastosowanie we wszystkich przypadkach zatrzymywania lub pozyskiwania danych pochodzących z łączności (do celów egzekwowania prawa lub do celów związanych z bezpieczeństwem narodowym), w następstwie wyroku Europejskiego Trybunału Sprawiedliwości w sprawie Tele2/Watson 317  wprowadzono szczególne zabezpieczenia w przypadku wystąpienia o zastosowanie środka do celów ochrony porządku publicznego. W szczególności w przypadku gdy wniosek o zatrzymywanie lub pozyskiwanie danych pochodzących z łączności jest wymagany do celów egzekwowania prawa, zawsze wymagane jest uprzednie zezwolenie Komisarza ds. Uprawnień Dochodzeniowo-Śledczych. Nie zawsze ma to miejsce w przypadku wniosku o zastosowanie środka ze względów bezpieczeństwa narodowego, ponieważ, jak opisano poniżej, w niektórych przypadkach taki rodzaj środków może zostać zatwierdzony przez inną osobę zatwierdzającą. Ponadto w nowym systemie próg, w przypadku którego można zezwolić na zatrzymywanie i pozyskiwanie danych pochodzących z łączności, podniesiono do poziomu "poważnych przestępstw" 318 .

(i) Zezwolenie na pozyskiwanie danych pochodzących z łączności

(203) Zgodnie z częścią 3 IPA 2016 właściwe organy publiczne są upoważnione do pozyskiwania danych pochodzących z łączności od operatora telekomunikacyjnego lub dowolnej osoby zdolnej do pozyskania i ujawnienia takich danych. Zezwolenie nie może obejmować przechwytywanie treści komunikacji 319  i traci moc po upływie jednego miesiąca 320  z możliwością przedłużenia pod warunkiem uzyskania dodatkowego zezwolenia 321 . Pozyskanie danych pochodzących z łączności wymaga zezwolenia Komisarza ds. Uprawnień Dochodzeniowo-Śledczych (Investigatory Powers Commissioner) 322  (więcej informacji o jego statusie i uprawnieniach w motywach 250-251 poniżej). Dotyczy to wszystkich przypadków, w których o uzyskanie danych pochodzących z łączności wnioskuje właściwy organ ścigania Art. 61 IPA 2016 stanowi jednak, że gdy dane pozyskuje się w interesie bezpieczeństwa narodowego lub dobrobytu gospodarczego Zjednoczonego Królestwa, o ile są one istotne dla bezpieczeństwa narodowego, lub gdy wniosek złożył członek agencji wywiadowczej na podstawie art. 61 ust. 7 lit. b) 323 , zezwolenie na pozyskanie może wydać 324  Komisarz ds. Uprawnień Dochodzeniowo-Śledczych lub wyznaczony urzędnik wyższego szczebla 325 . Wyznaczony urzędnik nie może mieć związku z danym postępowaniem przygotowawczym ani z daną operacją i musi posiadać praktyczną wiedzę na temat zasad i przepisów w obszarze praw człowieka, w szczególności na temat zasad niezbędności i proporcjonalności 326 . Decyzja podjęta przez wyznaczonego urzędnika podlega nadzorowi ex post prowadzonemu przez Komisarza ds. Uprawnień Dochodzeniowo-Śledczych (zob. bardziej szczegółowe informacje na temat funkcji nadzorczych ex post Komisarza ds. Uprawnień Dochodzeniowo-Śledczych w motywie 254 poniżej).

(204) Zezwolenie na uzyskanie danych pochodzących z łączności wydaje się na podstawie oceny niezbędności i proporcjonalności środka. W szczególności niezbędność środka ocenia się w świetle przesłanek wymienionych w ustawodawstwie 327 . Mając na uwadze ukierunkowany charakter tego środka, musi on być niezbędny również w przypadku konkretnego postępowania przygotowawczego lub konkretnej operacji 328 . Dalsze wymogi dotyczące oceny niezbędności środka określono w kodeksie postępowania w zakresie danych pochodzących z łączności 329 . W szczególności w kodeksie określono, że w celu uzasadnienia takiego żądania we wniosku złożonym przez organ wnioskujący należy wskazać następujące trzy minimalne wymagane elementy: (i) zdarzenie będące przedmiotem postępowania przygotowawczego, takie jak przestępstwo lub zlokalizowanie szczególnie narażonej osoby zaginionej; (ii) osobę, której żądane dane dotyczą - taką osobą może być podejrzany, świadek lub osoba zaginiona; należy przy tym określić, w jaki sposób taka osoba jest związana z danym zdarzeniem; (iii) żądane dane pochodzące z łączności, takie jak numer telefonu lub adres IP; należy przy tym określić, w jaki sposób takie dane wiążą się z daną osobą lub z danym zdarzeniem 330 .

(205) Ponadto pozyskiwanie danych pochodzących z łączności musi być proporcjonalne do celu, któremu służy 331 . W kodeksie postępowania w zakresie danych pochodzących z łączności wyjaśniono, że w ramach takiej oceny osoba zatwierdzająca powinna wyważyć, czy "stopień ingerencji w prawa i wolności danej osoby fizycznej jest proporcjonalny do wynikającej z tej interwencji korzyści dla postępowania przygotowawczego lub operacji prowadzonych przez odpowiedni organ publiczny w interesie publicznym", a ponadto w kodeksie wyjaśniono, że biorąc pod uwagę wszystkie okoliczności danej sprawy "ingerencja w prawa i wolności danej osoby fizycznej nadal może być nieuzasadniona ze względu na nadmierny negatywny wpływ na prawa innej osoby fizycznej lub grupy osób fizycznych". Ponadto na potrzeby szczegółowej oceny proporcjonalności tego środka w kodeksie wymieniono szereg elementów, które należy uwzględnić we wniosku przedstawianym przez organ wnioskujący 332 . Co więcej, szczególną uwagę należy zwracać na rodzaj pozyskiwanych danych pochodzących z łączności ("dane o podmiotach" lub "dane o zdarzeniach" 333 ), a w pierwszej kolejności należy stosować mniej inwazyjną kategorię danych 334 . Kodeks postępowania w zakresie danych pochodzących z łączności zawiera również konkretne wytyczne dotyczące wydawania zezwoleń w przypadku danych pochodzących z łączności dotyczących osób wykonujących określone zawody (w tym lekarzy, prawników, dziennikarzy, parlamentarzystów lub duchownych) 335 , w odniesieniu do których zastosowanie mają dodatkowe zabezpieczenia 336 .

(ii) Nakaz zatrzymywania danych pochodzących z łączności

(206) Część 4 IPA 2016 zawiera przepisy dotyczące zatrzymywania danych pochodzących z łączności, w szczególności kryteria, które muszą być spełnione, aby Sekretarz Stanu mógł wydać nakaz zatrzymywania danych 337 . Zabezpieczenia wprowadzone w IPA są takie same niezależnie od tego, czy dane zatrzymuje się do celów związanych ze ściganiem przestępstwa, czy w interesie bezpieczeństwa narodowego.

(207) Takie nakazy zatrzymywania danych wydaje się w celu zagwarantowania, aby operatorzy telekomunikacyjni zatrzymywali - nie dłużej niż przez 12 miesięcy - odpowiednie dane pochodzące z łączności, które w przeciwnym razie zostałyby usunięte w chwili, gdy nie są już potrzebne do celów prowadzonej działalności gospodarczej 338 . Zatrzymywane dane należy udostępniać przez żądany okres na wypadek, gdyby na późniejszym etapie okazało się, że organ publiczny będzie musiał pozyskać takie dane na podstawie zezwolenia na ukierunkowane pozyskanie danych pochodzących z łączności, przewidzianego w części 3 IPA 2016 i omówionego w motywach 203-205.

(208) Wykonanie uprawnienia do nakazania zatrzymania określonych danych podlega szeregowi ograniczeń i zabezpieczeń. Sekretarz Stanu może wydać operatorowi lub operatorom nakaz zatrzymywania danych 339  wyłącznie wówczas, gdy uważa, że wymóg zatrzymywania danych jest niezbędny w jednym z ustawowych celów 340  oraz jest proporcjonalny do celu, któremu służy 341 . Jak wyjaśniono w tekście samej IPA 2016 342 , przed wydaniem nakazu zatrzymywania danych Sekretarz Stanu musi rozważyć: prawdopodobne korzyści wynikające z takiego nakazu 343 ; opis danych usług telekomunikacyjnych; kwestię, czy należy ograniczyć zatrzymywane dane poprzez odniesienie do lokalizacji lub opisów osób, na których rzecz świadczone są dane usługi telekomunikacyjne 344 ; prawdopodobną liczbę użytkowników (jeżeli jest znana) każdej usługi telekomunikacyjnej, do której odnosi się dany nakaz 345 ; kwestię, czy nakaz jest wykonalny z technicznego punktu widzenia; prawdopodobny koszt wykonania nakazu oraz wszelki inny wpływ nakazu na operatora telekomunikacyjnego (lub opis operatorów), którego dotyczy nakaz 346 . Zgodnie z dalszymi przepisami zawartymi w rozdziale 17 kodeksu postępowania w zakresie danych pochodzących z łączności we wszystkich nakazach zatrzymywania danych należy określić każdy rodzaj zatrzymywanych danych oraz wyjaśnić, dlatego zatrzymywanie danego rodzaju danych jest niezbędne.

(209) We wszystkich przypadkach (zarówno do celów bezpieczeństwa narodowego, jak i do celów egzekwowania prawa) decyzja Sekretarza Stanu o wydaniu nakazu zatrzymania musi zostać zatwierdzona w ramach tzw. procedury dwustopniowej autoryzacji nakazów przez niezależnego komisarza sądowego, który musi w szczególności sprawdzić, czy powiadomienie o zatrzymaniu odpowiednich danych pochodzących z łączności jest konieczne i proporcjonalne do określonego celu ustawowego lub celów ustawowych 347 .

3.3.1.1.3. Ingerencja w urządzenia elektroniczne

(210) Ingerencja w urządzenia elektroniczne oznacza szereg technik stosowanych w celu uzyskania różnego rodzaju danych z urządzeń 348 , w tym z komputerów, tabletów i smartfonów, a także kabli, przewodów i urządzeń pamięciowych 349 . Ingerencja w urządzenia elektroniczne umożliwia uzyskanie zarówno treści komunikacji, jak i danych o urządzeniach 350 .

(211) Zgodnie z art. 13 ust. 1 IPA 2016, aby służby wywiadowcze mogły ingerować w urządzenia elektroniczne, muszą one uzyskać zezwolenie w postaci nakazu wydanego w procedurze dwustopniowej autoryzacji nakazów ustanowionej w tejże ustawie, a także musi występować "związek z Wyspami Brytyjskimi" 351 . Zgodnie z wyjaśnieniami przedstawionymi przez władze Zjednoczonego Królestwa - w sytuacjach, w których dane przekazuje się z Unii Europejskiej do Zjednoczonego Królestwa w zakresie stosowania niniejszej decyzji, zawsze będzie występował "związek z Wyspami Brytyjskimi", a zatem każda ingerencja w urządzenia elektroniczne obejmująca takie dane będzie podlegać wymogowi wydania obowiązkowego nakazu określonemu w art. 13 ust. 1 IPA 2016 352 .

(212) Przepisy dotyczące nakazów ukierunkowanej ingerencji w urządzenia elektroniczne określono w części 5 IPA 2016. Podobnie jak ukierunkowane przechwytywanie, ukierunkowana ingerencja w urządzenia elektroniczne musi dotyczyć określonego "celu", który należy wskazać w nakazie 353 . Wymagane informacje identyfikujące "cel" zależą od przedmiotu sprawy i rodzaju urządzeń podlegających ingerencji. W szczególności w art. 115 ust. 3 IPA określono elementy, które należy uwzględnić w nakazie (np. imię i nazwisko osoby lub nazwę organizacji, opis lokalizacji), w zależności na przykład od tego, czy ingerencja dotyczy urządzenia, które należy do konkretnej osoby, organizacji lub grupy osób, jest w jej posiadaniu lub jest przez nią wykorzystywane, lub też znajduje się w określonej lokalizacji itp. 354  Przesłanki wydania nakazów ukierunkowanej ingerencji w urządzenia elektroniczne zależą od organu publicznego, który kieruje wniosek o wydanie takiego nakazu 355 .

(213) Podobnie jak w przypadku ukierunkowanego przechwytywania organ wydający nakaz musi rozważyć kwestię, czy taki środek jest niezbędny i proporcjonalny do skutku, który ma zostać osiągnięty 356 . Ponadto taki organ powinien również rozważyć, czy istnieją zabezpieczenia dotyczące ochrony, zatrzymywania i ujawniania danych, a także "ujawnienia za granicą" 357  (zob. motyw 196).

(214) Nakaz musi zatwierdzić komisarz sądowy, z wyjątkiem pilnych przypadków 358 . W pilnych przypadkach komisarz sądowy musi zostać poinformowany o wydaniu nakazu i musi zatwierdzić taki nakaz w terminie trzech dni roboczych. Jeżeli komisarz sądowy odmówi zatwierdzenia nakazu, nakaz traci moc i nie może zostać przedłużony 359 . Ponadto komisarz sądowy jest uprawniony do żądania usunięcia wszelkich danych uzyskanych na podstawie nakazu 360 . Fakt, że nakaz został wydany w trybie pilnym, nie ma wpływu na nadzór ex post (zob. motywy 244-255) ani na możliwości dochodzenia roszczeń przez osoby fizyczne (zob. motywy 260-270). Osoby fizyczne mogą w zwykłym trybie złożyć skargę do Komisarza ds. Informacji lub wnieść skargę dotyczącą niewłaściwego postępowania do Trybunału ds. Uprawnień Dochodzeniowo-Śledczych. We wszystkich przypadkach kryterium stosowanym przez komisarza sądowego przy decyzji o zatwierdzeniu nakazu jest kryterium niezbędności i proporcjonalności stosowane w przypadku analizy wniosków o ukierunkowane przechwytywanie 361  (zob. motyw 192 powyżej).

(215) Ponadto szczególne zabezpieczenia stosowane wobec ukierunkowanego przechwytywania mają zastosowanie również w przypadku ingerencji w urządzenia elektroniczne, jeżeli chodzi o okres obowiązywania, przedłużanie i zmianę nakazu, a także w przypadku przechwytywania komunikacji parlamentarzystów, elementów objętych prawniczą tajemnicą zawodową oraz materiałów dziennikarskich (zob. więcej informacji w motywie 193).

3.3.1.1.4. Wykonywanie uprawnień do masowego pozyskiwania danych

(216) Uprawnienia do masowego pozyskiwania danych są uregulowane w części 6 IPA 2016. Ponadto kodeksy postępowania zawierają więcej szczegółowych informacji na temat wykonywania uprawnień do masowego pozyskiwania danych. Chociaż w prawie Zjednoczonego Królestwa nie określono definicji terminu "uprawnienia do masowego pozyskiwania danych", w kontekście IPA 2016 uprawnienia te opisano jako gromadzenie i zatrzymywanie dużych ilości danych pozyskanych przez rząd różnymi środkami (tj. uprawnienia do masowego przechwytywania, masowego pozyskiwania danych, masowej ingerencji w urządzenia elektroniczne i tworzenia masowych zbiorów danych osobowych), do których to danych później organy mają dostęp. Opis ten wyjaśniono, wskazując, czym uprawnienia do masowego pozyskiwania danych nie są: uprawnienia te nie są równoważne z "masową inwigilacją", która nie podlega ograniczeniom ani zabezpieczeniom. Wręcz przeciwnie, jak wyjaśniono poniżej, uprawnienia te podlegają ograniczeniom i zabezpieczeniom mającym na celu zapewnienie, aby nie udzielano powszechnego lub nieuzasadnionego dostępu do danych 362 . W szczególności uprawnienia do masowego pozyskiwania danych można wykonywać wyłącznie w przypadku ustalenia związku między środkiem technicznym, który krajowa agencja wywiadowcza planuje zastosować, a celem operacyjnym, w odniesieniu do którego wystąpiono o zastosowania takiego środka.

(217) Ponadto uprawnienia do masowego pozyskiwania danych przysługują wyłącznie agencjom wywiadowczym i zawsze muszą stanowić przedmiot nakazu wydanego przez Sekretarza Stanu i zatwierdzonego przez komisarza sądowego. Dokonując wyboru środka gromadzenia danych wywiadowczych, należy rozważyć kwestię, czy dany cel można osiągnąć za pomocą "mniej inwazyjnych środków" 363 . Takie podejście wynika z ram legislacyjnych, u których podstaw leży zasada proporcjonalności i w których tym samym przewiduje się pierwszeństwo gromadzenia ukierunkowanego nad masowym.

3.3.1.1.4.1. Masowe przechwytywanie i masowa ingerencja w urządzenia elektroniczne

(218) System masowego przechwytywania przewidziano w części 6 rozdział 1 IPA 2016, natomiast w tej samej części w rozdziale 3 uregulowano kwestię masowej ingerencji w urządzenia elektroniczne. Systemy te są zasadniczo takie same, w związku z czym warunki i dodatkowe zabezpieczenia stosowane wobec takich nakazów analizuje się łącznie.

(i) Warunki i kryteria wydania nakazu

(219) Zakres stosowania nakazu masowego przechwytywania komunikacji ogranicza się do przechwytywania w trakcie jej przekazywania lub odbierania przez osoby fizyczne znajdujące się poza terytorium Wysp Brytyjskich 364 , tj. "komunikacji zagranicznej" 365 , a także do innych istotnych danych i późniejszego wyboru do

celów analizy przechwyconego materiału 366 . Adresat nakazu masowej ingerencji w urządzenia elektroniczne 367  jest uprawniony do ingerencji w dowolne urządzenie do celów pozyskania komunikacji zagranicznej (w tym wszelkich komunikatów słownych, muzycznych, dźwiękowych, obrazów lub wszelkich danych) oraz do pozyskania danych o urządzeniach (dane, które umożliwiają lub ułatwiają funkcjonowania usług pocztowych, systemu telekomunikacyjnego, usług telekomunikacyjnych) lub wszystkich innych informacji 368 .

(220) Sekretarz Stanu może wydać nakaz masowego pozyskania danych wyłącznie na wniosek szefa służby wywiadowczej 369 . Nakaz zatwierdzający masowe przechwytywanie lub masową ingerencję w urządzenia elektroniczne może być wydawany wyłącznie w sytuacjach, gdy jest to niezbędne dla bezpieczeństwa narodowego i do celów zapobieżenia poważnemu przestępstwu lub jego wykrycia, lub ze względu na interesy dobrobytu gospodarczego Zjednoczonego Królestwa istotne dla interesów bezpieczeństwa narodowego 370 . Ponadto art. 142 ust. 7 IPA 2016 stanowi, że w nakazie masowego przechwytywania należy podać bardziej szczegółowe informacje, nieograniczające się wyłącznie do stwierdzenia, że służy on "interesom bezpieczeństwa narodowego", "interesom dobrobytu gospodarczego Zjednoczonego Królestwa" i "zapobieżeniu poważnemu przestępstwu i jego zwalczeniu", i należy ustalić związek między środkiem, którego dotyczy wniosek, a celem lub celami operacyjnymi, które należy wskazać w nakazie.

(221) Cel operacyjny wybiera się w drodze wielopoziomowego procesu. W art. 142 ust. 4 wskazano, że cele operacyjne wskazane w nakazie muszą być tożsame z celami, które w wykazie prowadzonym przez szefów służb wywiadowczych zostały przez nich określone jako cele operacyjne, na potrzeby których przechwycone treści lub dane wtórne uzyskane na podstawie nakazów masowego przechwytywania mogą zostać wybrane do zbadania. Wykaz celów operacyjnych musi zostać zatwierdzony przez Sekretarza Stanu. Sekretarz Stanu może dokonać takiego zatwierdzenia wyłącznie wówczas, gdy ma pewność, że w opisie celu operacyjnego podano więcej szczegółów nie- ograniczających się do wskazania ogólnych podstaw do zatwierdzenia nakazu (którymi są: bezpieczeństwo narodowe lub bezpieczeństwo narodowe i dobrobyt gospodarczy lub zapobieżenie poważnemu przestępstwu) 371 . Na koniec każdego odpowiedniego trzymiesięcznego okresu Sekretarz Stanu musi przekazać egzemplarz wykazu celów operacyjnych parlamentarnej Komisji ds. Agencji Wywiadowczych i Bezpieczeństwa. Ponadto premier musi dokonać przeglądu wykazu celów operacyjnych przynajmniej raz w roku 372 . Jak odnotował Wysoki Trybunał, "[n] ie należy traktować tych zabezpieczeń jako mało ważne, gdyż łącznie tworzą one złożony zestaw trybów odpowiedzialności obejmujących parlament i członków rządu na najwyższych szczeblach" 373 .

(222) W ramach takich celów operacyjnych ogranicza się również wybór przechwyconego materiału, który ma zostać zbadany. To, które spośród wszelkich materiałów zgromadzonych na podstawie nakazu masowego pozyskania danych zostaną wybrane do zbadania, musi być uzasadnione celami operacyjnymi. Jak wyjaśniły władze Zjednoczonego Królestwa, oznacza to, że praktyczne ustalenia dotyczące badania muszą zostać ocenione przez Sekretarza Stanu już na etapie wydania nakazu, przy czym należy zapewnić poziom szczegółowości wystarczający do spełnienia obowiązków ustawowych określonych w art. 152 i 193 IPA 2016 374 . Szczegółowe informacje udzielone Sekretarzowi Stanu w odniesieniu do tych ustaleń muszą obejmować na przykład (w stosownych przypadkach) informacje na temat stopnia, w jakim ustalenia dotyczące filtrowania mogą się różnić w czasie obowiązywania nakazu 375 . Aby uzyskać więcej informacji na temat tego procesu i zabezpieczeń stosowanych na etapie filtrowania i badania, zob. motyw 229 poniżej.

(223) Na wykonanie uprawnień do masowego pozyskiwania danych można zezwolić wyłącznie wówczas, gdy jest to proporcjonalne do celu, któremu służy 376 . Jak określono w kodeksie postępowania w zakresie przechwytywania, każda ocena proporcjonalności musi obejmować "wyważenie stopnia ingerencji w prywatność (i innych względów określonych w art. 2 ust. 2) w stosunku do potrzeby prowadzenia działań pod względem dochodzeniowym, operacyjnym lub w zakresie zdolności. Czynności objęte zezwoleniem powinny dawać realistyczną perspektywę uzyskania oczekiwanej korzyści i nie powinny być nieproporcjonalne lub arbitralne" 377 . Jak już stwierdzono, w praktyce oznacza to, że analiza proporcjonalności opiera się na wyważeniu skutku, który ma być osiągnięty ("cele operacyjne"), dostępnych wariantów technicznych (np. ukierunkowane lub masowe przechwytywanie, ingerencja w urządzenia elektroniczne, pozyskiwanie danych pochodzących z łączności), przy czym preferencyjnie należy traktować środki najmniej inwazyjne (zob. motywy 181 i 182 powyżej). Jeżeli dany cel można osiągnąć za pomocą więcej niż jednego środka, należy wybrać środek mniej inwazyjny.

(224) W kontekście oceny proporcjonalności środka wskazanego we wniosku dodatkowym zabezpieczeniem jest fakt, że Sekretarz Stanu musi otrzymać istotne informacje potrzebne mu do właściwego przeprowadzenia oceny. W szczególności kodeks postępowania w zakresie przechwytywania komunikacji i kodeks postępowania w zakresie ingerencji w urządzenia elektroniczne zawierają wymóg, aby we wniosku składanym przez odpowiedni organ przedstawić kontekst wniosku, opis przechwytywanej komunikacji oraz operatorów telekomunikacyjnych, którzy będą musieli udzielić pomocy, opis zatwierdzonych czynności, cele operacyjne i wyjaśnienie powodów, dla których dane działanie jest niezbędne i proporcjonalne 378 .

(225) Istotny jest wreszcie fakt, że decyzję Sekretarza Stanu o wydaniu nakazu musi zatwierdzić niezależny komisarz sądowy, który poddaje ocenę niezbędności i proporcjonalności proponowanego środka własnej ocenie, kierując się tymi samymi zasadami, które zastosowałby sąd w toku kontroli sądowej 379 . Ściślej mówiąc, komisarz sądowy dokona przeglądu wniosków Sekretarza Stanu w kwestii, czy nakaz jest niezbędny oraz czy działania są proporcjonalne w świetle zasad określonych w art. 2 ust. 2 IPA 2016 (ogólne obowiązki w związku z ochroną prywatności). Komisarz sądowy dokona przeglądu wniosków Sekretarza Stanu pod kątem tego, czy dla każdego z celów operacyjnych określonych w nakazie wybór określonego materiału jest lub może być niezbędny. Jeżeli komisarz sądowy odmówi zatwierdzenia decyzji o wydaniu nakazu, Sekretarz Stanu może: (i) przyjąć taką decyzję i tym samym zrezygnować z wydania nakazu; albo (ii) przekazać sprawę do rozstrzygnięcia przez Komisarza ds. Uprawnień Dochodzeniowo-Śledczych (chyba że pierwotną decyzję wydał Komisarz ds. Uprawnień Dochodzeniowo-Śledczych) 380 .

(ii) Dodatkowe zabezpieczenia

(226) W IPA 2016 określono dalsze ograniczenia dotyczące okresu obowiązywania, przedłużania i zmiany nakazów masowego pozyskania danych. Okres obowiązywania nakazu nie może przekraczać sześciu miesięcy, a każda decyzja o jego przedłużeniu lub zmianie (z wyjątkiem nieznacznych zmian) również podlega obowiązkowi zatwierdzenia przez komisarza sądowego 381 . W kodeksie postępowania w zakresie przechwytywania komunikacji i kodeksie postępowania w zakresie ingerencji w urządzenia elektroniczne stwierdzono, że zmianę celów operacyjnych określonych w nakazie uznaje się za istotną zmianę nakazu 382 .

(227) Podobnie jak w przypadku zasad dotyczących ukierunkowanego przechwytywania, w części 6 IPA 2016 określono, że Sekretarz Stanu musi zapewnić, aby obowiązywały ustalenia zapewniające zabezpieczenia w zakresie zatrzymywania i ujawniania materiałów uzyskanych na podstawie nakazu 383 , a także w odniesieniu do ujawniania za granicą 384 . W szczególności w art. 150 ust. 5 i art. 191 ust. 5 IPA 2016 wymaga się, aby każdą kopię wszelkich materiałów zebranych na podstawie nakazu przechowywano w bezpieczny sposób i niszczono, gdy tylko nie ma już istotnych podstaw do jej zatrzymywania, natomiast w art. 150 ust. 2 i art. 191 ust. 2 wymaga się, aby liczba osób, którym ujawnia się materiał, oraz zakres, w jakim dany materiał jest ujawniany, udostępniany lub kopiowany, były ograniczone do minimum niezbędnego do realizacji celów ustawowych 385 .

(228) Ponadto gdy materiał, który przechwycono w ramach masowego przechwytywania albo masowej ingerencji w urządzenia elektroniczne, ma zostać przekazany do państwa trzeciego ("ujawnienia za granicą"), w IPA 2016 przewiduje się, że Sekretarz Stanu musi zapewnić, aby istniały odpowiednie ustalenia w celu zapewnienia istnienia podobnych zabezpieczeń dotyczących bezpieczeństwa, zatrzymywania i ujawniania w danym państwie trzecim 386 . Ponadto w art. 109 DPA 2018 określono szczegółowe wymogi dotyczące międzynarodowego przekazywania danych osobowych przez służby wywiadowcze do państw trzecich lub organizacji międzynarodowych. Zgodnie z tym przepisem dane nie mogą być przekazywane do państwa ani terytorium poza Zjednoczonym Królestwem ani do organizacji międzynarodowej, chyba że przekazanie jest niezbędne i proporcjonalne do celów wykonywania ustawowych funkcji administratora lub do innych celów przewidzianych w art. 2 ust. 2 lit. a) ustawy o Służbie Bezpieczeństwa z 1989 r. lub art. 2 ust. 2 lit. a) i art. 4 ust. 2 lit. a) ustawy o służbach wywiadowczych z 1994 r. 387 . Co ważne, wymogi te mają również zastosowanie w przypadkach, w których powołano się na wyłączenie ze względów bezpieczeństwa narodowego zgodnie z art. 110 DPA 2018, ponieważ w art. 110 DPA 2018 nie wymieniono art. 109 DPA 2018 jako jednego z przepisów, od których można odstąpić, jeżeli do celów ochrony bezpieczeństwa narodowego wymagane jest wyłączenie niektórych przepisów.

(229) Po zatwierdzeniu nakazu i masowym zgromadzeniu danych dokonuje się wyboru danych do zbadania. Etap wyboru i badania podlega dalszej analizie proporcjonalności prowadzonej przez analityka, który definiuje kryteria wyboru na podstawie celów operacyjnych wskazanych w nakazie (i ewentualnych przyjętych ustaleń dotyczących filtrowania). Jak określono w art. 152 i 193 IPA, wydając nakaz, Sekretarz Stanu musi zapewnić obowiązywanie ustaleń gwarantujących, aby wyboru materiałów dokonywano wyłącznie w odniesieniu do określonych celów operacyjnych oraz aby wybrane materiały były niezbędne i proporcjonalne we wszystkich okolicznościach. W tym kontekście władze Zjednoczonego Królestwa wyjaśniły, że materiały podlegające masowemu przechwytywaniu wybiera się przede wszystkim za pomocą automatycznego filtrowania służącego odrzuceniu danych, co do których nie jest prawdopodobne, aby były one istotne dla bezpieczeństwa narodowego. Dobór filtrów może ulegać zmianie (wraz ze zmianą wzorców, rodzajów i protokołów ruchu internetowego) w zależności od technologii i kontekstu operacyjnego. Na tym etapie dane można wybrać do zbadania wyłącznie wówczas, gdy są one odpowiednie do celów operacyjnych wskazanych w nakazie 388 . Zabezpieczenia przewidziane w IPA 2016 w odniesieniu do badania zebranych materiałów mają zastosowanie do wszelkiego rodzaju danych (zarówno przechwyconych treści, jak i danych wtórnych) 389 . W art. 152 i 193 IPA 2016 przewidziano również ogólny zakaz wyboru do zbadania materiałów odnoszących się do rozmów, w przypadku których nadawcami lub zamierzonymi odbiorcami są osoby fizyczne znajdujące się na terytorium Wysp Brytyjskich. Jeżeli organy zamierzają zbadać takie materiały, składają wniosek o nakaz ukierunkowanego zbadania na podstawie części 2 i 4 IPA 2016 wydawany przez Sekretarza Stanu i zatwierdzany przez komisarza sądowego 390 . Osoba, która celowo wybiera do zbadania przechwycone treści niezgodnie z wymogami określonymi w przepisach 391 , dopuszcza się czynu zabronionego 392 .

(230) Przeprowadzona przez analityka ocena wybranych materiałów podlega nadzorowi ex post sprawowanemu przez Komisarza ds. Uprawnień Dochodzeniowo-Śledczych, który ocenia zgodność z konkretnymi zabezpieczeniami określonymi w IPA 2016 w odniesieniu do etapu badania 393  (zob. również motyw 229). Komisarz ds. Uprawnień Dochodzeniowo-Śledczych musi kontrolować (w tym w drodze audytu, inspekcji i badania) wykonanie przez organy publiczne uprawnień dochodzeniowo-śledczych wymienionych w IPA 2016 394 . W tym kontekście w kodeksie postępowania w zakresie przechwytywania i kodeksie postępowania w zakresie ingerencji w urządzenia elektroniczne wyjaśniono, że dana agencja musi prowadzić dokumentację do celów badania i audytów na późniejszym etapie, a w takiej dokumentacji należy wskazać powody, dla których udostępnienie danych materiałów upoważnionym osobom jest niezbędne i proporcjonalne, oraz mające zastosowanie cele operacyjne 395 . Na przykład w sprawozdaniu rocznym z 2018 r. Biuro Komisarza ds. Uprawnień Dochodzeniowo-Śledczych 396  ustaliło, że udokumentowane przez analityków powody uzasadniające zbadanie określonych materiałów gromadzonych masowo spełniały wymaganą normę proporcjonalności, gdyż przedstawiono wystarczająco szczegółowe uzasadnienie "zapytań" w stosunku do wyznaczonego celu 397 . W swoim sprawozdaniu z 2019 r. Biuro Komisarza ds. Uprawnień Dochodzeniowo-Śledczych wyraźnie zaznaczyło w odniesieniu do uprawnień do masowego pozyskiwania danych swój zamiar kontynuowania kontroli przechwyceń masowych, w tym szczegółową analizę selektorów i kryteriów wyszukiwania 398 . Biuro będzie również nadal uważnie analizować, indywidualnie dla każdego przypadku, wybór środków nadzoru (ukierunkowanych i masowych) zarówno w ramach rozpatrywania wniosków o wydanie nakazu w procedurze dwustopniowej autoryzacji, jak i w ramach kontroli 399 . To dalsze monitorowanie zostanie należycie uwzględnione w kontekście monitorowania przez Komisję niniejszej decyzji, o którym mowa w motywach 281-284.

3.3.1.1.4.2. Masowe pozyskiwanie danych pochodzących z łączności

(231) W części 6 rozdział 2 IPA 2016 uregulowano nakazy masowego pozyskania danych, które to nakazy upoważniają adresata do żądania od operatora telekomunikacyjnego ujawnienia lub uzyskania wszelkich danych pochodzących z łączności będących w posiadaniu operatora. Nakazy te upoważniają również organ wnioskujący do wyboru danych do dalszego etapu badania. Podobnie jak w przypadku ukierunkowanego zatrzymywania i pozyskiwania danych pochodzących z łączności (zob. motyw 199), również masowe pozyskiwanie danych pochodzących z łączności nie dotyczy zazwyczaj danych osobowych osób z UE, które to dane są przekazywane na podstawie niniejszej decyzji do Zjednoczonego Królestwa. Obowiązek ujawnienia danych pochodzących z łączności zgodnie z częścią 6 rozdział 2 IPA 2016 obejmuje dane, które są zbierane przez operatorów telekomunikacyjnych w Zjednoczonym Królestwie bezpośrednio od użytkowników usługi telekomunikacyjnej 400 . Ten rodzaj przetwarzania "widoczny dla klienta" zazwyczaj nie wiąże się z przekazywaniem na podstawie niniejszej decyzji, tj. przekazywaniem od administratora lub podmiotu przetwarzającego w UE do administratora lub podmiotu przetwarzającego w Zjednoczonym Królestwie.

(232) Niemniej dla pełnego obrazu sytuacji poniżej opisano warunki i zabezpieczenia regulujące pozyskiwanie masowych danych pochodzących z łączności.

(233) IPA 2016 zastępuje przepisy dotyczące pozyskiwania masowych danych pochodzących z łączności, które były przedmiotem wyroku TSUE w sprawie Privacy International. Przepisy będące przedmiotem tej sprawy zostały uchylone, a nowy system przewiduje szczególne warunki i zabezpieczenia, na podstawie których można zatwierdzić taki środek.

(234) W szczególności, inaczej niż w poprzednim systemie, w ramach którego Sekretarz Stanu miał pełną swobodę uznania w zatwierdzaniu środka 401 , IPA 2016 wymaga, aby Sekretarz Stanu wydał nakaz wyłącznie wtedy, gdy środek jest niezbędny i proporcjonalny. W praktyce oznacza to, że powinien istnieć związek między dostępem do danych a realizowanym celem 402 . W szczególności Sekretarz Stanu musi ocenić istnienie związku między środkiem, którego dotyczy wniosek, a celem lub celami operacyjnymi wskazanymi w nakazie (zob. motyw 219) w odniesieniu do oceny proporcjonalności; właściwy kodeks postępowania stanowi, że: "Sekretarz Stanu musi wziąć pod uwagę to, czy cel, który ma zostać osiągnięty za pomocą nakazu, można osiągnąć za pomocą innych, mniej inwazyjnych środków (art. 2 ust. 2 lit. a) ustawy). Przykładem może być uzyskanie wymaganych informacji przy użyciu mniej inwazyjnych środków takich jak ukierunkowane pozyskiwanie danych pochodzących z łączności" 403 .

(235) W celu przeprowadzenia takiej oceny Sekretarz Stanu opiera się na informacjach, które szefowie agencji wywiadowczych 404  zobowiązani są przedstawić w swoim wniosku, np. dotyczących powodów, dla których dany środek jest uważany za niezbędny ze względu na jedną z przesłanek ustawowych, oraz powodów, dla których zamierzonego celu nie można w racjonalny sposób osiągnąć za pomocą innych, mniej inwazyjnych środków 405 . Ponadto cele operacyjne ograniczają zakres, w jakim dane uzyskane na podstawie nakazu można wybrać do zbadania 406 . Jak określono we właściwym kodeksie postępowania, cele operacyjne muszą zawierać opis jasnego wymogu oraz wystarczającą liczbę informacji szczegółowych, aby upewnić Sekretarza Stanu, że uzyskane dane mogą zostać wybrane do zbadania wyłącznie ze szczególnych powodów 407 . W praktyce przed wydaniem zezwolenia na wydanie nakazu Sekretarz Stanu będzie musiał upewnić się, że dokonano szczegółowych ustaleń w celu zagwarantowania, że do zbadania wybrane zostaną wyłącznie te materiały, które uznano za niezbędne do badania pod kątem celu operacyjnego i celu ustawowego, oraz że będą one proporcjonalne i niezbędne we wszystkich okolicznościach. Ten szczególny wymóg, odzwierciedlony w art. 158 i 172 408  IPA 2016, dotyczący uprzedniej oceny niezbędności i proporcjonalności kryteriów stosowanych do celów wyboru, stanowi kolejną istotną nowość systemu wprowadzonego w IPA 2016 w porównaniu z systemem obowiązującym poprzednio.

(236) W IPA 2016 nałożono również na Sekretarza Stanu obowiązek zapewnienia, aby przed wydaniem nakazu masowego pozyskiwania danych pochodzących z łączności zostały wprowadzone określone ograniczenia w zakresie bezpieczeństwa, zatrzymywania i ujawniania zgromadzonych danych osobowych 409 . W przypadku ujawnienia za granicą zabezpieczenia opisane w motywie 227, dotyczące masowego przechwytywania i masowej ingerencji w urządzenia elektroniczne, mają zastosowanie również w tym kontekście 410 . Dalsze ograniczenia określono w przepisach dotyczących okresu obowiązywania 411 , przedłużania 412  i zmiany nakazów masowego pozyskania danych 413 .

(237) Co istotne, podobnie jak w przypadku pozostałych uprawnień do masowego pozyskiwania danych, przed wydaniem nakazu Sekretarz Stanu musi uzyskać zatwierdzenie przez komisarza sądowego 414 . Jest to jedna z kluczowych cech systemu wprowadzonego na mocy IPA 2016.

(238) Komisarz ds. Uprawnień Dochodzeniowo-Śledczych przeprowadza nadzór ex post procedury badania materiałów (danych pochodzących z łączności) uzyskanych masowo (zob. motyw 254 poniżej). W tym zakresie w IPA 2016 wprowadzono wymóg, aby przed wyborem danych do zbadania analityk wywiadu przeprowadzający badanie odnotował powód, dla którego proponowane badanie jest niezbędne i proporcjonalne dla określonego celu operacyjnego 415 . W sprawozdaniu rocznym Biura Komisarza ds. Uprawnień Dochodzeniowo-Śledczych z 2019 r. w odniesieniu do praktyki GCHQ i MI5 stwierdzono, że: "kluczowa rola masowych danych pochodzących z łączności dla szerokiego zakresu działań prowadzonych w GCHQ została dobrze wyartykułowana w skontrolowanych przez nas sprawach. Po przeanalizowaniu charakteru danych, o które wystąpiono, oraz wskazanych wymogów wywiadowczych na podstawie dokumentacji upewniliśmy się, że podejście GCHQ i MI5 było niezbędne i proporcjonalne 416 . Odnotowane uzasadnienia MI5 były na dobrym poziomie i spełniały zasady niezbędności i proporcjonalności" 417 .

3.3.1.1.4.3. Zatrzymywanie i badanie masowych zbiorów danych osobowych

(239) Nakazy dotyczące masowych zbiorów danych osobowych 418  upoważniają agencje wywiadowcze do zatrzymywania i badania zbiorów danych, które zawierają dane osobowe dotyczące większej liczby osób fizycznych. Zgodnie z wyjaśnieniami przedstawionymi przez władze Zjednoczonego Królestwa analiza takich zbiorów danych może być dla wspólnoty wywiadowczej Zjednoczonego Królestwa (UKIC) "jedynym sposobem na osiągnięcie postępów w dochodzeniach i identyfikację terrorystów na podstawie bardzo ograniczonych danych wywiadowczych lub w przypadku gdy komunikacja między nimi została celowo ukryta" 419 . Istnieją dwa rodzaje nakazów: grupowe nakazy dotyczące masowych zbiorów danych osobowych (class BPD warrants) 420 , które dotyczą określonej kategorii zbiorów danych, tj. zbiorów danych, które są podobne pod względem zawartości i proponowanego wykorzystania oraz wiążą się z podobnymi zagadnieniami dotyczącymi na przykład stopnia naruszenia prywatności i wrażliwości oraz proporcjonalności wykorzystania danych, co pozwala Sekretarzowi Stanu rozważyć niezbędność i proporcjonalność jednoczesnego pozyskania wszystkich danych w ramach danej kategorii. Na przykład grupowy nakaz dotyczący masowych zbiorów danych osobowych może obejmować zbiory danych o podróży, które odnoszą się do podobnych tras 421 . Indywidualne nakazy dotyczące masowych zbiorów danych osobowych (specific BPD warrants) 422  dotyczą natomiast jednego określonego zbioru danych, takiego jak zbiór danych obejmujący nowy lub nietypowy rodzaj informacji, który nie wchodzi w zakres istniejącego grupowego nakazu dotyczącego masowych zbiorów danych osobowych, albo zbioru danych, który dotyczy określonych rodzajów danych osobowych 423  i w związku z tym wymaga dodatkowych zabezpieczeń 424 . Przepisy IPA 2016 dotyczące masowych zbiorów danych osobowych pozwalają na badanie i zatrzymywanie takich zbiorów danych wyłącznie w przypadku, gdy jest to niezbędne i proporcjonalne 425 , oraz zgodnie z ogólnymi zobowiązaniami dotyczącymi prywatności 426 .

(240) Uprawnienia do wydawania nakazu dotyczącego masowego zbioru danych osobowych podlegają procedurze dwustopniowej autoryzacji: ocenę niezbędności i proporcjonalności środka przeprowadza najpierw Sekretarz Stanu, a następnie komisarz sądowy 427 . Sekretarz Stanu jest zobowiązany rozważyć charakter i zakres rodzaju nakazu i kategorię danych, których dotyczy wniosek, oraz liczbę poszczególnych masowych zbiorów danych osobowych, które mogą zostać objęte danym rodzajem nakazu 428 . Ponadto jak określono w kodeksie postępowania w zakresie zatrzymywania i wykorzystywania przez służby wywiadowcze masowych zbiorów danych osobowych, należy prowadzić szczegółową dokumentację, która podlega kontroli Komisarza ds. Uprawnień Dochodzeniowo-Śledczych 429 . Zatrzymywanie i badanie masowych zbiorów danych osobowych wykraczające poza zakres określony w IPA 2016 jest przestępstwem 430 .

3.3.2. Dalsze wykorzystywanie zebranych informacji

(241) Danych osobowych przetwarzanych na podstawie części 4 DPA 2018 nie można przetwarzać w sposób niezgodny z celem, dla którego zostały zebrane 431 . DPA 2018 stanowi, że administrator może przetwarzać dane w celu innym niż ten, dla którego dane zostały zebrane, jeżeli jest on zgodny z celem pierwotnym i pod warunkiem że administrator jest upoważniony przez prawo do przetwarzania danych, a przetwarzanie jest niezbędne i proporcjonalne 432 . Ponadto ustawa o Służbie Bezpieczeństwa z 1989 r. oraz ustawa o służbach wywiadowczych z 1994 r. stanowią, że szefowie agencji wywiadowczych mają obowiązek dopilnować, aby nie uzyskano ani nie ujawniono żadnych informacji, z wyjątkiem tych, które są niezbędne do właściwego wykonywania funkcji agencji lub do pozostałych ograniczonych i szczególnych celów wymienionych we właściwych przepisach 433 .

(242) Ponadto w art. 109 DPA 2018 określono szczegółowe wymogi dotyczące międzynarodowego przekazywania danych osobowych przez służby wywiadowcze do państw trzecich lub organizacji międzynarodowych. Zgodnie z tym przepisem dane osobowe nie mogą być przekazywane do państwa ani terytorium poza Zjednoczonym Królestwem ani do organizacji międzynarodowej, chyba że przekazanie jest niezbędne i proporcjonalne do celów wykonywania ustawowych funkcji administratora lub do innych celów przewidzianych w art. 2 ust. 2 lit. a) ustawy o Służbie Bezpieczeństwa z 1989 r. lub art. 2 ust. 2 lit. a) i art. 4 ust. 2 lit. a) ustawy o służbach wywiadowczych z 1994 r. 434 . Co ważne, wymogi te mają również zastosowanie w przypadkach, w których powołano się na wyłączenie ze względów bezpieczeństwa narodowego zgodnie z art. 110 DPA 2018, ponieważ w art. 110 DPA 2018 nie wymieniono art. 109 DPA 2018 jako jednego z przepisów, od których można odstąpić, jeżeli do celów ochrony bezpieczeństwa narodowego wymagane jest wyłączenie niektórych przepisów.

(243) Ponadto, jak podkreślił Komisarz ds. Informacji w swoich wytycznych dotyczących przetwarzania danych przez służby wywiadowcze, oprócz zabezpieczeń przewidzianych w części 4 DPA 2018 agencja wywiadowcza, udostępniając dane organowi wywiadowczemu państwa trzeciego, podlega również zabezpieczeniom przewidzianym w innych mających do niej zastosowanie środkach ustawodawczych w celu zapewnienia, aby dane osobowe były pozyskiwane, udostępniane i przetwarzane zgodnie z prawem i w sposób odpowiedzialny 435 . Przykładowo w IPA 2016 określono dalsze zabezpieczenia w odniesieniu do przekazywania do państwa trzeciego materiałów zebranych w drodze ukierunkowanego przechwytywania 436 , ukierunkowanej ingerencji w urządzenia elektroniczne 437 , masowego przechwytywania 438 , masowego pozyskiwania danych pochodzących z łączności 439  oraz masowej ingerencji w urządzenia elektroniczne 440  (tzw. "ujawnienia za granicą"). W szczególności organ wydający nakaz musi zapewnić, aby obowiązywały ustalenia mające na celu zagwarantowanie, że państwo trzecie otrzymujące dane ogranicza liczbę osób, które zapoznają się z materiałami, zakres ujawnienia oraz liczbę kopii wszelkich materiałów do minimum niezbędnego do osiągnięcia dozwolonych celów określonych w IPA 2016 441 .

3.3.3. Nadzór

(244) Dostęp rządowy do celów bezpieczeństwa narodowego nadzoruje szereg różnych organów. Komisarz ds. Informacji nadzoruje przetwarzanie danych osobowych w świetle DPA 2018 (więcej informacji na temat niezależności, roli związanej z powołaniem i uprawnień Komisarza znajduje się w motywach od 85 do 98), natomiast niezależny i sądowy nadzór nad korzystaniem z uprawnień dochodzeniowo-śledczych na mocy IPA 2016 sprawuje Komisarz ds. Uprawnień Dochodzeniowo-Śledczych. Komisarz ds. Uprawnień Dochodzeniowo-Śledczych nadzoruje korzystanie z uprawnień dochodzeniowo-śledczych wynikających z IPA 2016 zarówno przez organy ścigania, jak i przez organy bezpieczeństwa narodowego. Nadzór polityczny jest gwarantowany przez parlamentarną Komisję ds. Służb Wywiadowczych (Intelligence Service Committee of the Parliament).

3.3.3.1. Nadzór na podstawie części 4 ustawy o ochronie danych

(245) Przetwarzanie danych osobowych prowadzone przez służby wywiadowcze na podstawie części 4 DPA 2018, nadzoruje Komisarz ds. Informacji 442 .

(246) Ogólne funkcje Komisarza ds. Informacji w odniesieniu do przetwarzania danych osobowych przez służby wywiadowcze na podstawie części 4 DPA 2018 zostały określone w załączniku 13 do tej ustawy. Jego zadania obejmują m.in.: monitorowanie i egzekwowanie części 4 DPA 2018, zwiększanie świadomości społecznej, doradzanie parlamentowi, rządowi i innym instytucjom w zakresie środków legislacyjnych i administracyjnych, zwiększanie świadomości administratorów i podmiotów przetwarzających w zakresie ich obowiązków, udzielanie informacji osobie, której dane dotyczą, dotyczących wykonywania jej praw czy prowadzenie postepowań.

(247) Komisarz, podobnie jak określono w części 3 DPA 2018, jest uprawniony do powiadamiania administratorów o domniemanym naruszeniu oraz do wydawania ostrzeżeń, że przetwarzanie może naruszać przepisy, a także udziela upomnień, gdy naruszenie zostanie potwierdzone. Może również wydawać zawiadomienia egzekucyjne i zawiadomienia w sprawie sankcji za naruszenie określonych przepisów ustawy 443 . W odróżnieniu jednak od uprawnień określonych w innych częściach DPA 2018 Komisarz nie może wydać zawiadomienia oceniającego organowi bezpieczeństwa narodowego 444 .

(248) Ponadto w art. 110 DPA 2018 przewidziano wyjątek dotyczący korzystania przez Komisarza z niektórych uprawnień, gdy jest to wymagane do celów ochrony bezpieczeństwa narodowego. Wyjątek ten obejmuje uprawnienie Komisarza do wydawania (wszelkiego rodzaju) zawiadomień na podstawie ustawy o ochronie danych (zawiadomień informacyjnych, oceniających, egzekucyjnych i w sprawie sankcji), uprawnienie do przeprowadzania inspekcji zgodnie z zobowiązaniami międzynarodowymi, uprawnienia do wstępu i inspekcji oraz przepisy dotyczące przestępstw 445 . Jak wyjaśniono w motywie 126, wyjątki te mają zastosowanie tylko wtedy, gdy jest to niezbędne i proporcjonalne, oraz po przeprowadzeniu oceny każdego przypadku z osobna.

(249) Komisarz ds. Informacji i służby wywiadowcze Zjednoczonego Królestwa podpisały protokół ustaleń 446 , który ustanawia ramy współpracy w wielu kwestiach, w tym w zakresie powiadamiania o naruszeniu ochrony danych i rozpatrywania skarg osób, których dane dotyczą. W szczególności protokół ten stanowi, że po otrzymaniu skargi Komisarz ds. Informacji oceni prawidłowość zastosowania jakiegokolwiek wyłączenia dotyczącego bezpieczeństwa narodowego. Odpowiednia agencja wywiadowcza jest zobowiązana udzielić odpowiedzi na zapytania kierowane przez Komisarza ds. Informacji w kontekście rozpatrywania skarg indywidualnych w terminie 20 dni roboczych, korzystając z odpowiednich bezpiecznych kanałów, jeżeli zapytania dotyczą informacji niejawnych. Od kwietnia 2018 r. do chwili obecnej Komisarz ds. Informacji otrzymał od osób fizycznych 21 skarg, które dotyczyły służb wywiadowczych. Każda skarga została oceniona, a o rezultacie poinformowano osobę, której dane dotyczą 447 .

3.3.3.2. Nadzór nad wykonywaniem uprawnień dochodzeniowo-śledczych na mocy IPA 2016

(250) Zgodnie z częścią 8 IPA 2016 nadzór nad korzystaniem z uprawnień dochodzeniowo-śledczych sprawuje Komisarz ds. Uprawnień Dochodzeniowo-Śledczych (IPC). Komisarzowi ds. Uprawnień Dochodzeniowo-Śledczych pomagają inni komisarze sądowi, których wspólnie określa się mianem komisarzy sądowych 448 . W IPA 2016 określono gwarancje chroniące niezależność komisarzy sądowych. Od komisarzy sądowych wymaga się, aby zajmowali (obecnie lub w przeszłości) wysokie stanowiska sędziowskie (np. członkostwo w sądach najwyższego szczebla) 449  i, jak każdy pracownik wymiaru sprawiedliwości, korzystają oni ze statusu instytucji niezależnej od rządu 450 . Zgodnie z art. 227 IPA 2016 to premier wyznacza Komisarza ds. Uprawnień Dochodzeniowo-Śledczych i tylu komisarzy sądowych, ilu uzna za niezbędne. Wszyscy komisarze, niezależnie od tego, czy są obecnymi, czy byłymi sędziami, mogą być mianowani wyłącznie na podstawie wspólnego zalecenia trzech głównych sędziów Anglii i Walii, Szkocji oraz Irlandii Północnej, a także Lorda Kanclerza 451 . Sekretarz Stanu musi zapewnić Komisarzowi ds. Uprawnień Dochodzeniowo-Śledczych personel, pomieszczenia, wyposażenie oraz inne urządzenia i usługi 452 . Kadencja komisarzy trwa trzy lata i mogą oni być mianowani ponownie 453 . W ramach dodatkowego zabezpieczenia ich niezależności komisarze sądowi mogą zostać usunięci ze stanowiska wyłącznie w ściśle określonych okolicznościach nakładających wysoki próg: albo przez premiera w szczególnych okolicznościach wymienionych w sposób wyczerpujący w art. 228 ust. 5 IPA 2016 (takich jak upadłość lub kara pozbawienia wolności), albo jeśli uchwała zatwierdzająca usunięcie została przyjęta przez obie izby parlamentu 454 .

(251) Komisarza ds. Uprawnień Dochodzeniowo-Śledczych i komisarzy sądowych wspiera w pełnieniu ich funkcji Biuro Komisarza ds. Uprawnień Dochodzeniowo-Śledczych. Personel Biura Komisarza ds. Uprawnień Dochodzeniowo- Śledczych składa się z zespołu inspektorów, wewnętrznych ekspertów prawnych i technicznych oraz panelu doradczego ds. technologii, zapewniającego fachowe doradztwo. Podobnie jak w przypadku poszczególnych komisarzy sądowych, niezależność Biura Komisarza ds. Uprawnień Dochodzeniowo-Śledczych jest chroniona. Biuro Komisarza ds. Uprawnień Dochodzeniowo-Śledczych jest "organem niezależnym" Home Office, tj. otrzymuje fundusze od Home Office, ale wykonuje swoje funkcje niezależnie 455 .

(252) Główne funkcje komisarzy sądowych określono w art. 229 IPA 2016 456 . W szczególności komisarze sądowi mają szerokie uprawnienia w zakresie uprzedniej zgody, co stanowi część zabezpieczeń wprowadzonych do ram prawnych Zjednoczonego Królestwa wraz z IPA 2016. Komisarze sądowi muszą zatwierdzać nakazy w odniesieniu do ukierunkowanego przechwytywania, ingerencji w urządzenia elektroniczne, masowego zbioru danych osobowych, masowego pozyskiwania danych pochodzących z łączności, a także nakazy zatrzymywania danych pochodzących z łączności 457 . Komisarz ds. Uprawnień Dochodzeniowo-Śledczych musi również zawsze wstępnie zatwierdzać pozyskiwanie danych pochodzących z łączności do celów ścigania przestępstw 458 . Jeżeli komisarz odmówi zatwierdzenia nakazu, Sekretarz Stanu może odwołać się do Komisarza ds. Uprawnień Dochodzeniowo-Śledczych, którego decyzja jest ostateczna.

(253) Specjalny sprawozdawca ONZ ds. prawa do prywatności z dużym zadowoleniem przyjął powołanie komisarzy sądowych w ramach IPA 2016, ponieważ "wszystkie bardziej wrażliwe lub inwazyjne wnioski o prowadzenie nadzoru muszą być zatwierdzone zarówno przez ministra rządu, jak i przez Biuro Komisarza ds. Uprawnień Dochodzeniowo-Śledczych". W szczególności podkreślił, że "ten element kontroli sądowej [poprzez rolę Komisarza ds. Uprawnień Dochodzeniowo-Śledczych], przy wsparciu lepiej wyposażonego zespołu doświadczonych inspektorów i ekspertów ds. technologii, jest jednym z najważniejszych nowych zabezpieczeń wprowadzonych przez IPA" w miejsce wcześniejszego rozdrobnionego systemu organów nadzoru i jako uzupełnienie kompetencji Komisji ds. Agencji Wywiadowczych i Bezpieczeństwa Parlamentu i Trybunału ds. Uprawnień Dochodzeniowo-Śledczych 459 .

(254) Ponadto Komisarz ds. Uprawnień Dochodzeniowo-Śledczych ma uprawnienia do prowadzenia nadzoru ex post 460 , w tym w drodze audytu, kontroli i dochodzeń, nad wykonywaniem uprawnień dochodzeniowo-śledczych na mocy IPA 2016 oraz niektórych innych uprawnień i funkcji przewidzianych w odpowiednich przepisach 461 . Wyniki takiego nadzoru ex post są zawarte w sprawozdaniu, które Komisarz ds. Uprawnień Dochodzeniowo-Śledczych musi przygotowywać corocznie i przedstawiać premierowi 462  oraz które musi być publikowane i przedkładane Parlamentowi 463 . Sprawozdanie zawiera odpowiednie dane statystyczne i informacje na temat korzystania z uprawnień dochodzeniowo-śledczych przez agencje wywiadowcze i organy ścigania, a także na temat stosowania zabezpieczeń w odniesieniu do elementów objętych prawniczą tajemnicą zawodową, poufnych materiałów dziennikarskich i źródeł informacji dziennikarskich, informacji na temat podjętych ustaleń i celów operacyjnych wykorzystywanych w kontekście nakazów masowego pozyskania danych. Ponadto w sprawozdaniu rocznym Biura Komisarza ds. Uprawnień Dochodzeniowo-Śledczych określono, w jakim obszarze organom publicznym przekazano zalecenia i jak się do nich odniesiono 464 .

(255) Zgodnie z art. 231 IPA 2016, jeżeli Komisarz ds. Uprawnień Dochodzeniowo-Śledczych dowie się o jakimkolwiek istotnym błędzie popełnionym przez organy publiczne przy korzystaniu z ich uprawnień dochodzeniowo-śledczych, musi poinformować daną osobę, jeżeli uzna, że błąd jest poważny i że poinformowanie tej osoby leży w interesie publicznym 465 . W szczególności w art. 231 IPA 2016 określono, że informując osobę o błędzie, Komisarz ds. Uprawnień Dochodzeniowo-Śledczych musi przekazać informacje o prawie danej osoby do wystąpienia z wnioskiem do Trybunału ds. Uprawnień Dochodzeniowo-Śledczych, a także przekazać szczegóły, które Komisarz uzna za niezbędne do korzystania z tych praw, a za ujawnieniem przemawia interes publiczny 466 .

3.3.3.3. Nadzór parlamentarny nad służbami wywiadowczymi

(256) Podstawą ustawową regulującą nadzór parlamentarny sprawowany przez Komisję ds. Agencji Wywiadowczych i Bezpieczeństwa jest ustawa o wymiarze sprawiedliwości i bezpieczeństwie z 2013 r. 467 . Na mocy tej ustawy powołano Komisję ds. Agencji Wywiadowczych i Bezpieczeństwa, która stanowi jedną z komisji parlamentu Zjednoczonego Królestwa. W 2013 r. zwiększono zakres uprawnień Komisji ds. Agencji Wywiadowczych i Bezpieczeństwa i obecnie obejmuje on również nadzór nad działaniami operacyjnymi podejmowanymi przez służby bezpieczeństwa. Zgodnie z art. 2 ustawy o wymiarze sprawiedliwości i bezpieczeństwie z 2013 r. Komisji ds. Agencji Wywiadowczych i Bezpieczeństwa powierzono zadanie sprawowania nadzoru nad wydatkami agencji bezpieczeństwa narodowego, ich administracją, realizowaną przez nie polityką oraz podejmowanymi przez nie działaniami operacyjnymi. Zgodnie z ustawą o wymiarze sprawiedliwości i bezpieczeństwie z 2013 r. Komisja ds. Agencji Wywiadowczych i Bezpieczeństwa może prowadzić postępowania w kwestiach operacyjnych, jeżeli nie dotyczą one operacji będących w toku 468 . W protokole ustaleń uzgodnionym między premierem a Komisją ds. Agencji Wywiadowczych i Bezpieczeństwa 469  wyszczególniono elementy, które należy wziąć pod uwagę przy ustalaniu, czy dana czynność jest częścią operacji będącej w toku, czy też nie 470 . Premier może również zwrócić się do Komisji ds. Agencji Wywiadowczych i Bezpieczeństwa o zbadanie operacji będących w toku; komisja może ponadto dokonać przeglądu informacji przekazanych dobrowolnie przez agencje.

(257) Zgodnie z załącznikiem 1 do ustawy o wymiarze sprawiedliwości i bezpieczeństwie z 2013 r. Komisja ds. Agencji Wywiadowczych i Bezpieczeństwa może wystąpić do kierownika każdej z trzech służb wywiadowczych o ujawnienie wszelkich informacji. Agencja jest zobowiązana udostępnić żądane informacje, chyba że Sekretarz Stanu się temu sprzeciwi 471 . Zgodnie z wyjaśnieniami przedstawionymi przez władze Zjednoczonego Królestwa w praktyce przypadki odmowy udostępnienia Komisji ds. Agencji Wywiadowczych i Bezpieczeństwa żądanych przez nią informacji zdarzają się niezwykle rzadko 472 .

(258) W skład Komisji ds. Agencji Wywiadowczych i Bezpieczeństwa wchodzą członkowie izb parlamentu powołani przez premiera po zasięgnięciu opinii lidera opozycji 473 . Komisja ds. Agencji Wywiadowczych i Bezpieczeństwa jest zobowiązana przedstawić parlamentowi sprawozdanie roczne ze swojej działalności, a w stosownych przypadkach również inne sprawozdania 474 . Ponadto Komisja ds. Agencji Wywiadowczych i Bezpieczeństwa jest uprawniona do otrzymywania co trzy miesiące wykazu celów operacyjnych, który wykorzystuje się do badania materiałów otrzymywanych masowo 475 . Premier udostępnia Komisji ds. Agencji Wywiadowczych i Bezpieczeństwa kopie dokumentów dotyczących postępowań, inspekcji lub audytów prowadzonych przez Komisarza ds. Uprawnień Dochodzeniowo-Śledczych, jeżeli przedmiot sprawozdań jest istotny dla ustawowych kompetencji Komisji 476 . Ponadto Komisja może zwrócić się do Komisarza ds. Uprawnień Dochodzeniowo-Śledczych o przeprowadzenie postępowania, a Komisarz musi poinformować Komisję ds. Agencji Wywiadowczych i Bezpieczeństwa o decyzji dotyczącej przeprowadzenia takiego postępowania 477 .

(259) Komisja ds. Agencji Wywiadowczych i Bezpieczeństwa przedstawiła również swoje uwagi na temat projektu IPA 2016, co zaowocowało szeregiem poprawek, które zostały obecnie odzwierciedlone w IPA 2016 478 . W szczególności Komisja ds. Agencji Wywiadowczych i Bezpieczeństwa zaleciła wzmocnienie ochrony prywatności poprzez wprowadzenie zestawu środków ochrony prywatności mających zastosowanie do pełnego zakresu uprawnień dochodzeniowo-śledczych 479 . Komisja zaproponowała również zmiany w zakresie proponowanych możliwości dotyczących ingerencji w urządzenia elektroniczne, masowego zbioru danych osobowych i danych pochodzących z łączności oraz zwróciła się o wprowadzenie innych szczegółowych zmian w celu wzmocnienia ograniczeń i zabezpieczeń w zakresie korzystania z uprawnień dochodzeniowo-śledczych 480 .

3.3.4. Środki zaskarżenia

(260) W dziedzinie dostępu rządu do danych w celach bezpieczeństwa narodowego, osobom, których dane dotyczą, powinna przysługiwać możliwość skorzystania przed niezawisłym i bezstronnym sądem ze środków prawnych w celu uzyskania dostępu do dotyczących ich danych osobowych lub sprostowania lub usunięcia takich danych 481 . Taki organ sądowy musi w szczególności posiadać uprawnienia do przyjmowania wiążących decyzji w sprawie służby wywiadowczej 482 . W Zjednoczonym Królestwie, jak wyjaśniono w motywach 261-271, szereg sądowych środków zaskarżenia zapewnia osobom, których dane dotyczą, możliwość ubiegania się o takie środki ochrony prawnej i skorzystania z nich.

3.3.4.1. Mechanizmy zaskarżenia dostępne w ramach części 4 ustawy o ochronie danych

(261) Zgodnie z art. 165 DPA 2018 osoba, której dane dotyczą, ma prawo do wniesienia skargi do Komisarza ds. Informacji, jeżeli uważa, że doszło do naruszenia części 4 DPA 2018 w odniesieniu do danych osobowych, które jej dotyczą. Komisarz ds. Informacji jest uprawniony do oceny przestrzegania DPA 2018 przez administratora i podmiot przetwarzający oraz wezwania ich do podjęcia koniecznych działań. Ponadto zgodnie z częścią 4 DPA 2018 osoby fizyczne są uprawnione do wystąpienia do Wysokiego Trybunału (lub do Court of Session w Szkocji) o wydanie nakazu zobowiązującego administratora do zapewnienia poszanowania prawa dostępu do danych 483 , prawa do wyrażenia sprzeciwu wobec przetwarzania danych 484  lub prawa do sprostowania danych bądź ich usunięcia 485 .

(262) Osoby fizyczne mogą również dochodzić odszkodowania z tytułu szkód, jakich doznały wskutek niespełnienia przez administratora lub podmiot przetwarzający wymogu ustanowionego w części 4 DPA 2018 486 . Szkoda obejmuje zarówno stratę finansową, jak i szkodę niezwiązaną ze stratą finansową, taką jak cierpienie 487 .

3.3.4.2. Mechanizmy zaskarżenia dostępne na mocy IPA 2016

(263) Osobom fizycznym przysługują środki zaskarżenia z tytułu naruszenia IPA 2016 przed Trybunałem ds. Uprawnień Dochodzeniowo-Śledczych (Investigatory Powers Tribunal).

(264) Trybunał ds. Uprawnień Dochodzeniowo-Śledczych został ustanowiony na mocy RIPA 2000 i jest niezależny od władzy wykonawczej 488 . Zgodnie z art. 65 RIPA 2000 Jej Królewska Mość powołuje członków tego Trybunału na pięcioletnią kadencję. Jej Królewska Mość może odwołać członka tego Trybunału na podstawie oświadczenia 489  obydwu izb parlamentu 490 .

(265) Zgodnie z art. 65 RIPA 2000 Trybunał jest właściwym organem sądowym dla wszelkich skarg wnoszonych przez osoby poszkodowane w toku postępowania prowadzonego na podstawie IPA 2016 lub RIPA 2000 bądź jakiegokolwiek postępowania służb wywiadowczych 491 .

(266) Aby wszcząć postępowanie przed Trybunałem ds. Uprawnień Dochodzeniowo-Śledczych ("wymóg w zakresie legitymacji procesowej"), zgodnie z art. 65 RIPA 2000 osoba fizyczna musi żywić przekonanie 492 , że służba wywiadowcza podjęła określone działania w odniesieniu do niej, jakiegokolwiek składnika jej majątku, jakichkolwiek wysyłanych przez nią lub adresowanych do niej wiadomości lub wiadomości, które miały zostać jej przesłane, lub w odniesieniu do korzystania przez nią z jakichkolwiek usług pocztowych, usług telekomunikacyjnych lub systemu telekomunikacyjnego" 493 . Ponadto skarżący musi być przekonany, że działania te były podejmowane w "okolicznościach budzących wątpliwości" 494  lub "przez służby wywiadowcze lub w ich imieniu" 495 . Ponieważ do owego "przekonania" stosuje się dość szeroką wykładnię 496 , wniesienie sprawy do Trybunału podlega łagodnym wymogom w zakresie legitymacji procesowej.

(267) W przypadku gdy Trybunał ds. Uprawnień Dochodzeniowo-Śledczych rozpatruje wniesioną do niego skargę, jego obowiązkiem jest zbadanie, czy osoby, wobec których w skardze sformułowano jakikolwiek zarzut, dopuściły się naruszeń w stosunku do skarżącego, jak również zbadanie organu, który rzekomo dopuścił się naruszeń, oraz kwestii, czy miało miejsce zarzucane działanie 497 . We wszelkich tego rodzaju postępowaniach przy wydawaniu orzeczeń Trybunał musi stosować te same zasady, które zastosowałby sąd w przypadku wniosku o kontrolę sądową 498 . Ponadto adresaci nakazów lub zawiadomień na podstawie IPA 2016, a także każda inna osoba pełniąca urząd podlegający zwierzchnictwu władzy królewskiej, zatrudniona przez siły policyjne lub Komisarza ds. Dochodzeń Policyjnych i Kontroli mają obowiązek ujawnić lub dostarczyć temu Trybunałowi wszelkie dokumenty i informacje, jakich Trybunał zażąda na potrzeby wykonywania prawa orzekania 499 .

(268) Trybunał ds. Uprawnień Dochodzeniowo-Śledczych musi powiadomić skarżącego o tym, czy wydał orzeczenie na jego korzyść, czy nie 500 . Zgodnie z art. 67 ust. 6 i 7 RIPA 2000 Trybunał jest uprawniony do wydawania nakazów tymczasowych oraz zasądzania odszkodowania lub zastosowania innego nakazu, jaki uzna za stosowny. Może to obejmować nakaz unieważnienia lub anulowania nakazu lub zezwolenia oraz nakaz zniszczenia wszelkich zapisów informacji uzyskanych w ramach wykonywania uprawnień przyznanych na podstawie nakazu, zezwolenia lub zawiadomienia lub w inny sposób przechowywanych przez organ publiczny w odniesieniu do jakiejkolwiek osoby 501 . Zgodnie z art. 67A RIPA 2000 orzeczenie Trybunału można zaskarżyć pod warunkiem uzyskania zgody Trybunału lub właściwego sądu apelacyjnego.

(269) Warto wreszcie zauważyć, że rolę Trybunału ds. Uprawnień Dochodzeniowo-Śledczych omawiano kilkakrotnie w kontekście czynności prawnych przed Europejskim Trybunałem Praw Człowieka, zwłaszcza w sprawie Kennedy przeciwko Zjednoczonemu Królestwu 502 , a ostatnio w sprawie Big Brother Watch i in. przeciwko Zjednoczonemu Królestwu 503 , w przypadku której Trybunał uznał, że "Trybunał ds. Uprawnień Dochodzeniowo-Śledczych zaoferował solidne sądowe środki zaskarżenia każdemu, kto podejrzewał, że jego komunikacja była przechwytywana przez służby wywiadowcze" 504 .

3.3.4.3. Inne dostępne mechanizmy dochodzenia roszczeń

(270) Jak wyjaśniono w motywach 109-111, środki zaskarżenia przewidziane w ustawie o prawach człowieka z 1998 r. i środki umożliwiające zaskarżenie przed Europejski Trybunał Praw Człowieka 505  są również dostępne w obszarze bezpieczeństwa narodowego. W art. 65 ust. 2 RIPA 2000 przyznano Trybunałowi ds. Uprawnień Dochodzeniowo- Śledczych właściwość wyłączną w zakresie wszystkich roszczeń wynikających z ustawy o prawach człowieka w odniesieniu do agencji wywiadowczych 506 . Jak zauważył Wysoki Trybunał, oznacza to, że "kwestia, czy doszło do naruszenia ustawy o prawach człowieka w zakresie okoliczności faktycznych konkretnej sprawy, może być zasadniczo podniesiona i rozstrzygnięta przez niezależny sąd, który może mieć dostęp do wszystkich istotnych materiałów, w tym materiałów niejawnych. [...] W tym kontekście należy również pamiętać, że orzeczenia samego Trybunału mogą obecnie stać się przedmiotem odwołania do odpowiedniego sądu apelacyjnego (w Anglii i Walii byłby to Sąd Apelacyjny) oraz że Sąd Najwyższy orzekł niedawno, że Trybunał może co do zasady podlegać kontroli sądowej: zob. Korona (Privacy International) przeciwko Investigatory Powers Tribunal [2019] UKSC 22; [2019] 2 WLR 1219" 507 .

(271) Z powyższego wynika, że gdy organy ścigania lub organy bezpieczeństwa narodowego Zjednoczonego Królestwa uzyskują dostęp do danych osobowych objętych zakresem niniejszej decyzji, dostęp taki jest regulowany przepisami określającymi warunki, na jakich dostęp ten może mieć miejsce, i zapewniają ograniczenie dostępu do danych i ich dalszego wykorzystywania do tego, co jest niezbędne i proporcjonalne do celu związanego ze ściganiem przestępstw lub bezpieczeństwem narodowym. Ponadto dostęp taki w większości przypadków wymaga uprzedniego zezwolenia organu sądowego, poprzez zatwierdzenie nakazu lub nakazu wydania dowodów, a w każdym przypadku podlega niezależnemu nadzorowi. Po uzyskaniu przez organy publiczne dostępu do danych, ich przetwarzanie, w tym dalsze udostępnianie i dalsze przekazywanie, podlega szczególnym zabezpieczeniom służącym ochronie danych na podstawie części 3 DPA 2018, odzwierciedlającym zabezpieczenia przewidziane w dyrektywie (UE) 2016/680, w przypadku przetwarzania przez organy ścigania, oraz części 4 DPA 2018 w przypadku przetwarzania przez agencje wywiadowcze. Ponadto osoby, których dane dotyczą, korzystają w tym obszarze ze skutecznych administracyjnych i sądowych środków zaskarżenia, w tym prawa do uzyskania dostępu do swoich danych, ich sprostowania lub usunięcia.

(272) Biorąc pod uwagę znaczenie takich warunków, ograniczeń i zabezpieczeń dla celów niniejszej decyzji, Komisja będzie ściśle monitorować stosowanie i interpretację przepisów Zjednoczonego Królestwa regulujących dostęp rządu do danych. Będzie to obejmować odpowiednie kwestie w zakresie prawodawstwa, i regulacji i orzecznictwa, a także działania Komisarza ds. Informacji i innych organów nadzoru w tej dziedzinie. Szczególna uwaga zostanie również poświęcona wykonaniu przez Zjednoczone Królestwo odpowiednich wyroków Europejskiego Trybunału Praw Człowieka, w tym środków określonych w planach działania i sprawozdaniach z działań przedłożonych Komitetowi Ministrów w kontekście nadzoru nad przestrzeganiem orzeczeń Trybunału.

4. WNIOSEK

(273) Komisja uważa, że RODO UK i DPA 2018 zapewniają stopień ochrony danych osobowych przekazywanych z Unii Europejskiej, który zasadniczo odpowiada stopniowi ochrony zagwarantowanemu w rozporządzeniu (UE) 2016/679.

(274) Ponadto Komisja stwierdza, że mechanizmy nadzoru i możliwości dochodzenia roszczeń przewidziane w prawie Zjednoczonego Królestwa - rozumiane jako całość - zapewniają możliwość identyfikowania przypadków naruszenia przepisów i w praktyce nakładania za te naruszania kar oraz oferują osobom, których dane dotyczą, możliwość skorzystania ze środków ochrony prawnej w celu uzyskania dostępu do dotyczących ich danych osobowych, a także - ostatecznie - sprostowania lub usunięcia takich danych.

(275) Wreszcie na podstawie dostępnych informacji na temat porządku prawnego Zjednoczonego Królestwa Komisja uważa, że wszelkie ingerencje w prawa podstawowe osób fizycznych, których dane osobowe są przekazywane z Unii Europejskiej do Zjednoczonego Królestwa, jakich dopuszczają się organy publiczne Zjednoczonego Królestwa do celów zgodnych z interesem publicznym, w szczególności do celów ścigania przestępstw i bezpieczeństwa narodowego, będą ograniczać się do tego, co jest ściśle niezbędne do osiągnięcia danego uzasadnionego celu, oraz że istnieje skuteczna ochrona prawna przed takimi ingerencjami.

(276) W świetle ustaleń niniejszej decyzji należy zatem uznać, że Zjednoczone Królestwo zapewnia odpowiedni stopień ochrony w rozumieniu art. 45 rozporządzenia (UE) 2016/679, interpretowanego w świetle Karty praw podstawowych Unii Europejskiej.

(277) Wniosek ten opiera się zarówno na odpowiednim systemie krajowym Zjednoczonego Królestwa, jak i na jego zobowiązaniach międzynarodowych, w szczególności na przystąpieniu do Konwencji o ochronie praw człowieka i podstawowych wolności i poddaniu się jurysdykcji Europejskiego Trybunału Praw Człowieka. Nieprzerwane przestrzeganie takich zobowiązań międzynarodowych stanowi zatem szczególnie istotny element oceny, na której opiera się niniejsza decyzja.

5. SKUTKI NINIEJSZEJ DECYZJI I DZIAŁANIA ORGANÓW OCHRONY DANYCH

(278) Państwa członkowskie i ich organy mają obowiązek stosować środki niezbędne do zapewnienia zgodności z aktami instytucji unijnych, ponieważ domniemywa się, że akty te są zgodne z prawem, a zatem wywołują skutki prawne do chwili ich wygaśnięcia, uchylenia, stwierdzenia ich nieważności w postępowaniu o stwierdzenie nieważności lub orzeczenia o ich nieważności w następstwie odesłania prejudycjalnego lub zarzutu niezgodności z prawem.

(279) Decyzja stwierdzająca odpowiedni stopień ochrony danych osobowych przyjęta przez Komisję na podstawie art. 45 ust. 3 rozporządzenia (UE) 2016/679 jest zatem wiążąca dla wszystkich organów państw członkowskich, do których jest skierowana, w tym ich niezależnych organów nadzorczych. W szczególności w okresie stosowania niniejszej decyzji przekazywanie danych przez administratora lub podmiot przetwarzający w Unii Europejskiej administratorom lub podmiotom przetwarzającym w Zjednoczonym Królestwie może odbywać się bez konieczności uzyskania jakiegokolwiek dodatkowego zezwolenia.

(280) Należy przypomnieć, że zgodnie z art. 58 ust. 5 rozporządzenia (UE) 2016/679 i jak wyjaśnił Trybunał Sprawiedliwości w wyroku w sprawie Schrems I 508 , jeżeli krajowy organ ochrony danych kwestionuje, w tym na podstawie skargi, zgodność wydanej przez Komisję decyzji stwierdzającej odpowiedni stopień ochrony z przysługującymi osobie fizycznej prawami podstawowymi do prywatności i ochrony danych, należy zapewnić w prawie krajowym drogę prawną umożliwiającą tej osobie podniesienie tych zarzutów przed sądem krajowym, który może być zobowiązany do wystąpienia z odesłaniem prejudycjalnym do Trybunału Sprawiedliwości 509 .

6. MONITOROWANIE, ZAWIESZENIE, UCHYLENIE LUB ZMIANA NINIEJSZEJ DECYZJI

(281) Zgodnie z art. 45 ust. 4 rozporządzenia (UE) 2016/679 Komisja jest zobowiązana na bieżąco monitorować odpowiednie zmiany w Zjednoczonym Królestwie po przyjęciu niniejszej decyzji, aby ocenić, czy nadal zapewnia ono zasadniczo odpowiadający stopień ochrony. Takie monitorowanie jest szczególnie ważne w tym przypadku, ponieważ nowy system ochrony danych Zjednoczonego Królestwa, którym będzie ono zarządzać, stosować go i egzekwować jego stosowanie, nie będzie już podlegać prawu Unii; może również ulegać zmianom. W związku z tym szczególna uwaga zostanie zwrócona na stosowanie w praktyce przepisów Zjednoczonego Królestwa dotyczących przekazywania danych osobowych do państw trzecich oraz na wpływ, jaki może to mieć na stopień ochrony zapewnianej danym przekazywanym na mocy niniejszej decyzji; na skuteczność korzystania z indywidualnych praw, w tym wszelkie istotne zmiany w prawie i praktyce dotyczących wyjątków lub ograniczeń takich praw (w szczególności wyjątku dotyczącego utrzymania skutecznej kontroli imigracyjnej) oraz przestrzegania ograniczeń i zabezpieczeń w odniesieniu do dostępu rządowego. W ramach monitorowania Komisja uwzględni m.in. zmiany w orzecznictwie i nadzór ze strony Komisarza ds. Informacji i innych niezależnych organów.

(282) Aby ułatwić to monitorowanie, władze Zjednoczonego Królestwa powinny niezwłocznie informować Komisję o wszelkich istotnych zmianach w porządku prawnym Zjednoczonego Królestwa, które mają wpływ na ramy prawne będące przedmiotem niniejszej decyzji, a także o wszelkich zmianach praktyk związanych z przetwarzaniem danych osobowych poddanych ocenie w niniejszej decyzji, zarówno w odniesieniu do przetwarzania danych osobowych przez administratorów i podmioty przetwarzające na mocy RODO UK, jak i ograniczeń i zabezpieczeń dotyczących dostępu do danych przez organy publiczne. Powinno to obejmować zmiany dotyczące elementów, o których mowa w motywie 281.

(283) Ponadto, aby Komisja mogła skutecznie realizować funkcję monitorowania, państwa członkowskie powinny informować ją o wszelkich istotnych działaniach podejmowanych przez organy ochrony danych państw członkowskich, zwłaszcza w odniesieniu do zapytań lub skarg osób z UE, których dane dotyczą, dotyczących przekazywania danych osobowych z Unii administratorom i podmiotom przetwarzającym w Zjednoczonym Królestwie. Komisja powinna być również informowana o wszelkich sygnałach świadczących o tym, że działania organów publicznych Zjednoczonego Królestwa odpowiedzialnych za zapobieganie przestępczości, prowadzenie postępowań przygotowawczych, wykrywanie lub ściganie czynów zabronionych, lub za bezpieczeństwo narodowe, w tym wszelkich organów nadzoru, nie gwarantują wymaganego stopnia ochrony.

(284) W przypadku gdy z dostępnych informacji, w szczególności informacji uzyskanych w wyniku monitorowania niniejszej decyzji lub przedstawionych przez władze Zjednoczonego Królestwa lub państw członkowskich, wynika, że stopień ochrony zapewniany przez Zjednoczone Królestwo może nie być już odpowiedni, Komisja powinna powiadomić o tym właściwe organy Zjednoczonego Królestwa i zwrócić się o zastosowanie właściwych środków w określonym terminie, który nie może przekraczać trzech miesięcy. W razie potrzeby okres ten może zostać przedłużony o określony czas, biorąc pod uwagę charakter danej kwestii i środki, które należy zastosować. Procedura taka byłaby uruchamiana m.in. w przypadkach, w których dalsze przekazywanie danych, w tym na podstawie nowych rozporządzeń stwierdzających odpowiedni stopień ochrony przyjętych przez sekretarza stanu lub umów międzynarodowych zawartych przez Zjednoczone Królestwo, nie odbywałoby się już w ramach gwarancji zapewniających ciągłość ochrony w rozumieniu art. 44 rozporządzenia (UE) 2016/679.

(285) Jeśli po upływie tego określonego terminu właściwe organy Zjednoczonego Królestwa nie zastosują tych środków lub w inny zadowalający sposób nie wykażą, że niniejsza decyzja jest nadal oparta na odpowiednim stopniu ochrony, Komisja rozpocznie procedurę, o której mowa w art. 93 ust. 2 rozporządzenia (UE) 2016/679, w celu częściowego lub całkowitego zawieszenia lub uchylenia niniejszej decyzji.

(286) Ewentualnie Komisja rozpocznie tę procedurę w celu zmiany decyzji, zwłaszcza uzależniając przekazywanie danych od spełnienia dodatkowych warunków lub ograniczając zakres stwierdzenia odpowiedniego stopnia ochrony wyłącznie do przekazywania danych, co do których zapewniono ciągłość odpowiedniego stopnia ochrony.

(287) W należycie uzasadnionych, szczególnie pilnych przypadkach Komisja skorzysta z możliwości przyjęcia zgodnie z procedurą, o której mowa w art. 93 ust. 3 rozporządzenia (UE) 2016/679, mających natychmiastowe zastosowanie aktów wykonawczych zawieszających, uchylających lub zmieniających decyzję.

7. OKRES OBOWIĄZYWANIA I PRZEDŁUŻENIE OBOWIĄZYWANIA NINIEJSZEJ DECYZJI

(288) Komisja musi wziąć pod uwagę, że wraz z zakończeniem okresu przejściowego przewidzianego w umowie o wystąpieniu oraz z chwilą, gdy przestanie obowiązywać przepis przejściowy określony w art. 782 umowy o handlu i współpracy między Zjednoczonym Królestwem a UE, Zjednoczone Królestwo będzie zarządzać nowym systemem ochrony danych w porównaniu z systemem, który obowiązywał, gdy Zjednoczone Królestwo było związane prawem Unii, a także stosować go i egzekwować jego stosowanie. Może to w szczególności obejmować poprawki lub zmiany w ramach ochrony danych poddanych ocenie w niniejszej decyzji, jak również inne istotne zmiany.

(289) W związku z tym należy zapewnić, aby niniejsza decyzja była stosowana przez okres czterech lat od chwili jej wejścia w życie.

(290) W przypadku gdy w szczególności z informacji uzyskanych w wyniku monitorowania niniejszej decyzji będzie wynikało, że ustalenia dotyczące odpowiedniego stopnia ochrony zapewnianego w Zjednoczonym Królestwie są nadal uzasadnione pod względem faktycznym i prawnym, Komisja powinna, najpóźniej sześć miesięcy przed zakończeniem okresu stosowania niniejszej decyzji, wszcząć procedurę zmiany niniejszej decyzji poprzez przedłużenie jej zakresu czasowego, co do zasady, na dodatkowy okres czterech lat. Każdy taki akt wykonawczy zmieniający niniejszą decyzję należy przyjąć zgodnie z procedurą, o której mowa w art. 93 ust. 2 rozporządzenia (UE) 2016/679.

8. UWAGI KOŃCOWE

(291) Europejska Rada Ochrony Danych opublikowała swoją opinię 510 , która została uwzględniona podczas przygotowywania niniejszej decyzji.

(292) Środki przewidziane w niniejszej decyzji są zgodne z opinią komitetu ustanowionego na mocy art. 93 rozporządzenia (UE) 2016/679,

PRZYJMUJE NINIEJSZĄ DECYZJĘ: