Decyzja wykonawcza 2021/1773 na podstawie dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/680, stwierdzająca odpowiedni stopień ochrony danych osobowych przez Zjednoczone Królestwo

(Dz.U.UE L z dnia 11 października 2021 r.)

KOMISJA EUROPEJSKA,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,

uwzględniając dyrektywę Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylającą decyzję ramową Rady 2008/977/WSiSW 1 , w szczególności jej art. 36 ust. 3,

a także mając na uwadze, co następuje:

1. WPROWADZENIE

(1) W dyrektywie (UE) 2016/680 określono zasady przekazywania danych osobowych przez właściwe organy w Unii państwom trzecim i organizacjom międzynarodowym w stopniu, w jakim takie przekazywanie wchodzi w zakres jej stosowania. Zasady dotyczące międzynarodowego przekazywania danych przez właściwe organy określono w rozdziale V dyrektywy (UE) 2016/680, a konkretniej w art. 35-40. Przepływ danych osobowych do państw spoza Unii Europejskiej oraz z takich państw jest niezbędnym warunkiem skutecznej współpracy w zakresie ścigania przestępstw, należy jednak zagwarantować, aby takie przekazywanie danych osobowych nie obniżało stopnia ochrony zapewnianego tym danym w Unii Europejskiej 2 .

(2) Na podstawie art. 36 ust. 3 dyrektywy (UE) 2016/680 Komisja może w drodze aktu wykonawczego przyjąć decyzję stwierdzającą, że państwo trzecie, terytorium lub określony sektor lub określone sektory w tym państwie trzecim lub organizacja międzynarodowa zapewniają odpowiedni stopień ochrony. Przy spełnieniu tego warunku przekazywanie danych osobowych do państwa trzeciego może nastąpić bez konieczności uzyskania dodatkowego zezwolenia (z wyjątkiem sytuacji, w której inne państwo członkowskie, od którego dane uzyskano, musi udzielić zgody na ich przekazanie), jak przewidziano w art. 35 ust. 1 i motywie 66 dyrektywy (UE) 2016/680.

(3) Jak określono w art. 36 ust. 2 dyrektywy (UE) 2016/680, przy przyjmowaniu decyzji stwierdzającej odpowiedni stopień ochrony należy opierać się na wszechstronnej analizie porządku prawnego państwa trzeciego. W swojej ocenie Komisja musi ustalić, czy dane państwo trzecie daje gwarancje zapewniające stopień ochrony "zasadniczo odpowiadający" stopniowi ochrony zapewnianemu w Unii Europejskiej (motyw 67 dyrektywy (UE) 2016/680). Oceny spełnienia tego warunku dokonuje się według standardu ustanowionego w przepisach UE, w szczególności w dyrektywie (UE) 2016/680, a także w orzecznictwie Trybunału Sprawiedliwości Unii Europejskiej 3 . Istotne znaczenie w tym zakresie mają również wytyczne dotyczące odpowiedniego stopnia ochrony przekazywanych danych osobowych zatwierdzone przez Europejską Radę Ochrony Danych 4 .

(4) Jak wyjaśnił w swoim orzecznictwie Trybunał Sprawiedliwości Unii Europejskiej, nie oznacza to konieczności stwierdzenia identycznego stopnia ochrony 5 . W szczególności środki, z jakich korzysta dane państwo trzecie do zapewnienia ochrony danych osobowych, mogą różnić się od środków wprowadzonych w Unii Europejskiej, o ile w praktyce skutecznie zapewniają odpowiedni stopień ochrony 6 . Odpowiedni standard ochrony nie wymaga zatem dokładnego powielenia przepisów unijnych. Przy określaniu odpowiedniości chodzi raczej o stwierdzenie, czy biorąc pod uwagę istotę prawa do prywatności oraz jego skuteczne wprowadzenie w życie, egzekwowanie i nadzór nad jego przestrzeganiem, dany zagraniczny system zapewnia jako całość wymagany stopień ochrony 7 .

(5) Komisja uważnie przeanalizowała właściwe prawo i praktykę Zjednoczonego Królestwa. Na podstawie ustaleń przedstawionych poniżej Komisja stwierdza, że Zjednoczone Królestwo zapewnia odpowiedni stopień ochrony danych osobowych przekazywanych przez właściwe organy Unii, zgodnie z zakresem stosowania dyrektywy (UE) 2016/680, właściwym organom w Zjednoczonym Królestwie, zgodnie z zakresem stosowania części 3 ustawy o ochronie danych z 2018 r. (DPA 2018) 8 .

(6) Niniejsza decyzja skutkuje tym, że dane można przekazywać w ten sposób bez potrzeby uzyskania dalszego zezwolenia przez okres czterech lat, z możliwością przedłużenia obowiązywania decyzji po upływie tego terminu, bez uszczerbku dla warunków określonych w art. 35 dyrektywy (UE) 2016/680.

2. PRZEPISY MAJĄCE ZASTOSOWANIE DO PRZETWARZANIA DANYCH OSOBOWYCH PRZEZ WŁAŚCIWE ORGANY DO CELÓW ŚCIGANIA PRZESTĘPSTW

2.1. Ramy konstytucyjne

(7) Zjednoczone Królestwo jest demokracją parlamentarną. W państwie tym istnieje suwerenny parlament, który jest nadrzędny wobec wszystkich innych instytucji rządowych, władza wykonawcza wywodząca się z parlamentu i przed nim odpowiedzialna oraz niezależna władza sądownicza. Legitymacja władzy wykonawczej wywodzi się z jej zdolności do zdobycia zaufania wybranej Izby Gmin; władza wykonawcza jest odpowiedzialna przed obiema izbami parlamentu (Izbą Gmin i Izbą Lordów) odpowiadającymi za nadzorowanie rządu oraz za debatowanie nad ustawami i ich uchwalanie. Parlament Zjednoczonego Królestwa przekazał Parlamentowi Szkockiemu, Zgromadzeniu Narodowemu Walii (Senedd Cymru) oraz Zgromadzeniu Irlandii Północnej odpowiedzialność za stanowienie prawa w niektórych kwestiach krajowych w Szkocji, Walii i Irlandii Północnej. Chociaż ochrona danych jest kwestią zastrzeżoną dla parlamentu Zjednoczonego Królestwa, tj. w całym państwie obowiązują te same przepisy, inne obszary polityki istotne dla niniejszej decyzji są zdecentralizowane. Na przykład zwierzchnictwo nad systemami sądownictwa karnego, w tym nad policją (działaniami prowadzonymi przez siły policyjne), w Szkocji i Irlandii Północnej zostało powierzone odpowiednio Parlamentowi Szkockiemu i Zgromadzeniu Irlandii Północnej 9 .

(8) Chociaż Zjednoczone Królestwo nie posiada skodyfikowanej konstytucji w postaci spisanej ustawy zasadniczej, jego zasady konstytucyjne kształtowały się w miarę upływu czasu i wywodzą się w szczególności z orzecznictwa i zwyczaju. Uznano wartość konstytucyjną niektórych ustaw, takich jak Wielka Karta Swobód, ustawa o prawach z 1689 r. i ustawa o prawach człowieka z 1998 r. Prawa podstawowe osób fizycznych ukształtowano, jako element konstytucji, poprzez prawo precedensowe (common law), wspomniane ustawy oraz traktaty międzynarodowe, w szczególności europejską konwencję praw człowieka (EKPC), którą Zjednoczone Królestwo ratyfikowało w 1951 r. W 1987 r. Zjednoczone Królestwo ratyfikowało również Konwencję Rady Europy o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych (konwencja nr 108) 10 .

(9) Ustawą o prawach człowieka z 1998 r. wprowadzono prawa zawarte w EKPC do prawa Zjednoczonego Królestwa. Ustawa zapewnia każdej osobie fizycznej podstawowe prawa i wolności przewidziane w art. 2-12 i 14 EKPC, art. 1-3 pierwszego protokołu do tej konwencji oraz art. 1 trzynastego protokołu do niej w związku z art. 16-18 EKPC. Należą do nich prawo do poszanowania życia prywatnego i rodzinnego, które z kolei obejmuje prawo do ochrony danych oraz prawo do rzetelnego procesu sądowego 11 . W szczególności zgodnie z art. 8 EKPC władza publiczna może ingerować w korzystanie z prawa do prywatności wyłącznie w przypadkach przewidzianych przez ustawę i koniecznych w demokratycznym społeczeństwie z uwagi na bezpieczeństwo państwowe, bezpieczeństwo publiczne lub dobrobyt gospodarczy kraju, ochronę porządku i zapobieganie przestępstwom, ochronę zdrowia i moralności lub ochronę praw i wolności osób.

(10) Zgodnie z ustawą o prawach człowieka z 1998 r. wszelkie działania władzy publicznej muszą być zgodne z prawem zagwarantowanym w EKPC 12 . Ponadto akty ustawowe i wykonawcze muszą być interpretowane i stosowane w sposób zgodny z tymi prawami 13 . Każdy, kto uważa, że jego prawa, w tym prawa do prywatności i ochrony danych, zostały naruszone przez władzę publiczną, może dochodzić roszczeń przed sądami Zjednoczonego Królestwa na podstawie ustawy o prawach człowieka z 1998 r., a w ostateczności, po wyczerpaniu krajowych środków ochrony prawnej może wnieść skargę do Europejskiego Trybunału Praw Człowieka na naruszenie praw gwarantowanych w EKPC.

2.2. Ramy ochrony danych obowiązujące w Zjednoczonym Królestwie

(11) Zjednoczone Królestwo wystąpiło z Unii w dniu 31 stycznia 2020 r. Na podstawie Umowy o wystąpieniu Zjednoczonego Królestwa Wielkiej Brytanii i Irlandii Północnej z Unii Europejskiej i Europejskiej Wspólnoty Energii Atomowej 14  prawo Unii nadal miało zastosowanie w Zjednoczonym Królestwie w okresie przejściowym do dnia 31 grudnia 2020 r. Przed wystąpieniem i w okresie przejściowym ramy prawne dotyczące ochrony danych osobowych w Zjednoczonym Królestwie, regulujące przetwarzanie danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom zawarte były w odpowiednich częściach ustawy o ochronie danych z 2018 r., która transpono- wała dyrektywę (UE) 2016/680.

(12) Aby przygotować się do wystąpienia z UE, rząd Zjednoczonego Królestwa przyjął Ustawę o wystąpieniu z Unii Europejskiej z 2018 r. 15 , którą wprowadzono mające bezpośrednie zastosowanie przepisy Unii do prawa Zjednoczonego Królestwa i zapewniono, aby tzw. "ustawodawstwo krajowe wywodzące się z prawa Unii" nadal miało zastosowanie po zakończeniu okresu przejściowego. Zgodnie z Ustawą o wystąpieniu z Unii Europejskiej z 2018 r. "ustawodawstwo krajowe wywodzące się z prawa Unii" stanowi część 3 DPA 2018 16  transponująca dyrektywę (UE) 2016/680. Zgodnie z Ustawą o wystąpieniu z Unii Europejskiej z 2018 r. sądy Zjednoczonego Królestwa muszą dokonywać wykładni tego niezmienionego "ustawodawstwa krajowego wywodzącego się z prawa Unii" zgodnie ze stosownym orzecznictwem Trybunału Sprawiedliwości Unii Europejskiej (Trybunału Sprawiedliwości) i ogólnymi zasadami prawa Unii obowiązującymi bezpośrednio przed zakończeniem okresu przejściowego (zwanymi odpowiednio "pozostającym w mocy orzecznictwem UE" i "pozostającymi w mocy ogólnymi zasadami prawa Unii") 17 .

(13) Zgodnie z Ustawą o wystąpieniu z Unii Europejskiej z 2018 r. ministrowie Zjednoczonego Królestwa są uprawnieni do uchwalania przepisów wykonawczych, w drodze aktów zwanych statutory instruments, w celu wprowadzenia niezbędnych zmian w pozostającym w mocy prawie Unii w następstwie wystąpienia Zjednoczonego Królestwa z Unii. Uprawnienie to wykonano za pomocą rozporządzenia w sprawie ochrony danych, prywatności i łączności elektronicznej wprowadzającego zmiany w związku z wyjściem z UE z 2019 r. (rozporządzenie w sprawie ochrony danych, prywatności i łączności elektronicznej) 18 . Rozporządzeniem tym zmieniono ustawodawstwo Zjednoczonego Królestwa w dziedzinie ochrony danych, w tym DPA 2018, aby dostosować je do kontekstu krajowego 19 .

(14) W rezultacie po upływie okresu przejściowego określonego w umowie o wystąpieniu normy prawne dotyczące przetwarzania danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom, obowiązujące w Zjednoczonym Królestwie nadal będą określone w odpowiednich częściach DPA 2018, szczególnie w części 3 tej ustawy, jednak w formie zmienionej rozporządzeniem w sprawie ochrony danych, prywatności i łączności elektronicznej. Ogólne rozporządzenie o ochronie danych Zjednoczonego Królestwa (RODO UK) nie ma zastosowania do tego rodzaju przetwarzania.

(15) W części 3 DPA 2018 zawarto przepisy dotyczące przetwarzania danych osobowych do celów ścigania przestępstw, w tym zasady ochrony danych, podstawy prawne przetwarzania (legalność), prawa osób, których dane dotyczą, obowiązki właściwych organów pełniących rolę administratora oraz ograniczenia dotyczące dalszego przekazywania. Jednocześnie w częściach 5 i 6 DPA 2018 określono przepisy dotyczące nadzoru i egzekwowania prawa oraz środki zaskarżenia mające zastosowanie do sektora organów ścigania przestępstw.

(16) Ponadto w świetle istotnej roli sił policyjnych w sektorze organów ścigania przestępstw należy przeanalizować przepisy regulujące działania policyjne. Działania te mają charakter zdecentralizowany, jednak poszczególne akty ustawodawcze mające często podobną treść mają zastosowanie do pracy policji w a) Anglii i Walii, b) Szkocji oraz c) Irlandii Północnej 20 . Co więcej, w różnych rodzajach wytycznych można znaleźć dodatkowe wyjaśnienia dotyczące właściwego wykorzystywania uprawnień policji. Trzy najważniejsze formy wytycznych dla policji to: 1) wytyczne ustawowe wydane na podstawie prawodawstwa, takie jak kodeks etyki 21  oraz kodeks postępowania dotyczący zarządzania informacjami policyjnymi 22  wydane na podstawie ustawy o policji z 1996 r. 23  lub kodeksy 24  wydane na podstawie ustawy w sprawie policji i dowodów w sprawach karnych 25 , 2) zatwierdzone praktyki zawodowe dotyczące zarządzania informacjami policyjnymi 26  wydane przez Kolegium Policyjne oraz 3) wytyczne operacyjne (opublikowane przez samą policję). Krajowa Rada Komendantów Policji (organ koordynujący wszystkie siły policyjne w Zjednoczonym Królestwie) publikuje wytyczne operacyjne zatwierdzone przez wszystkie siły policyjne, które to wytyczne mają w związku z tym zastosowanie w całym kraju 27 . Celem tych wytycznych jest zapewnienie spójności w kontekście zarządzania informacjami 28 .

(17) Korzystając z uprawnień przewidzianych w art. 39 A ustawy o policji z 1996 r., Sekretarz Stanu wydał w 2005 r. kodeks postępowania dotyczący zarządzania informacjami policyjnymi 29 . Każdy kodeks postępowania wydany na podstawie ustawy o policji musi zostać zatwierdzony przez Sekretarza Stanu i zanim zostanie zaprezentowany w parlamencie podlega konsultacji Krajowej Agencji ds. Zwalczania Przestępczości. W art. 39 A ust. 7 ustawy o policji nakłada się na policję wymóg należytego poszanowania kodeksów wydanych na podstawie tej ustawy, a zatem od policji oczekuje się jego przestrzegania 30 . Ponadto wytyczne nieustawowe (takie jak zatwierdzone praktyki zawodowe dotyczące zarządzania informacjami policyjnymi) muszą być zawsze spójne z kodeksem postępowania dotyczącym zarządzania informacjami policyjnymi, który jest w stosunku do nich nadrzędny 31 .^. Chociaż może dochodzić do pewnych sytuacji operacyjnych, w których funkcjonariusze policji muszą odstąpić od stosowania tych wytycznych, w każdym przypadku nadal spoczywa na nich obowiązek przestrzegania wymogów określonych w części 3 DPA 2018 32 .

(18) Dalsze wytyczne dotyczące ustawodawstwa Zjednoczonego Królestwa w dziedzinie ochrony danych na potrzeby przetwarzania w sektorze organów ścigania przestępstw przedstawia Komisarz ds. Informacji 33  (więcej informacji na temat Komisarza ds. Informacji można znaleźć w motywach 93-109). Chociaż wytyczne te nie są prawnie wiążące, to w postępowaniu sądowym sądy musiałyby wziąć pod uwagę wszelkie naruszenia tych wytycznych, ponieważ mają one znaczenie dla wykładni i przedstawiają, w jaki sposób ustawodawstwo w dziedzinie ochrony danych jest interpretowane i egzekwowane przez Komisarza w praktyce 34 .

(19) Ponadto, jak wspomniano w motywach 8-10, organy ścigania Zjednoczonego Królestwa muszą zapewnić zgodność z europejską konwencją praw człowieka i konwencją nr 108.

(20) Pod względem struktury i głównych elementów ramy prawne Zjednoczonego Królestwa regulujące przetwarzanie danych przez organy ścigania Zjednoczonego Królestwa są zatem bardzo podobne do ram obowiązujących w UE. Jest to związane z faktem, że ramy takie opierają się nie tylko na zobowiązaniach ustanowionych w prawie krajowym, które zostało ukształtowane przez prawo Unii, ale również na zobowiązaniach zapisanych w prawie międzynarodowym, w szczególności w rezultacie przystąpienia przez Zjednoczone Królestwo do europejskiej konwencji praw człowieka i konwencji nr 108, a także poddania się jurysdykcji Europejskiego Trybunału Praw Człowieka. W związku z tym wspomniane zobowiązania wynikające z prawnie wiążących instrumentów międzynarodowych, dotyczące zwłaszcza ochrony danych osobowych, stanowią szczególnie ważny element ram prawnych będących przedmiotem oceny w niniejszej decyzji.

2.3. Zakres przedmiotowy i terytorialny

(21) Zakres przedmiotowy części 3 DPA 2018 jest zbieżny z zakresem dyrektywy 2016/680 określonym w jej art. 2 ust. 2. Część 3 ma zastosowanie do przetwarzania danych osobowych przez właściwy organ w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania przez właściwy organ w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych.

(22) Ponadto, aby wchodzić w zakres części 3, administrator musi być "właściwym organem", a przetwarzanie musi odbywać się do "celów ścigania przestępstw". W związku z tym system ochrony danych oceniany w niniejszej decyzji ma zastosowanie do wszystkich działań związanych ze ściganiem przestępstw, podejmowanych przez te właściwe organy.

(23) Pojęcie "właściwego organu" zdefiniowano w art. 30 DPA jako osobę wymienioną w załączniku 7 do DPA 2018, a także jako inną osobę w zakresie, w jakim pełni ona funkcje ustawowe do jakichkolwiek celów ścigania przestępstw. Właściwe organy wymienione w załączniku 7 obejmują nie tylko siły policyjne, ale również wszystkie ministerialne departamenty rządowe Zjednoczonego Królestwa, a także inne organy pełniące funkcje dochodzeniowo-śledcze [np. Commissioner for Her Majesty's Revenue and Customs (organ podatkowy i celny Zjednoczonego Królestwa), Welsh Revenue Authority (walijski organ skarbowy), Competition and Markets Authority (urząd ds. konkurencji i rynków) lub Her Majesty's Land Register (rejestr gruntów Zjednoczonego Królestwa) lub Krajowa Agencja ds. Zwalczania Przestępczości], organy prokuratorskie, inne organy wymiaru sprawiedliwości w sprawach karnych i inne podmioty uprawnione lub organizacje, które prowadzą działania związane ze ściganiem przestępstw 35 . Część 3 DPA 2018 ma również zastosowanie do sądów i trybunałów, w przypadku gdy pełnią swoje funkcje sądowe, z wyjątkiem części dotyczącej praw osób, których dane dotyczą, i nadzoru Komisarza ds. Informacji 36 . Wykaz właściwych organów przewidziany w załączniku 7 nie jest ostateczny i może być aktualizowany przez Sekretarza Stanu na mocy rozporządzenia z uwzględnieniem zmian w zakresie organizacji urzędów publicznych 37 .

(24) Przedmiotowe przetwarzanie musi również służyć "celom ścigania przestępstw", które definiuje się jako zapobieganie przestępczości, prowadzenie postępowań przygotowawczych, wykrywanie lub ściganie czynów zabronionych lub wykonywanie kar, w tym ochrona przed zagrożeniami dla bezpieczeństwa publicznego i zapobieganie takim zagrożeniom 38 . Przetwarzanie przez właściwy organ nie podlega przepisom części 3 DPA 2018, jeżeli nie odbywa się ono do celów ścigania przestępstw. Będzie to miało miejsce na przykład wówczas, gdy Competition and Markets Authority (urząd ds. konkurencji i rynków) będzie prowadził dochodzenia w sprawach, które nie dotyczą odpowiedzialności karnej (np. połączenia między przedsiębiorstwami). W takim przypadku zastosowanie będzie miało RODO UK wraz z częścią 2 DPA 2018, ponieważ przetwarzanie danych osobowych przez właściwe organy odbywa się do celów innych niż związane ze ściganiem przestępstw. Aby ustalić, które uregulowania dotyczące ochrony danych (część 3 czy część 2 DPA 2018) mają zastosowanie do przedmiotowego przetwarzania danych osobowych, właściwy organ, tj. administrator danych, musi rozważyć, czy "podstawowym celem" takiego przetwarzania jest jeden z celów ścigania przestępstw określonych w DPA 2018.

(25) Jeżeli chodzi o zakres terytorialny części 3 DPA 2018, art. 207 ust. 2 stanowi, że DPA ma zastosowanie do przetwarzania danych osobowych w kontekście działalności osoby, której zakres działań obejmuje terytorium całego Zjednoczonego Królestwa. Dotyczy to organów publicznych terytoriów Anglii, Walii, Szkocji i Irlandii Północnej, które wchodzą w zakres przedmiotowy części 3 DPA 2018 39 .

2.3.1. Definicja danych osobowych i przetwarzania

(26) Podstawowe pojęcia "danych osobowych" i "przetwarzania" zostały zdefiniowane w art. 3 DPA 2018 i stosuje się je w całej DPA. Definicje te są zbieżne z odpowiadającymi im definicjami określonymi w art. 3 dyrektywy 2016/680. Zgodnie z DPA 2018 dane osobowe oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej 40 . Zgodnie z art. 3 ust. 3 DPA 2018 osoba fizyczna jest możliwa do zidentyfikowania, jeżeli można ją bezpośrednio lub pośrednio zidentyfikować na podstawie informacji, w tym na podstawie imienia i nazwiska, numeru identyfikacyjnego lub jednej bądź kilku szczególnych cech określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość tej osoby. Pojęcie "przetwarzanie" oznacza operację lub zestaw operacji wykonywanych na informacjach lub zestawach informacji, takich jak: a) zbieranie, utrwalanie, organizowanie, porządkowanie lub przechowywanie; b) adaptowanie lub modyfikowanie; c) pobieranie, przeglądanie lub wykorzystywanie; d) ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie; e) dopasowywanie lub łączenie; lub f) ograniczanie, usuwanie lub niszczenie. Ponadto w ustawie zdefiniowano "przetwarzanie danych wrażliwych" jako: "a) przetwarzanie danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne bądź światopoglądowe lub przynależność do związków zawodowych; b) przetwarzanie danych genetycznych lub danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej; c) przetwarzanie danych dotyczących zdrowia; d) przetwarzanie danych dotyczących seksualności lub orientacji seksualnej osoby fizycznej" 41 . W tym zakresie art. 205 DPA 2018 zawiera definicję "danych biometrycznych" 42 , "danych dotyczących zdrowia" 43  i "danych genetycznych" 44 .

(27) W art. 32 DPA 2018 doprecyzowano definicje "administratora" i "podmiotu przetwarzającego" w kontekście przetwarzania danych osobowych do celów ścigania przestępstw, ściśle wzorując się na równorzędnych definicjach zawartych w dyrektywie 2016/680. Administratorem jest właściwy organ, który ustala cele i sposoby przetwarzania danych osobowych. Jeżeli przetwarzanie jest wymagane przez przepisy prawa, administratorem jest właściwy organ, na który prawo nakłada taki obowiązek. Podmiot przetwarzający definiuje się jako każdą osobę, która przetwarza dane osobowe w imieniu administratora (inną niż osoba będąca pracownikiem administratora).

2.4. Zabezpieczenia, prawa i obowiązki

2.4.1. Zgodność z prawem i rzetelność przetwarzania

(28) Zgodnie z art. 35 DPA 2018 przetwarzanie danych osobowych musi być zgodne z prawem i rzetelne, podobnie jak określono w art. 4 ust. 1 lit. a) dyrektywy (UE) 2016/680. Zgodnie z art. 35 ust. 2 DPA 2018 przetwarzanie danych osobowych do jakichkolwiek celów ścigania przestępstw jest zgodne z prawem tylko wtedy, gdy opiera się na przepisach prawa oraz jeżeli osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie w tym celu albo przetwarzanie jest niezbędne do wykonania zadania realizowanego w tym celu przez właściwy organ.

2.4.1.1. Przetwarzanie na podstawie przepisów prawa

(29) Podobnie jak określono w art. 8 dyrektywy (UE) 2016/680, aby zapewnić zgodność z prawem przetwarzania objętego częścią 3 DPA 2018, takie przetwarzanie musi "opierać się na przepisach prawa". Przetwarzanie "zgodne z prawem" oznacza przetwarzanie dopuszczone przez ustawę, prawo precedensowe albo królewskie prerogatywy 45 .

(30) Uprawnienia właściwych organów są zasadniczo regulowane ustawami, co oznacza, że funkcje i uprawnienia tych organów są wyraźnie określone w przepisach przyjętych przez Parlament 46 . W niektórych przypadkach policja, jak również inne właściwe organy wymienione w załączniku 7 do DPA 2018, mogą powoływać się na prawo precedensowe w celu przetwarzania danych 47 . Prawo precedensowe powstało dzięki precedensom ustalonym w orzeczeniach sądów. Prawo precedensowe jest istotne w kontekście uprawnień policji, która z tego źródła prawa wywodzi swój podstawowy obowiązek ochrony obywateli poprzez wykrywanie przestępstw i zapobieganie im 48 . Wypełniając ten obowiązek, siły policyjne opierają się jednak zarówno na prawie precedensowym, jak i na uprawnieniach ustawodawczych 49 . Uprawnienia ustawowe policji mają pierwszeństwo przed wszelkimi uprawnieniami wynikającymi z prawa precedensowego 50 .

(31) Sądy uznały, że zakres uprawnień i obowiązków funkcjonariuszy policji wynikających z prawa precedensowego obejmuje "wszelkie kroki, które wydają im się niezbędne do utrzymania pokoju, zapobiegania przestępczości lub ochrony mienia przed szkodami poniesionymi wskutek przestępstwa" 51 . Uprawnienia wynikające z prawa precedensowego nie są pozbawione zastrzeżeń. Podlegają one licznym ograniczeniom, w tym ograniczeniom ustanowionym przez sądy 52  i prawodawstwo, w szczególności ustawę o prawach człowieka z 1998 r. i ustawę o równouprawnieniu z 2010 r 53 . Ponadto w odniesieniu do właściwych organów przetwarzających dane na podstawie części 3 DPA 2018 dotyczy to wykonywania uprawnień wynikających z prawa precedensowego zgodnie z wymogami określonymi w DPA 2018 54 . Ponadto decyzja o wykonaniu jakiegokolwiek rodzaju przetwarzania danych musi uwzględniać wymogi obowiązujących wytycznych, takich jak kodeks postępowania dotyczący zarządzania informacjami policyjnymi, jak również wytyczne dotyczące jednego z państw Zjednoczonego Królestwa 55 . Rząd i służby policji ds. operacyjnych wydają szereg wytycznych mających na celu zagwarantowanie, by funkcjonariusze policji wykonywali swoje uprawnienia w granicach określonych przez prawo precedensowe bądź wynikających z ustawy 56 .

(32) Królewskie prerogatywy stanowią kolejny składnik "prawa" i odnoszą się do niektórych uprawnień powierzonych Koronie, a realizowanych przez władzę wykonawczą, które nie są oparte na ustawach, lecz wynikają z suwerenności monarchy 57 . Istnieje bardzo niewiele przykładów uprawnień prerogatywnych, które są istotne w kontekście ścigania przestępstw. Dotyczą one na przykład ram wzajemnej pomocy prawnej umożliwiających Sekretarzowi Stanu udostępnianie państwom trzecim danych do celów ścigania przestępstw, przy czym uprawnienia do tego rodzaju udostępniania danych nie zawsze są określone w ustawie 58 . Królewskie prerogatywy są związane zasadami prawa precedensowego 59  i mają niższą rangę od ustawy, a zatem podlegają ograniczeniom przewidzianym w ustawie o prawach człowieka z 1998 r. i DPA 2018 60 .

(33) Podobnie jak określono w art. 8 dyrektywy (UE) 2016/680, przepisy Zjednoczonego Królestwa wymagają, aby w celu przestrzegania zasady zgodności z prawem właściwe organy zagwarantowały, by w przypadku gdy przetwarzanie opiera się na przepisach prawa, było ono również niezbędne do wykonania zadania realizowanego w celu ścigania przestępstw. Komisarz ds. Informacji udziela wytycznych w tym zakresie i wyjaśnia, że "musi być to ukierunkowany i proporcjonalny sposób osiągnięcia celu. Zasada zgodności z prawem nie będzie spełniona, jeżeli cel można osiągnąć w sposób zasadny za pomocą innych, mniej inwazyjnych środków. Nie wystarczy twierdzić, że przetwarzanie jest niezbędne ze względu na wybrany sposób prowadzenia działalności. Kluczowe znaczenie ma to, czy przetwarzanie jest niezbędne do osiągnięcia określonego celu" 61 .

2.4.1.2. Przetwarzanie na podstawie "zgody" osoby, której dane dotyczą

(34) Jak wspomniano w motywie 28, art. 35 ust. 2 DPA 2018 przewiduje możliwość przetwarzania danych osobowych na podstawie "zgody" osoby fizycznej.

(35) Nie wydaje się jednak, aby zgoda stanowiła istotną podstawę prawną w odniesieniu do operacji przetwarzania wchodzących w zakres stosowania niniejszej decyzji. W rzeczywistości operacje przetwarzania objęte niniejszą decyzją zawsze będą dotyczyły danych, które zostały przekazane przez właściwy organ państwa członkowskiego właściwemu organowi Zjednoczonego Królestwa na podstawie dyrektywy (UE) 2016/680. Dlatego zazwyczaj nie będą one dotyczyły tego rodzaju bezpośredniej interakcji (zbierania) między organem publicznym a osobami, których dane dotyczą, która może opierać się na zgodzie w myśl art. 35 ust. 2 lit. a) ustawy DPA 2018.

(36) Chociaż poleganie na zgodzie nie jest zatem uznawane za istotne dla oceny przeprowadzonej na mocy niniejszej decyzji, warto zauważyć - w celu uzyskania pełnego obrazu sytuacji - że w kontekście ścigania przestępstw przetwarzanie danych nigdy nie odbywa się wyłącznie na podstawie zgody, ponieważ właściwy organ musi zawsze posiadać odpowiednie uprawnienia, które umożliwiają mu przetwarzanie danych 62 . Mówiąc ściślej, oznacza to - podobnie do tego, co dopuszcza dyrektywa (UE) 2016/680 63  - że zgoda służy jako dodatkowy warunek umożliwiający przeprowadzenie niektórych ograniczonych i szczególnych operacji przetwarzania, które w inny sposób nie mogłyby zostać przeprowadzone, na przykład pobranie i przetwarzanie próbki DNA osoby fizycznej niebędącej osobą podejrzaną. W tym przypadku przetwarzanie nie będzie mogło się odbyć, jeżeli nie wyrażono zgody lub została ona cofnięta 64 .

(37) W przypadkach wymagających uzyskania zgody osoby fizycznej zgoda ta musi być jednoznaczna i obejmować wyraźne działanie potwierdzające 65 . Od sił policyjnych wymaga się posiadania oświadczenia o ochronie prywatności, zawierającego m.in. niezbędne informacje związane z prawidłowym wykorzystywaniem zgody. Ponadto niektóre jednostki policji publikują dodatkowe materiały na temat sposobu, w jaki przestrzegają przepisów w dziedzinie ochrony danych, w tym jak i kiedy wykorzystują zgodę jako podstawę prawną 66 .

2.4.1.3. Przetwarzanie danych wrażliwych

(38) Jeżeli przetwarzane są "szczególne kategorie" danych, powinny istnieć szczególne zabezpieczenia. W tym zakresie, podobnie jak przewidziano w art. 10 dyrektywy (UE) 2016/680, część 3 DPA 2018 przewiduje silniejsze zabezpieczenia w odniesieniu do tzw. "przetwarzania danych wrażliwych" 67 .

(39) Zgodnie z art. 35 ust. 3 DPA 1998 właściwe organy mogą przetwarzać dane wrażliwe do celów ścigania przestępstw wyłącznie w dwóch przypadkach: 1) osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie do celów ścigania przestępstw, a w chwili dokonywania przetwarzania administrator dysponuje odpowiednim dokumentem dotyczącym polityki 68 ; lub 2) przetwarzanie jest absolutnie niezbędne do celów ścigania przestępstw, przetwarzanie spełnia co najmniej jeden z warunków określonych w załączniku 8 do DPA 2018, a w chwili dokonywania przetwarzania administrator dysponuje odpowiednim dokumentem dotyczącym polityki 69 .

(40) Jeżeli chodzi o pierwszy przypadek i jak wyjaśniono w motywie 38, poleganie na zgodzie nie jest uznawane za istotne w odniesieniu do objętego niniejszą decyzją rodzaju przekazywania danych 70 .

(41) W przypadku gdy przetwarzanie danych wrażliwych nie odbywa się na podstawie zgody, przeprowadza się je z zastosowaniem jednego z warunków wymienionych w załączniku 8 do DPA 2018. Warunki te odnoszą się do przetwarzania niezbędnego do realizacji celów ustawowych; sprawowania wymiaru sprawiedliwości; ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; zabezpieczenia dzieci i osób fizycznych narażonych na ryzyko; roszczeń; czynności sądowych; zapobiegania nadużyciom finansowym; archiwizacji; w przypadku danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą. Z wyjątkiem przypadku, w którym dane zostały w sposób oczywisty upublicznione, wszystkie warunki określone w załączniku 8 podlegają kryterium "absolutnej niezbędności". Jak wyjaśnił Komisarz ds. Informacji, "absolutna niezbędność w tym kontekście oznacza, że przetwarzanie musi odnosić się do pilnej potrzeby społecznej, której nie można wypełnić w sposób zasadny za pomocą mniej inwazyjnych środków" 71 . Ponadto niektóre z wymienionych warunków podlegają dodatkowym ograniczeniom. Na przykład, aby powołać się na warunek związany z "celami ustawowymi" i "warunek zabezpieczenia" (załącznik 8 pkt 1 i 4), należy spełnić dodatkowe kryterium istotnego interesu publicznego. Ponadto, w odniesieniu do warunków dotyczących zabezpieczenia dziecka (załącznik 8 pkt 4), osoba, której dane dotyczą, musi również być w określonym wieku i uznana za narażoną na ryzyko. Co więcej, administrator może zastosować warunek przewidziany w załączniku 8 pkt 4 wyłącznie w przypadku wystąpienia szczególnych okoliczności 72 . Podobne ograniczenia wprowadzono dla warunków "czynności sądowych" i "zapobiegania nadużyciom finansowym" (załącznik 8, odpowiednio pkt 7 i 8). W obu przypadkach mają one zastosowanie wyłącznie do określonych administratorów. W przypadku czynności sądowych wyłącznie sąd lub inny organ sądowy może skorzystać z takiego warunku, a w przypadku zapobiegania nadużyciom finansowym wyłącznie administratorzy będący organizacjami zwalczającymi nadużycia finansowe mogą powoływać się na ten warunek.

(42) Oprócz tego, gdy przetwarzanie opiera się na jednym z warunków wymienionych w załączniku 8 i odbywa się odpowiednio zgodnie z art. 42 DPA 2018, musi istnieć "odpowiedni dokument dotyczący polityki" - zawierający wyjaśnienie procedur administratora w zakresie zapewniania zgodności z zasadami ochrony danych oraz polityki administratora w odniesieniu do zatrzymywania i usuwania danych osobowych - oraz mają zastosowanie obowiązki prowadzenia rozszerzonego rejestru.

2.4.2. Ograniczenie celu

(43) Dane osobowe powinny być przetwarzane w określonym celu, a następnie wykorzystywane tylko w takim zakresie, w jakim nie jest to niezgodne z celem przetwarzania. Ta zasada ochrony danych zagwarantowana jest w art. 36 DPA 2018. W przepisie tym, podobnie jak w art. 4 ust. 1 lit. b) dyrektywy (UE) 2016/680, wymaga się, aby: a) cel związany ze ściganiem przestępstw, dla którego w jakimkolwiek przypadku zbiera się dane osobowe, był konkretny, wyraźny i uzasadniony oraz b) danych osobowych zebranych w ten sposób nie przetwarzano w sposób niezgodny z celem, dla którego je zebrano.

(44) W przypadku gdy właściwe organy przetwarzają dane do celów ścigania przestępstw, może to obejmować archiwizację, badania naukowe lub historyczne oraz cele statystyczne 73 . W odniesieniu do takich przypadków w DPA 2018 wyjaśniono również, że archiwizacja (lub przetwarzanie do celów badań naukowych lub historycznych oraz do celów statystycznych) nie jest dozwolona, jeżeli przeprowadza się ją w związku z decyzjami podjętymi w stosunku do konkretnej osoby, której dane dotyczą, lub jeżeli może spowodować u niej znaczną szkodę lub cierpienie 74 .

2.4.3. Prawidłowość i minimalizacja danych

(45) Dane powinny być prawidłowe i w razie potrzeby uaktualniane. Powinny być one również adekwatne, stosowne i nie- nadmierne w stosunku do celów, w których są przetwarzane. Przestrzeganie tych zasad, określonych w art. 4 ust. 1 lit. c), d) i e) dyrektywy (UE) 2016/680, zapewniono również w art. 37 i 38 DPA 2018. Należy podjąć wszelkie uzasadnione działania, aby zapewnić, że dane osobowe, które są nieprawidłowe 75  zostaną bezzwłocznie usunięte lub sprostowane 76 , biorąc pod uwagę cel związany ze ściganiem przestępstw, dla którego są przetwarzane 77 , oraz aby zapewnić, by dane osobowe, które są niedokładne, niekompletne lub już nieaktualne, nie były przekazywane ani udostępniane do żadnego z celów związanych ze ściganiem przestępstwa 78 .

(46) Ponadto, podobnie jak w art. 7 dyrektywy (UE) 2016/680, w ramach systemu ochrony danych Zjednoczonego Królestwa określono, że dane osobowe oparte na faktach muszą być odróżniane, tak dalece, jak to możliwe, od danych osobowych opartych na indywidualnych ocenach 79 . W stosownych przypadkach i w miarę możliwości należy dokonać wyraźnego rozróżnienia między danymi osobowymi odnoszącymi się do różnych kategorii osób, których dane dotyczą, takich jak osoby podejrzane, osoby skazane za czyn zabroniony, ofiary czynu zabronionego i świadkowie 80 .

2.4.4. Ograniczenie przechowywania

(47) Zgodnie z art. 5 dyrektywy (UE) 2016/680 dane powinny być co do zasady przechowywane przez okres nie dłuższy, niż jest to niezbędne do celów, w których przetwarza się dane osobowe. Zgodnie z art. 39 DPA 2018, podobnie jak określono w art. 5 tej dyrektywy, zabronione jest przechowywanie danych osobowych przetwarzanych dla któregokolwiek z celów związanych ze ściganiem przestępstw dłużej, niż jest to konieczne w związku z celem, dla którego się je przetwarza. System prawny Zjednoczonego Królestwa wymaga ustanowienia odpowiednich terminów dla okresowego przeglądu potrzeby dalszego przechowywania danych osobowych dla któregokolwiek z celów związanych ze ściganiem przestępstw. Dalsze zasady dotyczące praktyk związanych z zatrzymywaniem danych osobowych oraz obowiązujące terminy określono w odpowiednich przepisach i wytycznych regulujących uprawnienia i funkcjonowanie policji. Na przykład w Anglii i Walii kodeks postępowania dotyczący zarządzania informacjami policyjnymi [MoPI Code of Practice] Kolegium Policyjnego wraz z zatwierdzonymi praktykami zawodowymi dotyczącymi zarządzania informacjami policyjnymi [APP Guidance on the Management of Police Information] stanowi ramy zapewniające spójny, oparty na analizie ryzyka proces zatrzymywania, przeglądu i usuwania danych w odniesieniu do zarządzania operacyjnymi informacjami policyjnymi 81 . Za pośrednictwem tych ram określono jasne oczekiwania dla wszystkich służb co do tego, jak należy tworzyć, udostępniać i wykorzystywać informacje oraz zarządzać nimi w obrębie poszczególnych sił policyjnych i innych agencji oraz pomiędzy tymi podmiotami 82 . Oczekuje się, że policja będzie przestrzegać kodeksu postępowania, a zgodność z nim weryfikuje Inspektorat Policji, Straży Pożarnej i Służb Ratowniczych Jej Królewskiej Mości (Her Majesty's Inspectorate of Constabulary and Fire & Rescue Services) 83 .

(48) Policja Irlandii Północnej (The Police Service of Northern Ireland, PSNI) nie jest prawnie zobowiązana do przestrzegania kodeksu postępowania dotyczącego zarządzania informacjami policyjnymi. Ramy dotyczące zarządzania informacjami policyjnymi przyjęte w 2011 r. uzupełniono jednak w podręczniku PSNI 84 , w którym określono zasady i procedury dotyczące sposobu stosowania kodeksu postępowania dotyczącego zarządzania informacjami policyjnymi w Irlandii Północnej.

(49) W Szkocji siły policyjne opierają się na obowiązującej procedurze działania dotyczącej zatrzymywania rejestrów 85 , która służy wsparciu polityki zarządzania rejestrami Policji Szkocji (The Police Service of Scotland) 86 . W tej obowiązującej procedurze działania określono szczegółowe zasady zatrzymywania rejestrów będących w posiadaniu Policji Szkocji.

(50) Oprócz nadrzędnego wymogu przeglądu rejestrów, który ma zastosowanie w całym Zjednoczonym Królestwie, więcej szczegółowych informacji zawarto w przepisach lokalnych. Aby podać kilka przykładów, w odniesieniu do Anglii i Walii, ustawa w sprawie policji i dowodów w sprawach karnych, zmieniona ustawą o ochronie wolności z 2012 r. (Protection of Freedom Act), zawiera przepisy dotyczące zatrzymywania odcisków palców i profili DNA, jak również szczegółowe uregulowania dotyczące osób, które nie zostały skazane 87 . Na podstawie ustawy o ochronie wolności utworzono również stanowisko Komisarza ds. zatrzymywania i wykorzystywania materiału biometrycznego (Commissioner for the Retention and Use of Biometric Material, "Komisarz ds. Biometrii") 88 . Przepisy szczegółowe dotyczące wizerunków osób zatrzymanych określono w przeglądzie dotyczącym wizerunków osób zatrzymanych [Custody Image Review] z 2017 r. 89  Jeżeli chodzi o Szkocję, w ustawie o postępowaniu karnym (Szkocja) z 1995 r. określono zasady dotyczące pozyskiwania i zatrzymywania odcisków palców i próbek biologicznych 90 . Podobnie jak w przypadku Anglii i Walii, w ustawodawstwie uregulowano zatrzymywanie danych biometrycznych w różnych przypadkach 91 .

2.4.5. Bezpieczeństwo danych

(51) Dane osobowe muszą być przetwarzane w sposób zapewniający im bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem. W tym celu organy publiczne powinny wdrożyć odpowiednie środki techniczne lub organizacyjne, aby chronić dane osobowe przed ewentualnymi zagrożeniami. Środki te należy ocenić, biorąc pod uwagę stan wiedzy technicznej oraz koszty ich wdrożenia.

(52) Zasady te znajdują odzwierciedlenie w art. 40 DPA 2018, zgodnie z którym, podobnie jak określono w art. 4 ust. 1 lit. f) dyrektywy (UE) 2016/680, dane osobowe przetwarzane w którymkolwiek z celów związanych ze ściganiem przestępstw muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, za pomocą odpowiednich środków technicznych lub organizacyjnych. Obejmuje to ochronę danych przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem 92 . W art. 66 DPA 2018 określono ponadto, że każdy administrator i każdy podmiot przetwarzający musi wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić poziom bezpieczeństwa odpowiedni do ryzyka wynikającego z przetwarzania danych osobowych. Zgodnie z notami wyjaśniającymi administrator musi ocenić ryzyko i na podstawie tej oceny wdrożyć odpowiednie środki bezpieczeństwa, na przykład szyfrowanie lub określone poziomy poświadczenia bezpieczeństwa dla personelu przetwarzającego dane 93 . W ocenie należy również uwzględnić np. charakter przetwarzanych danych oraz wszelkie inne istotne czynniki lub okoliczności, które mogą mieć wpływ na bezpieczeństwo przetwarzania.

(53) Przepisy regulujące zgodność z zasadami bezpieczeństwa danych są bardzo podobne do uregulowań zawartych w art. 29-31 dyrektywy (UE) 2016/680. W szczególności w przypadku naruszenia ochrony danych osobowych w odniesieniu do danych osobowych, za które odpowiada administrator, zgodnie z art. 67 ust. 1 DPA 2018 administrator musi bez zbędnej zwłoki, w miarę możliwości nie później niż 72 godziny od powzięcia wiadomości o naruszeniu, zgłosić naruszenie ochrony danych osobowych Komisarzowi ds. Informacji 94 . Obowiązek zgłoszenia nie ma zastosowania, gdy jest mało prawdopodobne, że naruszenie ochrony danych osobowych spowoduje ryzyko naruszenia praw i wolności osób fizycznych 95 . Administrator musi udokumentować fakty związane z każdym naruszeniem ochrony danych osobowych, jego skutki i podjęte działania naprawcze w sposób umożliwiający Komisarzowi ds. Informacji sprawdzenie zgodności z DPA 96 . Jeżeli podmiot przetwarzający dane stwierdzi naruszenie bezpieczeństwa, musi on bez zbędnej zwłoki zgłosić je administratorowi 97 .

(54) Zgodnie z art. 68 ust. 1 DPA 2018, jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu 98 . Zawiadomienie musi zawierać te same informacje co zawiadomienie skierowane do Komisarza ds. Informacji opisane w motywie 53. Obowiązek ten nie ma zastosowania, jeżeli administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony, które zastosowano do danych osobowych, których dotyczyło naruszenie. Nie ma on również zastosowania, jeżeli administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw i wolności osób, których dane dotyczą. Ponadto administrator nie jest zobowiązany do zawiadomienia osoby, której dane dotyczą, jeżeli wymagałoby to niewspółmiernie dużego wysiłku 99 . W takim przypadku osobę, której dane dotyczą, należy poinformować w inny równie skuteczny sposób, np. poprzez publiczny komunikat 100 . Jeżeli administrator nie poinformował osoby, której dane dotyczą, o naruszeniu, Komisarz ds. Informacji, po otrzymaniu zawiadomienia zgodnie z art. 67 DPA i po rozważeniu prawdopodobieństwa, że naruszenie spowoduje wysokie ryzyko, może zobowiązać administratora do zawiadomienia osoby, której dane dotyczą, o naruszeniu 101 .

2.4.6. Przejrzystość

(55) Osoby, których dane dotyczą, muszą być informowane o głównych cechach przetwarzania ich danych osobowych. Ta zasada ochrony danych znajduje odzwierciedlenie w art. 44 DPA 2018, który podobnie jak art. 13 dyrektywy (UE) 2016/680 stanowi, że administrator ma ogólny obowiązek udostępniania osobom, których dane dotyczą, informacji o przetwarzaniu ich danych osobowych (poprzez ogólne udostępnienie informacji do wiadomości publicznej lub w dowolny inny sposób) 102 . Informacje, których udostępnienie jest wymagane, obejmują a) tożsamość i dane kontaktowe administratora; b) dane kontaktowe inspektora ochrony danych, w razie potrzeby; c) cele, do których administrator przetwarza dane osobowe; d) informacje o prawie osoby, której dane dotyczą, do żądania od administratora dostępu do danych osobowych, sprostowania lub usunięcia danych osobowych, a także ograniczenia ich przetwarzania; oraz e) informacje o prawie do wniesienia skargi do Komisarza ds. Informacji oraz dane kontaktowe Komisarza 103 .

(56) W szczególnych przypadkach w celu umożliwienia osobie, której dane dotyczą, wykonania jej praw określonych w DPA 2018 (np. gdy przetwarzane dane osobowe zebrano bez wiedzy osoby, której dane dotyczą) administrator musi również udzielić osobie, której dane dotyczą, informacji o a) podstawie prawnej przetwarzania; b) informacji o okresie przechowywania danych osobowych lub, gdy nie jest to możliwe, kryteriach służących określeniu tego okresu; c) w stosownym przypadku informacji o kategoriach odbiorców danych osobowych (w tym odbiorców w państwach trzecich lub organizacjach międzynarodowych); d) takich dalszych informacji, jakie są niezbędne do umożliwienia osobie, której dane dotyczą, wykonania jej praw określonych w części 3 DPA 2018 104 .

2.4.7. Prawa indywidualne

(57) Osobom, których dane dotyczą, należy przyznać szereg możliwych do wyegzekwowania praw. W części 3 rozdział 3 DPA 2018 zapewniono osobom fizycznym prawa dostępu, sprostowania i usunięcia oraz ograniczenia 105 , które są porównywalne z prawami przewidzianymi w rozdziale 3 dyrektywy (UE) 2016/680.

(58) Prawo dostępu określono w art. 45 DPA 2018. Po pierwsze osoba fizyczna jest uprawniona do uzyskania od administratora potwierdzenia, czy jej dane osobowe są przetwarzane, czy nie 106 . Po drugie, jeżeli dane osobowe są przetwarzane, osoba, której dane dotyczą, ma prawo dostępu do tych danych i otrzymania następujących informacji na temat przetwarzania: a) celów i podstaw prawnych przetwarzania; b) kategorii odnośnych danych; c) odbiorcy, któremu ujawniono dane; d) okresu przechowywania danych osobowych; e) prawa osoby, której dane dotyczą, do sprostowania i usunięcia danych osobowych; f) prawa do wniesienia skargi; oraz g) wszelkich informacji o pochodzeniu odnośnych danych osobowych 107 .

(59) Zgodnie z art. 46 DPA 2018 osoba, której dane dotyczą, ma prawo zażądać od administratora sprostowania nieprawidłowych danych osobowych, które jej dotyczą. Administrator musi sprostować (lub, jeżeli dane są nieprawidłowe, ponieważ są niekompletne, uzupełnić) dane bez zbędnej zwłoki. Jeżeli dane osobowe muszą być przechowywane do celów dowodowych, administrator musi (zamiast sprostowania danych osobowych) ograniczyć ich przetwarzanie 108 .

(60) W art. 47 DPA 2018 zapewniono osobom fizycznym prawo do usunięcia danych i ograniczenia przetwarzania. Administrator musi 109  usunąć dane osobowe bez zbędnej zwłoki, jeżeli przetwarzanie danych osobowych naruszałoby którąkolwiek z zasad ochrony danych, podstawy prawne przetwarzania lub zabezpieczenia związane z archiwizacją i przetwarzaniem danych wrażliwych. Administrator musi również usunąć dane, jeżeli jest do tego prawnie zobowiązany. Jeżeli dane osobowe muszą być przechowywane do celów dowodowych, administrator musi (zamiast sprostowania danych osobowych) ograniczyć ich przetwarzanie 110 . Administrator musi ograniczyć przetwarzanie danych osobowych, jeżeli osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych, ale nie jest możliwe ustalenie, czy są one prawidłowe, czy nie 111 .

(61) Jeżeli osoba, której dane dotyczą, zażąda sprostowania lub usunięcia danych osobowych lub ograniczenia ich przetwarzania, administrator musi poinformować osobę, której dane dotyczą, na piśmie, czy uwzględniono wniosek, a jeżeli go odrzucono, poinformować osobę, której dane dotyczą, o przyczynach odmowy i dostępnych środkach zaskarżenia (prawie osoby, której dane dotyczą, do złożenia wniosku do Komisarza ds. Informacji o zbadanie, czy ograniczenie zastosowano zgodnie z prawem, prawie do wniesienia skargi do Komisarza ds. Informacji oraz prawie do wystąpienia do sądu o wydanie nakazu dostosowania się do przepisów) 112 .

(62) Jeżeli administrator danych dokonuje sprostowania danych osobowych otrzymanych od innego właściwego organu, powiadamia on ten drugi organ 113 . W przypadku sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych, które ujawnił administrator, powiadamia on odbiorców, a odbiorcy podobnie dokonują sprostowania danych osobowych, usuwają je lub ograniczają ich przetwarzanie (w zakresie, w jakim zachowują za nie odpowiedzialność) 114 .

(63) Ponadto osoba, której dane dotyczą, ma prawo być bez zbędnej zwłoki poinformowana przez administratora o naruszeniu ochrony danych osobowych, jeżeli może ono powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych 115 .

(64) W związku z powyższymi prawami osoby, której dane dotyczą, podobnie jak przewidziano w art. 12 dyrektywy (UE) 2016/680, administrator ma obowiązek zapewnić, by wszelkie informacje kierowane do osoby, której dane dotyczą, były przekazywane jej w zwięzłej, zrozumiałej i łatwo dostępnej formie 116 , a w miarę możliwości należy je przekazywać w takiej samej formie, w jakiej złożono wniosek 117 . Administrator musi zastosować się do wniosku osoby, której dane dotyczą, bez zbędnej zwłoki, a w każdym razie co do zasady przed upływem jednego miesiąca od złożenia wniosku 118 . Jeżeli administrator ma zasadne wątpliwości co do tożsamości osoby fizycznej, może on zażądać dodatkowych informacji i opóźnić rozpatrzenie wniosku do czasu ustalenia jej tożsamości. Administrator może zażądać zasadnej opłaty lub odmówić działania, jeżeli uzna żądanie za wyraźnie nieuzasadnione 119 . Komisarz ds. Informacji wydał wytyczne dotyczące tego, kiedy wniosek uznaje się za wyraźnie nieuzasadniony lub wygórowany i kiedy można żądać opłaty 120 .

(65) Ponadto, zgodnie z art. 53 ust. 4 DPA 2018, Sekretarz Stanu może w drodze rozporządzeń określić maksymalną wysokość opłaty.

2.4.7.1. Ograniczenia praw osoby, której dane dotyczą, i obowiązki w zakresie przejrzystości

(66) Właściwy organ może, w określonych okolicznościach, ograniczyć niektóre prawa osoby, której dane dotyczą: prawo dostępu 121 , prawo do bycia informowanym 122 , prawo do wiedzy o naruszeniu ochrony danych osobowych 123  oraz prawo do informacji o powodzie odrzucenia wniosku o sprostowanie lub usunięcie 124 . Podobnie jak określono w przepisach rozdziału III dyrektywy (UE) 2016/680, właściwy organ może zastosować ograniczenie wyłącznie wtedy, gdy jest ono - uwzględniając prawa podstawowe i prawnie uzasadnione interesy osoby, której dane dotyczą - niezbędne i proporcjonalne, aby: a) uniemożliwić utrudnianie czynności postępowania urzędowego lub sądowego, postępowania przygotowawczego lub procedury; b) uniemożliwić zakłócanie zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar; c) chronić bezpieczeństwo publiczne; d) chronić bezpieczeństwo narodowe; e) chronić prawa i wolności innych osób.

(67) Komisarz ds. Informacji wydał wytyczne dotyczące stosowania tych ograniczeń. Zgodnie z tymi wytycznymi administratorzy są obowiązani przeprowadzać analizę poszczególnych przypadków, aby równoważyć prawa osoby fizycznej ze szkodą, jaką mogłoby spowodować ujawnienie danych. W szczególności powinni oni uzasadniać wszelkie ograniczenia, jakie zastosowali jako niezbędne i proporcjonalne, przy czym mogą ograniczyć zakres praw osoby fizycznej wyłącznie wtedy, gdyby ich wykonanie naruszało powyższe cele 125 .

(68) Istnieje również szereg innych wytycznych wydanych przez właściwe organy, które zawierają szczegółowe informacje na temat wszystkich aspektów ustawodawstwa w dziedzinie ochrony danych, w tym na temat stosowania ograniczeń praw osób, których dane dotyczą 126 . Na przykład, w odniesieniu do art. 45 ust. 4, w podręczniku dotyczącym ochrony danych opracowanym przez Krajową Radę Komendantów Policji stwierdzono: "[n]ależy zauważyć, że ograniczenia można stosować wyłącznie w takim zakresie, w jakim jest to konieczne, i można je stosować wyłącznie tak długo, jak jest to niezbędne. W związku z tym nie jest dozwolone powszechne stosowanie ograniczenia do wszystkich danych osobowych wnioskodawcy ani stosowanie ograniczenia w sposób stały. W tej ostatniej kwestii często zdarza się, że dane osobowe zgromadzone bez wiedzy osoby, której dane dotyczą, będącej osobą podejrzaną w postępowaniu przygotowawczym, należy początkowo chronić przed ujawnieniem jej, aby nie zaszkodzić postępowaniu przygotowawczemu w trakcie jego trwania, ale ujawnienie ich w późniejszym czasie nie będzie wiązało się ze szkodą, gdyby te dane osobowe zostały ujawnione danej osobie podczas przesłuchania. Siły policyjne muszą przyjąć procedury zapewniające stosowanie wspomnianych ograniczeń wyłącznie w wymaganym zakresie i tylko przez niezbędny okres" 127 . Przedmiotowe wytyczne zawierają również przykłady sytuacji, w których prawdopodobnie każde z ograniczeń znajdzie zastosowanie 128 .

(69) Ponadto jeżeli chodzi o możliwość ograniczenia któregokolwiek z wymienionych powyżej praw ze względu na ochronę "bezpieczeństwa narodowego", administrator może wnieść o podpisanie przez ministra lub Prokuratora Generalnego (lub głównego prawnika ds. Szkocji) poświadczenia potwierdzającego, że ograniczenie takich praw jest niezbędnym i proporcjonalnym środkiem służącym ochronie bezpieczeństwa narodowego 129 . Rząd Zjednoczonego Królestwa opublikował wytyczne dotyczące poświadczeń bezpieczeństwa narodowego wydawanych na podstawie DPA 2018, w których podkreślono w szczególności, że wszelkie ograniczenia praw osób, których dane dotyczą, służące ochronie bezpieczeństwa narodowego muszą być proporcjonalne i niezbędne 130  (aby uzyskać więcej szczegółowych informacji na temat poświadczeń bezpieczeństwa narodowego, zob. motywy 131-134).

(70) Ponadto, w przypadku gdy ograniczenie prawa osoby, której dane dotyczą, ma zastosowanie, właściwy organ musi bez zbędnej zwłoki poinformować osobę, której dane dotyczą, o ograniczeniu jej praw, o przyczynach tego ograniczenia oraz o dostępnych środkach zaskarżenia, chyba że udzielenie tych informacji uniemożliwiałoby osiągnięcie celu, dla którego zastosowano ograniczenie 131 . W ramach dodatkowego zabezpieczenia przed niewłaściwym wykorzystywaniem ograniczeń administrator musi odnotowywać powody ograniczenia informacji i udostępniać ich rejestr na żądanie Komisarza ds. Informacji 132 .

(71) Jeżeli administrator odmówi przekazania dodatkowych informacji zapewniających przejrzystość, udzielenia dostępu lub odrzuci wniosek o sprostowanie, usunięcie lub ograniczenie przetwarzania, osoba fizyczna może zwrócić się do Komisarza ds. Informacji o zbadanie, czy administrator zastosował ograniczenie zgodnie z prawem 133 . Zainteresowana osoba może również złożyć skargę do Komisarza ds. Informacji lub wystąpić do sądu o wydanie nakazu zastosowania się przez administratora do wniosku 134 .

2.4.7.2. Zautomatyzowane podejmowanie decyzji

(72) Zakres art. 49 i 50 DPA 2018 obejmuje odpowiednio prawa związane ze zautomatyzowanym podejmowaniem decyzji i zabezpieczenia, które należy stosować 135 . Podobnie jak określono w art. 11 dyrektywy (UE) 2016/680, administrator może podjąć istotną decyzję opartą wyłącznie na zautomatyzowanym przetwarzaniu danych osobowych wyłącznie wówczas, gdy jest to wymagane lub dozwolone przez prawo 136 . Decyzja jest istotna, jeżeli miałaby niekorzystne skutki prawne dla osoby, której dane dotyczą, lub poważny wpływ na tę osobę 137 .

(73) Jeżeli administrator jest prawnie zobowiązany lub upoważniony do podjęcia istotnej decyzji, w art. 50 DPA 2018 ustanowiono zabezpieczenia, które będą miały zastosowanie do takiej decyzji (którą określono mianem "kwalifikującej się istotnej decyzji"). Administrator musi, w możliwie najkrótszym czasie, powiadomić osobę, której dane dotyczą, o podjęciu takiej decyzji. Osoba, której dane dotyczą, może wówczas w terminie miesiąca zwrócić się do administratora o ponowne rozpatrzenie decyzji lub podjęcie nowej decyzji, która nie będzie oparta wyłącznie na zautomatyzowanym przetwarzaniu. Administrator musi rozpatrzyć wniosek i poinformować osobę, której dane dotyczą, o wyniku tego rozpatrzenia. DPA 2018 uprawnia Sekretarza Stanu do przyjęcia rozporządzeń dotyczących dodatkowych zabezpieczeń 138 . Dotychczas nie przyjęto takich rozporządzeń.

2.4.8. Dalsze przekazywanie danych

(74) Stopień ochrony zapewnianej danym osobowym przekazywanym z organu ścigania państwa członkowskiego do organu ścigania Zjednoczonego Królestwa nie może zostać obniżony wskutek dalszego przekazywania takich danych odbiorcom z państw trzecich. Takie "dalsze przekazywanie danych", które z perspektywy organu ścigania Zjednoczonego Królestwa stanowi międzynarodowe przekazywanie danych ze Zjednoczonego Królestwa, powinno być dozwolone wyłącznie wówczas, gdy kolejny odbiorca spoza Zjednoczonego Królestwa sam podlega przepisom zapewniającym stopień ochrony zbliżony do poziomu gwarantowanego w porządku prawnym Zjednoczonego Królestwa.

(75) System międzynarodowego przekazywania danych Zjednoczonego Królestwa został uregulowany w części 3 rozdział 5 DPA 2018 139  i odzwierciedla podejście przyjęte w rozdziale V dyrektywy (UE) 2016/680. W szczególności, aby przekazać dane osobowe do państwa trzeciego, właściwy organ musi spełnić trzy warunki: a) przekazanie musi być niezbędne do celów ścigania przestępstw; b) przekazanie musi opierać się na: (i) rozporządzeniu stwierdzającym odpowiedni stopień ochrony w odniesieniu do państwa trzeciego, (ii) jeżeli nie opiera się na rozporządzeniu stwierdzającym odpowiedni stopień ochrony, na istnieniu odpowiednich zabezpieczeń, lub (iii) jeżeli nie opiera się na decyzji stwierdzającej odpowiedni stopień ochrony ani odpowiednich zabezpieczeniach, musi opierać się na szczególnych okolicznościach; oraz c) odbiorcą przekazania musi być: (i) odpowiedni organ (tj. organ równoważny właściwemu organowi) państwa trzeciego; (ii) "odpowiednia organizacja międzynarodowa", np. organ międzynarodowy pełniący funkcje odpowiadające dowolnemu celowi ścigania przestępstw; lub (iii) osoba inna niż odpowiedni organ, ale wyłącznie wówczas, gdy przekazanie jest absolutnie niezbędne do realizacji jednego z celów ścigania przestępstw; nie istnieją takie podstawowe prawa i wolności osoby, której dane dotyczą, które byłyby nadrzędne wobec interesu publicznego przemawiającego za przekazaniem; przekazanie danych osobowych odpowiedniemu organowi w państwie trzecim byłoby nieskuteczne lub niewłaściwe; odbiorca zostaje poinformowany o celach, w których dane mogą być przetwarzane 140 .

(76) Rozporządzenia stwierdzające odpowiedni stopień ochrony w odniesieniu do państwa trzeciego, terytorium lub sektora w państwie trzecim, organizacji międzynarodowej lub opisu 141  takiego państwa, terytorium, sektora lub takiej organizacji przyjmuje Sekretarz Stanu. Jeżeli chodzi o standard, który ma być zachowany, Sekretarz Stanu musi ocenić, czy takie terytorium/taki sektor/taka organizacja zapewnia odpowiedni stopień ochrony danych osobowych. W art. 74 A ust. 4 DPA 2018 określono, że w tym celu Sekretarz Stanu musi uwzględnić szereg elementów odzwierciedlających elementy wymienione w art. 36 dyrektywy (UE) 2016/680 142 . W tym względzie, od czasu zakończenia okresu przejściowego, część 3 DPA 2018 stanowi "ustawodawstwo krajowe wywodzące się z prawa Unii", które, jak wyjaśniono, będzie podlegało wykładni przez sądy Zjednoczonego Królestwa zgodnie ze stosownym orzecznictwem Trybunału Sprawiedliwości sprzed wystąpienia Zjednoczonego Królestwa z Unii i ogólnymi zasadami prawa Unii obowiązującymi bezpośrednio przed zakończeniem okresu przejściowego. Obejmuje to standard "zasadniczej odpowiedniości", który w związku z tym będzie miał zastosowanie do ocen odpowiedniego stopnia ochrony przeprowadzanych przez władze Zjednoczonego Królestwa.

(77) Co się tyczy procedury, rozporządzenia podlegają "ogólnym" wymogom proceduralnym określonym w art. 182 DPA 2018. W ramach wspomnianej procedury Sekretarz Stanu musi przeprowadzić konsultacje z Komisarzem ds. Informacji, gdy proponuje przyjęcie przyszłych rozporządzeń Zjednoczonego Królestwa stwierdzających odpowiedni stopień ochrony 143 . Po przyjęciu przez Sekretarza Stanu rozporządzenia te są przedkładane parlamentowi i podlegają procedurze "milczącej zgody (negative resolution)", w ramach której obie izby parlamentu mogą poddać rozporządzenie kontroli i mają możliwość przyjęcia wniosku o jego unieważnienie w ciągu 40 dni 144 .

(78) Zgodnie z art. 74B ust. 1 DPA 2018 rozporządzenia stwierdzające odpowiedni stopień ochrony należy poddawać przeglądowi co najmniej raz na cztery lata, a Sekretarz Stanu musi na bieżąco monitorować zmiany zachodzące w państwach trzecich i organizacjach międzynarodowych, które mogłyby wpłynąć na decyzje w sprawie wprowadzenia rozporządzeń stwierdzających odpowiedni stopień ochrony lub w sprawie zmiany lub uchylenia takich przepisów. Jeżeli Sekretarz Stanu uzyska wiedzę, że określone państwo lub organizacja nie zapewnia już odpowiedniego stopnia ochrony danych osobowych, musi zmienić lub uchylić - w niezbędnym zakresie - rozporządzenie i rozpocząć konsultacje z danym państwem trzecim lub organizacją międzynarodową w celu rozwiązania kwestii braku odpowiedniego stopnia ochrony.

(79) Podobnie do tego, co przewidziano w art. 37 dyrektywy (UE) 2016/680, w przypadku braku rozporządzenia stwierdzającego odpowiedni stopień ochrony przekazanie danych osobowych w kontekście sektora organów ścigania przestępstw byłoby możliwe, gdyby istniały odpowiednie zabezpieczenia. Takie zabezpieczenia zapewnia się w drodze a) prawnie wiążącego aktu zawierającego odpowiednie zabezpieczenia służące ochronie danych osobowych; albo b) oceny przeprowadzonej przez administratora, który po ocenieniu wszystkich okoliczności związanych z przekazaniem stwierdził, że istnieją odpowiednie zabezpieczenia ochrony danych 145 . Ponadto, w przypadku gdy przekazywanie odbywa się na podstawie odpowiednich zabezpieczeń, DPA 2018 przewiduje, że dodatkowo w stosunku do zwykłego nadzoru pełnionego przez Komisarza ds. Informacji właściwe organy muszą także przekazywać Komisarzowi ds. Informacji szczegółowe informacje na temat przekazywania 146 .

(80) Jeżeli przekazanie nie opiera się na decyzji stwierdzającej odpowiedni stopień ochrony ani na odpowiednich zabezpieczeniach, może ono nastąpić wyłącznie w niektórych, określonych okolicznościach, zwanych "szczególnymi okolicznościami" 147 . Dotyczy to sytuacji, w których przekazanie jest niezbędne: a) w celu ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby; b) w celu zabezpieczenia uzasadnionych interesów osoby, której dane dotyczą; c) dla zapobieżenia bezpośredniemu, poważnemu ryzyku naruszenia bezpieczeństwa publicznego państwa trzeciego; d) w indywidualnym przypadku do celów ścigania przestępstw; lub e) w indywidualnym przypadku do celów prawnych (np. w związku z postępowaniem sądowym lub w celu uzyskania porady prawnej) 148 . Należy zauważyć, że lit. d) i e) nie mają zastosowania, jeżeli podstawowe prawa i wolności osoby, której dane dotyczą, są nadrzędne wobec interesu publicznego przemawiającego za przekazaniem 149 . Ten zbiór okoliczności odpowiada szczególnym sytuacjom i warunkom kwalifikującym się jako "wyjątki" na podstawie art. 38 dyrektywy (UE) 2016/680.

(81) W takich okolicznościach należy udokumentować datę i godzinę przekazania, uzasadnienie, nazwę i wszelkie inne stosowne informacje o odbiorcy oraz opis przekazanych danych osobowych, a dokumentację przekazać Komisarzowi ds. Informacji na jego żądanie 150 .

(82) Art. 78 DPA 2018 reguluje przypadki "kolejnych przekazań", a mianowicie sytuacji, w których dane osobowe, które zostały przekazane ze Zjednoczonego Królestwa do państwa trzeciego, są następnie przekazywane do innego państwa trzeciego lub organizacji międzynarodowej. Zgodnie z art. 78 ust. 1 administrator ze Zjednoczonego Królestwa przekazujący dane musi uzależnić przekazanie danych od tego, że nie będą one dalej przekazywane do państwa trzeciego bez zgody administratora przekazującego dane. Ponadto zgodnie z art. 78 ust. 3 i podobnie do tego, co przewidziano w art. 35 ust. 1 lit. e) dyrektywy (UE) 2016/680, w przypadku gdy taka zgoda jest wymagana, zastosowanie ma szereg istotnych wymogów. W szczególności, podejmując decyzję o udzieleniu lub odmowie udzielenia zgody na przekazanie danych, właściwy organ musi upewnić się, że dalsze przekazanie jest niezbędne do celów ścigania przestępstw, i uwzględnić m.in. następujące czynniki a) powagę okoliczności, które doprowadziły do złożenia wniosku o udzielenie zgody, b) cel, w którym dane osobowe zostały pierwotnie przekazane oraz c) standardy ochrony danych osobowych obowiązujące w państwie trzecim lub organizacji międzynarodowej, do których dane osobowe miałyby zostać przekazane.

(83) Ponadto w przypadku gdy dane, które są poddawane dalszemu przekazaniu ze Zjednoczonego Królestwa, zostały pierwotnie przekazane z Unii Europejskiej, zastosowanie mają dodatkowe zabezpieczenia.

(84) Po pierwsze, art. 73 ust. 1 lit. b) DPA 2018 - podobnie jak art. 35 ust. 1 lit. c) dyrektywy (UE) 2016/680 - stanowi, że w przypadku gdy dane osobowe zostały pierwotnie przesłane lub w inny sposób udostępnione administratorowi lub innemu właściwemu organowi przez państwo członkowskie, to państwo członkowskie lub dowolna osoba z siedzibą w tym państwie członkowskim, która jest właściwym organem do celów dyrektywy (UE) 2016/680, musiała wyrazić zgodę na przekazanie zgodnie z prawem państwa członkowskiego.

(85) Podobnie jednak jak określono w art. 35 ust. 2 dyrektywy (UE) 2016/680, zgoda taka nie jest wymagana, jeżeli a) odnośne przekazanie jest niezbędne do zapobieżenia bezpośredniemu, poważnemu zagrożeniu dla bezpieczeństwa publicznego w państwie członkowskim albo w państwie trzecim bądź dla ważnych interesów państwa członkowskiego i b) zgody nie da się uzyskać w odpowiednim terminie. W takim przypadku należy bezzwłocznie poinformować organ państwa członkowskiego, który byłby odpowiedzialny za podjęcie decyzji, czy wyrazić zgodę na przekazanie danych 151 .

(86) Po drugie, to samo podejście ma zastosowanie w przypadku danych pierwotnie przekazanych z Unii Europejskiej do Zjednoczonego Królestwa, a następnie przekazanych przez Zjednoczone Królestwo państwu trzeciemu, które następnie przekazałoby je państwu trzeciemu. W takim przypadku zgodnie z art. 78 ust. 4, właściwy organ Zjednoczonego Królestwa nie może udzielić zgody na to ostatnie przekazanie zgodnie z art. 78 ust. 1, chyba że "państwo członkowskie [które pierwotnie przekazało przedmiotowe dane] lub dowolna osoba z siedzibą w tym państwie członkowskim, która jest właściwym organem do celów dyrektywy o ochronie danych w sprawach karnych, wyraziła zgodę na przekazanie danych zgodnie z prawem państwa członkowskiego". Zabezpieczenia te są ważne, ponieważ umożliwiają organom państw członkowskich zapewnienie ciągłości ochrony, zgodnie z unijnymi przepisami o ochronie danych, w całym "łańcuchu przekazywania danych".

(87) Wspomniane nowe ramy dotyczące międzynarodowego przekazywania danych zaczęły obowiązywać po zakończeniu okresu przejściowego 152 . Załącznik 21 pkt 10-12 (wprowadzone na mocy rozporządzenia w sprawie ochrony danych, prywatności i łączności elektronicznej) stanowią jednak, że od zakończenia okresu przejściowego określone przekazania danych osobowych będą traktowane tak, jakby opierały się na rozporządzeniach stwierdzających odpowiedni stopień ochrony. Przekazania te obejmują przekazania danych do państwa członkowskiego, państwa EFTA i państwa trzeciego objętego decyzją UE stwierdzającą odpowiedni stopień ochrony na koniec okresu przejściowego oraz do terytorium Gibraltaru. W związku z tym przekazywanie danych do tych państw może nadal odbywać się na takich samych zasadach jak przed wystąpieniem Zjednoczonego Królestwa z Unii. Po zakończeniu okresu przejściowego Sekretarz Stanu ma obowiązek przeprowadzić przegląd tych ustaleń dotyczących odpowiedniego stopnia ochrony w terminie czterech lat, tj. do końca grudnia 2024 r. Zgodnie z wyjaśnieniem przedstawionym przez władze Zjednoczonego Królestwa, mimo że Sekretarz Stanu ma obowiązek przeprowadzić taki przegląd do końca grudnia 2024 r., przepisy przejściowe nie obejmują przepisu dotyczącego "wygaśnięcia" i odpowiednie przepisy przejściowe nie przestaną automatycznie obowiązywać, jeżeli przegląd nie zostanie zakończony do końca grudnia 2024 r.

2.4.9. Rozliczalność

(88) Zgodnie z zasadą rozliczalności organy publiczne przetwarzające dane są zobowiązane do wdrożenia odpowiednich środków technicznych i organizacyjnych, aby skutecznie przestrzegać swoich obowiązków w zakresie ochrony danych oraz być w stanie wykazać taką zgodność, zwłaszcza wobec właściwego organu nadzorczego.

(89) Zasada ta znajduje odzwierciedlenie w art. 56 DPA 2018, którym wprowadzono ogólny obowiązek rozliczalności administratora, tj. obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie danych osobowych odbywało się zgodnie z wymogami określonymi w części 3 DPA 2018 i aby administrator był w stanie to wykazać. Wdrożone środki muszą być w razie potrzeby poddawane przeglądom i uaktualniane, a jeżeli jest to proporcjonalne w stosunku do przetwarzania - obejmować odpowiednie polityki ochrony danych.

(90) Zgodnie z rozdziałem IV dyrektywy (UE) 2016/680 w art. 55-71 DPA 2018 przewidziano różne mechanizmy mające zapewnić rozliczalność i umożliwić administratorom i podmiotom przetwarzającym wykazanie zgodności. W szczególności administratorzy są zobowiązani do wdrożenia środków ochrony danych w fazie projektowania i domyślnej ochrony danych, tj. do zapewnienia skutecznej realizacji zasad ochrony danych oraz prowadzenia wykazu wszystkich kategorii czynności przetwarzania, za które odpowiada administrator (w tym informacji na temat tożsamości administratora, danych kontaktowych inspektora ochrony danych, celów przetwarzania, kategorii odbiorców ujawnianych informacji oraz opisu kategorii osób, których dane dotyczą, oraz danych osobowych), a także do udostępniania tych wykazów Komisarzowi ds. Informacji na jego żądanie. Administrator i podmiot przetwarzający muszą również ewidencjonować określone operacje przetwarzania i udostępniać ewidencję Komisarzowi ds. Informacji 153 . Administratorzy są również wyraźnie zobowiązani do współpracy z Komisarzem ds. Informacji przy wykonywaniu jego zadań.

(91) W DPA 2018 określono również dodatkowe wymogi dotyczące sytuacji, gdy przetwarzanie może powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych. Obejmują one obowiązek przeprowadzenia oceny skutków dla ochrony danych oraz konsultacji z Komisarzem ds. Informacji przed przetwarzaniem, jeżeli taka ocena wskaże, że przetwarzanie powodowałoby wysokie ryzyko dla praw i wolności osób fizycznych (w przypadku braku zastosowania środków w celu zminimalizowania tego ryzyka).

(92) Administratorzy muszą ponadto wyznaczyć inspektora ochrony danych, chyba że administratorem jest sąd lub inny organ sądowy, działający w zakresie sprawowania wymiaru sprawiedliwości 154 . Administrator musi zapewnić, aby inspektor ochrony danych był włączany we wszystkie sprawy dotyczące ochrony danych osobowych, posiadał niezbędne zasoby i dostęp do danych osobowych i operacji przetwarzania oraz mógł niezależnie wykonywać swoje zadania. Zadania inspektora ochrony danych określono w art. 71 DPA 2018 i obejmują one udzielanie informacji i porad, monitorowanie przestrzegania przepisów, a także współpracę z Komisarzem ds. Informacji i pełnienie funkcji punktu kontaktowego dla Komisarza ds. Informacji. Podczas wykonywania swoich zadań inspektor ochrony danych musi uwzględniać ryzyko związane z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania.

2.5. Nadzór i egzekwowanie przepisów

2.5.1. Niezależny nadzór

(93) Aby zagwarantować również w praktyce odpowiedni stopień ochrony danych, należy ustanowić niezależny organ nadzorczy, uprawniony do monitorowania i egzekwowania zgodności z przepisami o ochronie danych. W ramach wykonywanych obowiązków i realizowanych uprawnień organ ten musi być całkowicie niezależny i bezstronny.

(94) W Zjednoczonym Królestwie za nadzór i egzekwowanie zgodności z przepisami RODO UK i DPA 2018 odpowiada Komisarz ds. Informacji 155 . Komisarz ds. Informacji nadzoruje również przetwarzanie danych osobowych przez właściwe organy wchodzące w zakres części 3 DPA 2018 156 . Komisarz ds. Informacji jest "pojedynczą osobą prawną" - odrębnym podmiotem prawnym składającym się z jednej osoby. Komisarza ds. Informacji wspiera w pracy biuro. W dniu 31 marca 2020 r. Biuro Komisarza ds. Informacji zatrudniało 768 stałych pracowników 157 . Departamentem finansującym Komisarza ds. Informacji jest Departament Cyfryzacji, Kultury, Mediów i Sportu 158 .

(95) Kwestię niezależności Komisarza wyraźnie uregulowano w art. 52 RODO UK, który odpowiada wymogom określonym w art. 52 ust. 1-3 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 159 . Komisarz musi działać z zachowaniem pełnej niezależności, wykonując swoje zadania i uprawnienia zgodnie z RODO UK, pozostawać wolny od bezpośrednich lub pośrednich wpływów zewnętrznych w odniesieniu do tych zadań i uprawnień oraz nie może zwracać się do nikogo o instrukcje ani ich od nikogo przyjmować. Komisarz musi również powstrzymać się od wszelkich czynności sprzecznych ze swoimi obowiązkami i w okresie sprawowania urzędu nie może podejmować żadnego zajęcia zarobkowego ani niezarobkowego sprzecznego z tymi obowiązkami.

(96) Warunki powoływania i odwoływania Komisarza ds. Informacji określono w załączniku 12 do DPA 2018. Komisarz ds. Informacji jest powoływany przez Królową na wniosek rządu w wyniku uczciwego i otwartego konkursu. Kandydat musi posiadać odpowiednie kwalifikacje, umiejętności i kompetencje. Zgodnie z kodeksem zarządzania w zakresie nominacji publicznych 160  zespół doradczy ds. oceny sporządza wykaz ewentualnych kandydatów. Zanim Sekretarz Stanu w Departamencie Cyfryzacji, Kultury, Mediów i Sportu podejmie ostateczną decyzję, właściwa komisja specjalna parlamentu musi przeprowadzić kontrolę poprzedzającą nominację. Stanowisko komisji podaje się do wiadomości publicznej 161 .

(97) Kadencja Komisarza ds. Informacji trwa maksymalnie siedem lat. Jej Królewska Mość może odwołać Komisarza ds. Informacji ze stanowiska na podstawie oświadczenia obu izb parlamentu 162 . Wniosek o odwołanie Komisarza ds. Informacji może zostać przedstawiony jednej z izb parlamentu jedynie w wypadku, gdy minister przedstawi tej izbie sprawozdanie, w którym wyrazi przekonanie, że Komisarz ds. Informacji jest winny poważnego uchybienia lub nie spełnia już warunków wymaganych do sprawowania funkcji Komisarza 163 .

(98) Środki na finansowanie działalności Komisarza ds. Informacji pochodzą z trzech źródeł: (i) opłat za ochronę danych wnoszonych przez administratorów, które są ustalane na podstawie rozporządzeń wydanych przez Sekretarza Stanu 164  i wynoszą 85-90 % rocznego budżetu Biura 165 ; (ii) subwencji, które mogą być wypłacane przez rząd na rzecz Komisarza ds. Informacji i są wykorzystywane głównie do finansowania kosztów operacyjnych Komisarza ds. Informacji w odniesieniu do zadań niezwiązanych z ochroną danych 166 ; (iii) opłat pobieranych z tytułu świadczenia usług 167 . Obecnie nie pobiera się takich opłat.

(99) Ogólne funkcje Komisarza ds. Informacji w odniesieniu do przetwarzania danych osobowych wchodzącego w zakres części 3 DPA 2018 zostały określone w załączniku 13 do tej ustawy. Jego zadania obejmują: monitorowanie i egzekwowanie części 3 DPA 2018, zwiększanie świadomości społecznej, doradzanie parlamentowi, rządowi i innym instytucjom w zakresie środków legislacyjnych i administracyjnych, zwiększanie świadomości administratorów i podmiotów przetwarzających w zakresie ich obowiązków, udzielanie informacji osobie, której dane dotyczą, dotyczących wykonywania jej praw czy prowadzenie postępowań. Aby utrzymać niezależność sądów, Komisarz ds. Informacji nie jest uprawniony do wykonywania swoich funkcji w odniesieniu do przetwarzania danych osobowych przez osobę fizyczną sprawującą wymiar sprawiedliwości bądź sąd lub trybunał sprawujący wymiar sprawiedliwości. Nadzór nad sądownictwem zapewniają jednak omówione poniżej wyspecjalizowane organy.

2.5.1.1. Egzekwowanie przepisów, w tym sankcje

(100) Komisarz posiada ogólne uprawnienia dochodzeniowo-śledcze, uprawnienia w zakresie korekt i upoważnień oraz uprawnienia doradcze w odniesieniu do przetwarzania danych osobowych, do których zastosowanie ma część 3 DPA 2018. Komisarz posiada uprawnienia do zawiadomienia administratora lub podmiotu przetwarzającego o domniemanym naruszeniu przepisów części 3, do udzielania ostrzeżeń administratorowi lub podmiotowi przetwarzającemu, że planowane operacje przetwarzania prawdopodobnie naruszą przepisy części 3, a także do udzielania upomnień administratorowi lub podmiotowi przetwarzającemu, jeżeli operacje przetwarzania naruszyły przepisy części 3. Ponadto Komisarz może wydawać z urzędu lub na wniosek opinie dla parlamentu, rządu lub innych instytucji i organów Zjednoczonego Królestwa, a także opinii publicznej w sprawie dowolnej kwestii związanej z ochroną danych osobowych 168 .

(101) Ponadto Komisarz posiada uprawnienia w zakresie:

- nakazania administratorowi i podmiotowi przetwarzającemu (a w określonych okolicznościach każdej innej osobie) udzielenia niezbędnych informacji poprzez wydanie zawiadomienia informacyjnego ("zawiadomienie informacyjne") 169 ;

- prowadzenia postępowań i audytów poprzez wydanie zawiadomienia oceniającego, na mocy którego administrator lub podmiot przetwarzający może być zobowiązany do zezwolenia Komisarzowi na wejście do określonych pomieszczeń, przeprowadzenie inspekcji lub analizy dokumentów lub sprzętu, przesłuchanie osób przetwarzających dane osobowe w imieniu administratora ("zawiadomienie oceniające") 170 ;

- uzyskania w inny sposób dostępu do dokumentów administratorów i podmiotów przetwarzających oraz dostępu do ich pomieszczeń zgodnie z art. 154 DPA 2018 ("uprawnienia do wstępu i inspekcji");

- wykonywania uprawnień naprawczych, w tym za pomocą ostrzeżeń i upomnień lub wydawania nakazów w postaci zawiadomienia egzekucyjnego, w ramach którego zobowiązuje się administratorów/podmioty przetwarzające do podjęcia lub powstrzymania się od podejmowania określonych kroków ("zawiadomienie egzekucyjne") 171 ; oraz

- nakładania administracyjnych kar pieniężnych w drodze zawiadomienia w sprawie sankcji ("zawiadomienie w sprawie sankcji") 172 .

(102) W polityce działań regulacyjnych Komisarza ds. Informacji określono okoliczności, w których wydaje on, odpowiednio, zawiadomienie informacyjne, oceniające, egzekucyjne i zawiadomienie w sprawie sankcji 173 . W ramach zawiadomienia egzekucyjnego możliwe jest nałożenie tych wymogów, które Komisarz uzna za właściwe w celu zaradzenia uchybieniu. W ramach zawiadomienia w sprawie sankcji zobowiązuje się daną osobę do wpłacenia na rzecz Komisarza ds. Informacji kwoty określonej w zawiadomieniu. Zawiadomienie w sprawie sankcji można wydać w następstwie uchybienia określonym przepisom DPA 2018 174  lub można je wydać w odniesieniu do administratora lub podmiotu przetwarzającego, który nie zastosował się do zawiadomienia informacyjnego, oceniającego lub egzekucyjnego.

(103) W szczególności podczas podejmowania decyzji, czy należy wydać zawiadomienie w sprawie sankcji w odniesieniu do danego administratora lub podmiotu przetwarzającego, oraz podczas ustalania wysokości sankcji Komisarz ds. Informacji musi uwzględnić kwestie wymienione w art. 155 ust. 3 DPA 2018, w tym charakter i wagę uchybienia, umyślny lub nieumyślny charakter uchybienia, wszelkie działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przed osoby, których dane dotyczą, stopień odpowiedzialności administratora lub podmiotu przetwarzającego (z uwzględnieniem wdrożonych przez nich środków technicznych i organizacyjnych), wszelkie istotne wcześniejsze uchybienia ze strony administratora lub podmiotu przetwarzającego; kategorie danych osobowych, których dotyczyło uchybienie, oraz to, czy sankcja byłaby skuteczna, proporcjonalna i odstraszająca.

(104) Maksymalna kwota sankcji, jaką można nałożyć w drodze zawiadomienia w sprawie sankcji, wynosi a) 17 500 000 GBP w odniesieniu do niezastosowania się do zasad ochrony danych (art. 35, 36, 37, 38 ust. 1, 39 ust. 1 i 40 DPA 2018), obowiązków w zakresie przejrzystości i praw indywidualnych (art. 44, 45, 46, 47, 48, 49, 52 i 53 DPA 2018) oraz zasad dotyczących międzynarodowego przekazywania danych osobowych (art. 73, 75, 76, 77 i 78 DPA 2018); oraz b) 8 700 000 GBP w innych przypadkach 175 . W odniesieniu do niezastosowania się do zawiadomienia informacyjnego, oceniającego lub egzekucyjnego maksymalna kwota sankcji, jaką można nałożyć w ramach zawiadomienia w sprawie sankcji, wynosi 17 500 000 GBP.

(105) Zgodnie z ostatnimi sprawozdaniami rocznymi (2018-2019 176 , 2019-2020 177 ) Komisarz ds. Informacji przeprowadził szereg postępowań w odniesieniu do przetwarzania danych osobowych przez organy ścigania. Na przykład w październiku 2019 r. Komisarz przeprowadził postępowanie i wydał opinię w sprawie wykorzystywania przez organy ścigania technologii rozpoznawania twarzy w miejscach publicznych. W postępowaniu skupiono się w szczególności na wykorzystywaniu przez policję południowej Walii i Metropolitalną Służbę Policyjną możliwości w zakresie rozpoznawania twarzy na żywo. Komisarz ds. Informacji zbadał również stosowaną przez Metropolitalną Służbę Policyjną "matrycę gangów" 178  i stwierdził szereg poważnych naruszeń przepisów o ochronie danych, które mogły podważyć zaufanie publiczne w kwestii stosowania matrycy i sposobu wykorzystywania danych.

(106) W listopadzie 2018 r. Komisarz ds. Informacji wydał zawiadomienie egzekucyjne, w następstwie którego Metropolitalna Służba Policyjna podjęła kroki wymagane do zwiększenia bezpieczeństwa i rozliczalności oraz zapewnienia wykorzystywania danych w sposób proporcjonalny.

(107) Innym przykładem niedawnych działań egzekucyjnych jest grzywna w wysokości 325 000 GBP, którą Komisarz nałożył w maju 2018 r. na prokuraturę za utracenie niezaszyfrowanych płyt DVD zawierających nagrania z przesłuchań policyjnych. Komisarz ds. Informacji prowadził również postępowania dotyczące szerszych zagadnień, na przykład w pierwszej połowie 2020 r. w sprawie wydobywania danych z telefonów komórkowych do celów policyjnych oraz przetwarzania przez policję danych osób poszkodowanych.

(108) Ponadto należy zauważyć, że poza powyższymi możliwościami egzekwowania przestrzegania przepisów przez Komisarza ds. Informacji niektóre naruszenia ustawodawstwa w dziedzinie ochrony danych stanowią przestępstwo, wobec czego mogą podlegać sankcjom karnym (art. 196 DPA 2018). Dotyczy to na przykład uzyskania lub ujawnienia danych osobowych bez zgody administratora oraz doprowadzenia do ujawnienia danych osobowych innej osobie bez zgody administratora 179 ; deanonimizacji informacji będących zanonimizowanymi danymi osobowymi bez zgody administratora odpowiedzialnego za anonimizację danych osobowych 180 ; umyślnego utrudniania Komisarzowi wykonywania jego uprawnień w zakresie kontroli danych osobowych zgodnie z zobowiązaniami międzynarodowymi 181 , składania fałszywych oświadczeń w odpowiedzi na zawiadomienie informacyjne lub niszczenia informacji w związku z zawiadomieniem informacyjnym i oceniającym 182 .

(109) Komisarz ds. Informacji jest również zobowiązany na podstawie art. 139 DPA 2018 do składania przed każdą z izb parlamentu ogólnego sprawozdania z wykonywania swoich funkcji wynikających z ustawy 183 .

2.5.2. Nadzór nad wymiarem sprawiedliwości

(110) Nadzór nad przetwarzaniem danych osobowych przez sądy i wymiar sprawiedliwości ma dwojaki charakter. W przypadku gdy osoba zajmująca stanowisko sędziowskie lub sąd nie sprawują wymiaru sprawiedliwości, nadzór sprawuje Komisarz ds. Informacji. W przypadku gdy administrator sprawuje wymiar sprawiedliwości, Komisarz ds. Informacji nie może wykonywać swoich funkcji nadzorczych 184 , a nadzór sprawują organy specjalne. Odzwierciedla to podejście przyjęte w art. 32 dyrektywy (UE) 2016/680.

(111) W szczególności w tej drugiej sytuacji w przypadku sądów Anglii i Walii oraz trybunału pierwszej instancji i wyższych trybunałów Anglii i Walii taki nadzór sprawuje panel sądowy ds. ochrony danych [Judicial Data Protection Panel] 185 . Ponadto Lord Chief Justice (zwierzchnik sądownictwa Anglii i Walii) i Senior President of Tribunals (zwierzchnik trybunałów pozasądowych) wydali oświadczenie o ochronie prywatności 186 , w którym określili sposób, w jaki sądy w Anglii i Walii przetwarzają dane osobowe w związku z pełnieniem funkcji sądowych. Podobne oświadczenia wydano w systemach sądownictwa Irlandii Północnej 187  i Szkocji 188 .

(112) Ponadto w Irlandii Północnej Lord Chief Justice (zwierzchnik sądownictwa) Irlandii Północnej mianował sędziego Wysokiego Trybunału na stanowisko sędziego sprawującego nadzór nad ochroną danych osobowych 189 . Wydano również wytyczne dla kadr wymiaru sprawiedliwości Irlandii Północnej dotyczące postępowania w przypadku utraty lub ewentualnej utraty danych oraz procedury rozwiązywania wszelkich kwestii z tym związanych 190 .

(113) W Szkocji Lord President wyznaczył sędziego sprawującego nadzór nad ochroną danych osobowych, który rozpatruje wszelkie skargi dotyczące ochrony danych. Odbywa się to na zasadach rozpatrywania skarg sądowych, które odzwierciedlają zasady określone dla Anglii i Walii 191 .

(114) Natomiast jeżeli chodzi o Sąd Najwyższy, do sprawowania nadzoru nad ochroną danych wyznaczono jednego z sędziów tego sądu.

2.5.3. Środki zaskarżenia

(115) W celu zapewnienia odpowiedniej ochrony, a zwłaszcza egzekwowania praw indywidualnych, osoba, której dane dotyczą, powinna mieć możliwość korzystania ze skutecznych administracyjnych i sądowych środków zaskarżenia, w tym dochodzenia odszkodowania.

(116) Po pierwsze, osoba, której dane dotyczą, ma prawo do wniesienia skargi do Komisarza ds. Informacji, jeżeli uważa, że doszło do naruszenia części 3 DPA 2018 w odniesieniu do danych osobowych, które jej dotyczą 192 . Jak opisano w motywach 100 i 109 powyżej, Komisarz ds. Informacji jest uprawniony do oceny przestrzegania DPA 2018 przez administratora i podmiot przetwarzający, wezwania ich do podjęcia lub zaniechania koniecznych kroków w przypadku nieprzestrzegania przepisów oraz do nałożenia kar.

(117) Po drugie, DPA 2018 zapewnia prawo do środka ochrony prawnej przeciwko Komisarzowi ds. Informacji. Jeżeli Komisarz nie "czyni postępów" 193  w rozpatrywaniu skargi złożonej przez osobę, której dane dotyczą, skarżący ma dostęp do środka ochrony prawnej przed sądem, ponieważ może zwrócić się do trybunału pierwszej instancji 194  o nakazanie Komisarzowi podjęcia odpowiednich kroków w celu udzielenia odpowiedzi na skargę lub poinformowania skarżącego o postępach w rozpatrywaniu skargi 195 . Ponadto każda osoba, wobec której Komisarz wydał którekolwiek z powyższych zawiadomień (zawiadomienie informacyjne, oceniające, egzekucyjne lub w sprawie sankcji), może odwołać się do Trybunału Pierwszej Instancji (First Tier Tribunal). Jeżeli Trybunał uzna, że decyzja Komisarza ds. Informacji nie jest zgodna z prawem lub że Komisarz powinien był skorzystać z przysługującej mu swobody uznania w inny sposób, Trybunał uwzględnia odwołanie lub zastępuje zawiadomienie lub decyzję innym zawiadomieniem lub decyzją, które Komisarz mógł wydać 196 .

(118) Po trzecie, osoby fizyczne mogą wnieść środki zaskarżenia przeciwko administratorom i podmiotom przetwarzającym bezpośrednio do sądu na podstawie art. 167 DPA 2018. Jeżeli po otrzymaniu wniosku osoby, której dane dotyczą, sąd stwierdzi, że doszło do naruszenia jej praw wynikających z ustawodawstwa w dziedzinie ochrony danych, sąd może nakazać administratorowi w odniesieniu do tego przetwarzania lub podmiotowi przetwarzającemu działającemu w imieniu tego administratora podjęcie kroków określonych w nakazie lub zaniechanie podejmowania kroków określonych w nakazie. Ponadto, zgodnie z art. 169 DPA 2018, każdy, kto poniósł szkodę z powodu naruszenia wymogu określonego w ustawodawstwie w dziedzinie ochrony danych (w tym w części 3 DPA 2018), innym niż RODO UK, ma prawo do odszkodowania z tytułu poniesienia tej szkody od administratora lub podmiotu przetwarzającego, chyba że administrator lub podmiot przetwarzający udowodni, że nie ponosi w żaden sposób odpowiedzialności za zdarzenie wywołujące szkodę. Szkoda obejmuje zarówno stratę finansową, jak i szkodę niezwiązaną ze stratą finansową, taką jak cierpienie.

(119) Po czwarte, jeżeli ktokolwiek uważa, że jego prawa, w tym prawa do prywatności i ochrony danych, zostały naruszone przez organy publiczne, może dochodzić roszczeń przed sądami Zjednoczonego Królestwa na podstawie ustawy o prawach człowieka z 1998 r. Administratorzy w rozumieniu części 3 DPA 2018, tj. właściwe organy, są zawsze organami publicznymi w rozumieniu ustawy o prawach człowieka z 1998 r. Osoba fizyczna, która twierdzi, że organ publiczny działał (lub zamierza działać) w sposób niezgodny z prawem określonym w konwencji, a w rezultacie niezgodny z prawem w rozumieniu art. 6 ust. 1 ustawy o prawach człowieka z 1998 r., może wytoczyć powództwo przeciwko temu organowi przed właściwy sąd lub trybunał lub powołać się na dane prawa w dowolnym postępowaniu sądowym, jeśli jest (lub byłaby) ofiarą działania niezgodnego z prawem 197 .

(120) Jeśli sąd stwierdzi, że jakiekolwiek działanie organu publicznego jest niezgodne z prawem, może - w ramach swojej właściwości - zastosować taki środek zabezpieczający lub inny środek prawny lub wydać taki nakaz, jaki uzna za sprawiedliwy i właściwy 198 . Sąd może również orzec, że przepis ustawodawczy jest niezgodny z prawem gwarantowanym na mocy EKPC.

(121) Ponadto po wyczerpaniu krajowych środków ochrony prawnej osobie fizycznej przysługuje środek zaskarżenia przed Europejskim Trybunałem Praw Człowieka z tytułu naruszenia praw gwarantowanych na mocy EKPC.

2.6. Dalsze przekazywanie

(122) Prawo Zjednoczonego Królestwa dopuszcza udostępnianie danych przez organ ścigania innym organom Zjednoczonego Królestwa do celów innych niż te, dla których pierwotnie je zebrano (tzw. "dalsze przekazywanie"), pod pewnymi warunkami.

(123) Podobnie do tego, co przewidziano w art. 4 ust. 2 dyrektywy (UE) 2016/680, art. 36 ust. 3 DPA 2018 dopuszcza, aby dane osobowe zebrane przez właściwy organ do celów ścigania przestępstw były dalej przetwarzane (przez pierwotnego administratora lub innego administratora), o ile dalsze przetwarzanie odbywa się do wszelkich innych celów ścigania przestępstw, pod warunkiem że administrator jest upoważniony na mocy prawa do przetwarzania danych w tym innym celu, a przetwarzanie jest niezbędne i proporcjonalne 199 . W takim przypadku wszystkie zabezpieczenia przewidziane w części 3 DPA 2018 i przeanalizowane powyżej mają zastosowanie do przetwarzania prowadzonego przez organ otrzymujący.

(124) W porządku prawnym Zjednoczonego Królestwa różne ustawy wyraźnie dopuszczają dalsze przekazywanie. W szczególności (i) ustawa o gospodarce cyfrowej z 2017 r. umożliwia udostępnianie danych między organami publicznymi do szeregu celów, na przykład w przypadku wszelkich nadużyć finansowych na szkodę sektora publicznego, które wiązałyby się ze stratą lub ryzykiem straty dla organu publicznego 200 , lub w przypadku długu należnego na rzecz organu publicznego lub Korony 201 ; (ii) ustawa o przestępczości i sądach z 2013 r. zezwala na udostępnianie danych Krajowej Agencji ds. Zwalczania Przestępczości 202  w celu zwalczania przestępczości poważnej i zorganizowanej, prowadzenia postępowań przygotowawczych w sprawie takich przestępstw i ich ścigania; (iii) ustawa o poważnej przestępczości z 2007 r. zezwala organom publicznym na ujawnianie informacji organizacjom zwalczającym nadużycia finansowe do celów zapobiegania nadużyciom finansowym 203 .

(125) Ustawy te wyraźnie stanowią, że udostępnianie informacji musi być zgodne z zasadami określonymi w DPA 2018. Ponadto Kolegium Policyjne wydało zatwierdzone praktyki zawodowe dotyczące udostępniania informacji 204 , aby pomóc policji w wypełnianiu obowiązków w zakresie ochrony danych wynikających z RODO UK, DPA oraz ustawy o prawach człowieka z 1998 r. Zgodność udostępniania informacji z obowiązującymi ramami prawnymi w zakresie ochrony danych może oczywiście podlegać kontroli sądowej 205 .

(126) Ponadto podobnie do tego, co wynika z art. 9 dyrektywy (UE) 2016/680, DPA 2018 stanowi, że dane osobowe zebrane w jakimkolwiek celu związanym ze ściganiem przestępstw mogą być przetwarzane w celu, który nie jest celem związanym ze ściganiem przestępstw, jeżeli to przetwarzanie jest dozwolone przez prawo 206 . Ten rodzaj udostępniania danych obejmuje dwa scenariusze: 1) gdy organ ścigania przekazuje dane organowi niebędącemu organem ścigania ani agencją wywiadowczą (np. organowi ds. regulacji finansowej, organowi podatkowemu, organowi ochrony konkurencji, urzędowi ds. młodzieży itp.); 2) gdy organ ścigania przekazuje dane agencji wywiadowczej. W pierwszym scenariuszu przetwarzanie danych osobowych wchodzi w zakres RODO UK, jak również w zakres części 2 DPA 2018. Jak określono w decyzji przyjętej na mocy rozporządzenia (UE) 2016/679, zabezpieczenia przewidziane w RODO UK i części 2 DPA 2018 zapewniają stopień ochrony zasadniczo odpowiadający stopniowi zapewnionemu w Unii 207 .

(127) W drugim scenariuszu, w odniesieniu do udostępniania danych zebranych przez organ ścigania agencji wywiadowczej do celów bezpieczeństwa narodowego, podstawą prawną upoważniającą do takiego udostępniania jest ustawa o zwalczaniu terroryzmu z 2008 r. (CTA 2008) 208 . Zgodnie z ustawą o zwalczaniu terroryzmu z 2008 r. każdy może przekazać informacje którejkolwiek ze służb wywiadowczych na potrzeby wykonywania którejkolwiek z funkcji tej służby, w tym dotyczącej "bezpieczeństwa narodowego".

(128) Jeśli chodzi o warunki, na jakich dane można udostępniać do celów bezpieczeństwa narodowego, ustawa o służbach wywiadowczych oraz ustawa o Służbie Bezpieczeństwa ograniczają możliwości służb wywiadowczych w zakresie uzyskiwania danych do tego, co jest niezbędne do wykonywania ich funkcji ustawowych. Właściwe organy, wchodzące w zakres części 3 DPA 2018, które zamierzają udostępniać dane służbom wywiadowczym, będą musiały uwzględnić szereg czynników/ograniczeń oprócz ustawowych funkcji agencji określonych w ustawie o służbach wywiadowczych i ustawie o Służbie Bezpieczeństwa 209 . W art. 20 ustawy o zwalczaniu terroryzmu z 2008 r. wyraźnie wskazano, że wszelkie udostępnianie danych na podstawie art. 19 tej ustawy musi być również zgodne z ustawodawstwem w dziedzinie ochrony danych; oznacza to, że mają zastosowanie wszystkie ograniczenia i wymogi określone w DPA 2018. Ponadto organy ścigania i służby wywiadowcze są organami publicznymi w rozumieniu ustawy o prawach człowieka z 1998 r., a zatem muszą zagwarantować, że działają zgodnie z prawami gwarantowanymi na mocy EKPC, w tym jej art. 8. Innymi słowy, wymogi te oznaczają, że wszelkie udostępnianie danych między organami ścigania a służbami wywiadowczymi musi być zgodne z ustawodawstwem w dziedzinie ochrony danych i EKPC.

(129) Przetwarzanie przez służby wywiadowcze danych osobowych otrzymanych lub uzyskanych od organów ścigania do celów bezpieczeństwa narodowego podlega szeregowi warunków i zabezpieczeń 210 . Część 4 DPA 2018 ma zastosowanie do wszelkiego przetwarzania danych przez służby wywiadowcze lub w ich imieniu. Określono w niej główne zasady ochrony danych (zgodność z prawem, rzetelność i przejrzystość 211 ; ograniczenie celu 212 ; minimalizacja danych 213 ; prawidłowość 214 ; ograniczenie przechowywania 215  i bezpieczeństwo 216 ), określono warunki dotyczące przetwarzania szczególnych kategorii danych 217 , zapewniono prawa osób, których dane dotyczą, 218  określono obowiązek uwzględniania ochrony danych w fazie projektowania 219  i uregulowano międzynarodowe przekazywanie danych osobowych 220 .

(130) Jednocześnie w art. 110 DPA 2018 przewidziano wyłączenie stosowania określonych przepisów zawartych w części 4 tej ustawy, gdy takie wyłączenie jest wymagane do ochrony bezpieczeństwa narodowego. W art. 110 ust. 2 DPA 2018 wymieniono przepisy, w przypadku których dopuszcza się wyłączenie stosowania. Obejmują one zasady ochrony danych (z wyjątkiem zasady zgodności z prawem), prawa osób, których dane dotyczą, obowiązek informowania Komisarza ds. Informacji o naruszeniu ochrony danych, uprawnienia Komisarza ds. Informacji do przeprowadzania kontroli zgodnie z zobowiązaniami międzynarodowymi, określone uprawnienia Komisarza ds. Informacji do egzekwowania przestrzegania przepisów, przepisy, zgodnie z którymi niektóre naruszenia ochrony danych stanowią czyn zabroniony, oraz przepisy dotyczące szczególnych celów przetwarzania, takich jak przetwarzanie do celów dziennikarskich, akademickich czy artystycznych. Na wyłączenie to można się powołać na podstawie analizy poszczególnych przypadków 221 . Jak wyjaśniły władze Zjednoczonego Królestwa i jak potwierdzono w orzecznictwie sądów Zjednoczonego Królestwa, "administrator musi uwzględnić faktyczne konsekwencje dla bezpieczeństwa narodowego lub obrony, gdyby musiał zastosować się do konkretnego przepisu dotyczącego ochrony danych i gdyby istniały racjonalne przesłanki, że mógłby przestrzegać zwykłej zasady bez wpływu na bezpieczeństwo narodowe lub obronę" 222 . Nad prawidłowym stosowaniem wyłączeń nadzór sprawuje Komisarz ds. Informacji 223 .

(131) Ponadto jeżeli chodzi o możliwość ograniczenia któregokolwiek z wymienionych powyżej praw ze względu na ochronę "bezpieczeństwa narodowego", w art. 79 DPA 2018 określono, że administrator może ubiegać się o podpisane przez ministra lub Prokuratora Generalnego poświadczenie potwierdzające, że ograniczenie takich praw jest, lub było w dowolnym momencie, niezbędnym i proporcjonalnym środkiem służącym ochronie bezpieczeństwa narodowego 224 . Rząd Zjednoczonego Królestwa opublikował wytyczne dotyczące poświadczeń bezpieczeństwa narodowego wydawanych na podstawie DPA 2018, w których podkreślono w szczególności, że wszelkie ograniczenia praw osób, których dane dotyczą, służące do ochrony bezpieczeństwa narodowego muszą być proporcjonalne i niezbędne 225 . Wszelkie poświadczenia bezpieczeństwa narodowego muszą zostać opublikowane na stronie internetowej Komisarza ds. Informacji 226 .

(132) Poświadczenie powinno być wydawane na czas określony, nie dłuższy niż pięć lat, tak aby podlegało regularnej ocenie przez władzę wykonawczą 227 . W poświadczeniu określa się dane osobowe lub kategorie danych osobowych podlegające wyłączeniu, a także przepisy DPA 2018, do których wyłączenie ma zastosowanie 228 .

(133) Należy zauważyć, że poświadczenia bezpieczeństwa narodowego nie stanowią dodatkowej podstawy ograniczania praw do ochrony danych ze względów bezpieczeństwa narodowego. Innymi słowy administrator lub podmiot przetwarzający może powołać się na poświadczenie wyłącznie wówczas, gdy stwierdził, że konieczne jest powołanie się na wyłączenie dotyczące bezpieczeństwa narodowego, co jest możliwe wyłącznie na podstawie oceny każdego przypadku z osobna. Nawet jeżeli do danej sprawy zastosowanie ma poświadczenie bezpieczeństwa narodowego, Komisarz ds. Informacji może zbadać, czy w tym konkretnym przypadku powołanie się na wyłączenie dotyczące bezpieczeństwa narodowego było uzasadnione 229 .

(134) Każdy, na kogo wydanie poświadczenia wywarło bezpośredni wpływ, może odwołać się od wydania poświadczenia 230  do Wyższego Trybunału 231  lub, gdy w poświadczeniu dane określono za pomocą ogólnego opisu, zaskarżyć stosowanie poświadczenia w odniesieniu do konkretnych danych 232 .

(135) W takiej sytuacji Trybunał bada decyzję o wydaniu poświadczenia i orzeka, czy istniały uzasadnione podstawy do jego wydania 233 . Może rozważyć wiele różnych aspektów, takich jak niezbędność, proporcjonalność i zgodność z prawem, uwzględniając wpływ na prawa osób, których dane dotyczą, oraz wyważając potrzebę ochrony bezpieczeństwa narodowego. W rezultacie Trybunał może stwierdzić, że poświadczenie nie ma zastosowania do konkretnych danych osobowych będących przedmiotem odwołania 234 .

(136) Inny zbiór możliwych ograniczeń dotyczy wyłączeń, które stosuje się na podstawie załącznika 11 do DPA 2018 do określonych przepisów zawartych w części 4 DPA 2018 235  na potrzeby zabezpieczenia innych ważnych celów leżących w ogólnym interesie publicznym lub chronionych interesów, takich jak np. przywilej parlamentarny, prawnicza tajemnica zawodowa, przebieg postępowania sądowego lub skuteczność bojowa sił zbrojnych. Wyłączenia stosowania tych przepisów dokonuje się albo w odniesieniu do określonych kategorii informacji ("ze względu na klasę"), albo w zakresie, w jakim stosowanie tych przepisów mogłoby zaszkodzić chronionemu interesowi ("ze względu na szkodę") 236 . Na wyłączenia ze względu na szkodę można się powoływać tylko w takim zakresie, w jakim zastosowanie wymienionego przepisu dotyczącego ochrony danych prawdopodobnie zaszkodziłoby danemu interesowi. Stosowanie wyłączenia musi być zatem zawsze uzasadnione poprzez wskazanie odpowiedniej szkody, która prawdopodobnie powstałaby w danym przypadku. Na wyłączenia ze względu na klasę można się powoływać wyłącznie w odniesieniu do konkretnej, ściśle zdefiniowanej kategorii informacji, dla której przyznano wyłączenie. Wyłączenia te są podobne pod względem celu i skutku do szeregu wyjątków od RODO UK (określonych w załączniku 2 do DPA 2018), które z kolei odzwierciedlają cel i skutek przewidziane w art. 23 RODO.

(137) Z powyższego wynika, że - w rozumieniu obowiązujących w Zjednoczonym Królestwie przepisów oraz zgodnie z wykładnią sądów i interpretacją Komisji ds. Informacji - istnieją ograniczenia i warunki zapewniające, aby wspomniane wyłączenia i ograniczenia pozostawały w zakresie niezbędnym i proporcjonalnym do ochrony bezpieczeństwa narodowego.

(138) Przetwarzanie danych osobowych prowadzone przez służby wywiadowcze na podstawie części 4 DPA 2018 nadzoruje Komisarz ds. Informacji 237 .

(139) Ogólne funkcje Komisarza ds. Informacji w odniesieniu do przetwarzania danych osobowych przez służby wywiadowcze na podstawie części 4 DPA 2018 zostały określone w załączniku 13 do tej ustawy. Jego zadania obejmują w szczególności m.in.: monitorowanie i egzekwowanie części 4 DPA 2018, zwiększanie świadomości społecznej, doradzanie parlamentowi, rządowi i innym instytucjom w zakresie środków legislacyjnych i administracyjnych, zwiększanie świadomości administratorów i podmiotów przetwarzających w zakresie ich obowiązków, udzielanie informacji osobie, której dane dotyczą, dotyczących wykonywania jej praw czy prowadzenie postępowań.

(140) Komisarz, podobnie jak określono w części 3 DPA 2018, jest uprawniony do powiadamiania administratorów o domniemanym naruszeniu oraz do wydawania ostrzeżeń, że przetwarzanie może naruszać przepisy, a także udziela upomnień, gdy naruszenie zostanie potwierdzone. Może również wydawać zawiadomienia egzekucyjne i zawiadomienia w sprawie sankcji za naruszenie określonych przepisów ustawy 238 . W odróżnieniu jednak od uprawnień określonych w innych częściach DPA 2018 Komisarz nie może wydać zawiadomienia oceniającego organowi bezpieczeństwa narodowego 239 .

(141) Ponadto w art. 110 DPA 2018 przewidziano wyjątek dotyczący korzystania przez Komisarza z niektórych uprawnień, gdy jest to wymagane do celów ochrony bezpieczeństwa narodowego. Wyjątek ten obejmuje uprawnienie Komisarza do wydawania (wszelkiego rodzaju) zawiadomień na podstawie ustawy o ochronie danych (zawiadomień informacyjnych, oceniających, egzekucyjnych i w sprawie sankcji), uprawnienie do przeprowadzania inspekcji zgodnie z zobowiązaniami międzynarodowymi, uprawnienia do wstępu i inspekcji oraz przepisy dotyczące przestępstw 240 . Jak wyjaśniono w motywie 136, wyjątki te będą miały zastosowanie tylko wtedy, gdy jest to niezbędne i proporcjonalne, oraz po przeprowadzeniu oceny każdego przypadku z osobna. Stosowanie tych wyjątków może podlegać kontroli sądowej 241 .

(142) Komisarz ds. Informacji i służby wywiadowcze Zjednoczonego Królestwa podpisały protokół ustaleń 242 , który ustanawia ramy współpracy w wielu kwestiach, w tym w zakresie powiadamiania o naruszeniu ochrony danych i rozpatrywania skarg osób, których dane dotyczą. W protokole tym uzgodniono w szczególności, że po otrzymaniu skargi Komisarz ds. Informacji będzie zobowiązany ocenić prawidłowość wszelkich wyłączeń zastosowanych w związku z wystąpieniem zagrożenia dla bezpieczeństwa narodowego. Odpowiednia agencja wskazana w wytycznych rządu Zjednoczonego Królestwa dotyczących poświadczeń bezpieczeństwa narodowego przyjętych na podstawie ustawy o ochronie danych jest zobowiązana odpowiadać na pytania zadawane przez Komisarza ds. Informacji w toku rozpatrywania skarg osób fizycznych w terminie 20 dni roboczych, korzystając w tym celu z odpowiednich bezpiecznych kanałów, jeżeli wspomniane pytania dotyczą informacji niejawnych. Od kwietnia 2018 r. do chwili obecnej Komisarz ds. Informacji otrzymał od osób fizycznych 21 skarg, które dotyczyły służb wywiadowczych. Każda skarga została oceniona, a o rezultacie poinformowano osobę, której dane dotyczą 243 .

(143) Ponadto nad przetwarzaniem danych osobowych przez agencje wywiadowcze nadzór parlamentarny sprawuje Komisja ds. Agencji Wywiadowczych i Bezpieczeństwa (ISC). Podstawą ustawową regulującą działalność komisji jest ustawa o wymiarze sprawiedliwości i bezpieczeństwie z 2013 r. 244  Na mocy tej ustawy powołano Komisję ds. Agencji Wywiadowczych i Bezpieczeństwa, która stanowi jedną z komisji parlamentu Zjednoczonego Królestwa. W skład Komisji ds. Agencji Wywiadowczych i Bezpieczeństwa wchodzą członkowie izb parlamentu powołani przez premiera po zasięgnięciu opinii lidera opozycji 245 . Komisja ds. Agencji Wywiadowczych i Bezpieczeństwa jest zobowiązana przedstawić parlamentowi sprawozdanie roczne ze swojej działalności, a w stosownych przypadkach również inne sprawozdania 246 .

(144) W 2013 r. zwiększono zakres uprawnień Komisji ds. Agencji Wywiadowczych i Bezpieczeństwa i obecnie obejmuje on również nadzór nad działaniami operacyjnymi podejmowanymi przez służby bezpieczeństwa. Zgodnie z art. 2 ustawy o wymiarze sprawiedliwości i bezpieczeństwie z 2013 r. Komisji ds. Agencji Wywiadowczych i Bezpieczeństwa powierzono zadanie sprawowania nadzoru nad wydatkami agencji bezpieczeństwa narodowego, ich administracją, realizowaną przez nie polityką oraz podejmowanymi przez nie działaniami operacyjnymi. Zgodnie z ustawą o wymiarze sprawiedliwości i bezpieczeństwie z 2013 r. Komisja ds. Agencji Wywiadowczych i Bezpieczeństwa może prowadzić postępowania w kwestiach operacyjnych, jeżeli nie dotyczą one operacji będących w toku 247 . W protokole ustaleń uzgodnionym między premierem a Komisją ds. Agencji Wywiadowczych i Bezpieczeństwa 248  wyszczególniono elementy, które należy wziąć pod uwagę przy ustalaniu, czy dana czynność jest częścią operacji będącej w toku, czy też nie 249 . Premier może również zwrócić się do Komisji ds. Agencji Wywiadowczych i Bezpieczeństwa o zbadanie operacji będących w toku; komisja może ponadto dokonać przeglądu informacji przekazanych dobrowolnie przez agencje.

(145) Zgodnie z załącznikiem 1 do ustawy o wymiarze sprawiedliwości i bezpieczeństwie z 2013 r. Komisja ds. Agencji Wywiadowczych i Bezpieczeństwa może wystąpić do kierownika każdej z trzech służb wywiadowczych o ujawnienie wszelkich informacji. Agencja jest zobowiązana udostępnić żądane informacje, chyba że sprzeciwi się temu Sekretarz Stanu 250 . Władze Zjednoczonego Królestwa wyjaśniły, że w praktyce przypadki odmowy udostępnienia Komisji ds. Agencji Wywiadowczych i Bezpieczeństwa żądanych przez nią informacji zdarzają się niezwykle rzadko 251 .

(146) Jeżeli chodzi o środki zaskarżenia, to - przede wszystkim - zgodnie z art. 165 ust. 2 DPA 2018 osoba, której dane dotyczą, może wnieść skargę do Komisarza ds. Informacji, jeżeli uważa, że w odniesieniu do danych osobowych, które jej dotyczą, doszło do naruszenia przepisów części 4 DPA 2018, uwzględniając wszelkie nadużycia w zakresie stosowania odstępstw i ograniczeń z tytułu zagrożenia dla bezpieczeństwa narodowego.

(147) Ponadto zgodnie z częścią 4 DPA 2018 osoby fizyczne są uprawnione do wystąpienia do Wysokiego Trybunału (lub do Court of Session w Szkocji) o wydanie nakazu zobowiązującego administratora do zapewnienia poszanowania prawa dostępu do danych 252 , prawa do wyrażenia sprzeciwu wobec przetwarzania danych 253  lub prawa do sprostowania danych bądź ich usunięcia.

(148) Osoby fizyczne mogą również dochodzić odszkodowania z tytułu szkód, jakich doznały wskutek niespełnienia przez administratora lub podmiot przetwarzający wymogu ustanowionego w części 4 DPA 2018 254 . Szkoda obejmuje zarówno stratę finansową, jak i szkodę niezwiązaną ze stratą finansową, taką jak cierpienie 255 .

(149) Osoba fizyczna może również wnieść skargę do Trybunału ds. Uprawnień Dochodzeniowo-Śledczych (Investigatory Powers Tribunal) w związku z jakimikolwiek działaniami agencji wywiadowczych Zjednoczonego Królestwa lub jakimikolwiek działaniami podejmowanymi w imieniu tych agencji 256 . Trybunał ds. Uprawnień Dochodzeniowo- Śledczych ustanowiono na mocy ustawy regulującej uprawnienia dochodzeniowo-śledcze w Anglii, Walii i Irlandii Północnej z 2000 r. oraz na mocy ustawy regulującej uprawnienia dochodzeniowo-śledcze w Szkocji z 2000 r. (RIPA 2000) - jest on niezależny od organów władzy wykonawczej 257 . Zgodnie z art. 65 RIPA 2000 Jej Królewska Mość powołuje członków Trybunału ds. Uprawnień Dochodzeniowo-Śledczych na pięcioletnią kadencję.

(150) Jej Królewska Mość może odwołać członka Trybunału na podstawie oświadczenia 258  obydwu izb parlamentu 259 .

(151) Aby wszcząć postępowanie przed Trybunałem ds. Uprawnień Dochodzeniowo-Śledczych ("wymóg w zakresie legitymacji procesowej"), zgodnie z art. 65 RIPA 2000 osoba fizyczna musi żywić przekonanie, że (i) służba wywiadowcza podjęła określone działania w odniesieniu do niej, jakiegokolwiek składnika jej majątku, jakichkolwiek wysyłanych przez nią lub adresowanych do niej wiadomości lub wiadomości, które miały zostać jej przesłane, lub w odniesieniu do korzystania przez nią z jakichkolwiek usług pocztowych, usług telekomunikacyjnych lub systemu telekomunikacyjnego 260  i że (ii) działania te były podejmowane w "okolicznościach budzących wątpliwości" 261  lub "przez służby wywiadowcze bądź w imieniu tych służb" 262 . Ponieważ do owego "przekonania" stosuje się dość szeroką wykładnię 263 , wniesienie sprawy do Trybunału podlega stosunkowo łagodnym wymogom w zakresie legitymacji procesowej.

(152) W przypadku gdy Trybunał rozpoznaje wniesioną do niego skargę, jego obowiązkiem jest zbadanie, czy osoby, wobec których w skardze sformułowano jakikolwiek zarzut, dopuściły się naruszeń w stosunku do skarżącego, jak również zbadanie organu, który rzekomo dopuścił się naruszeń, oraz kwestii, czy miało miejsce zarzucane działanie 264 . We wszelkich tego rodzaju postępowaniach przy wydawaniu orzeczeń Trybunał musi stosować te same zasady, które zastosowałby sąd w przypadku wniosku o kontrolę sądową 265 .

(153) Trybunał ds. Uprawnień Dochodzeniowo-Śledczych musi powiadomić skarżącego o tym, czy wydał orzeczenie na jego korzyść, czy nie 266 . Zgodnie z art. 67 ust. 6 i 7 RIPA 2000 Trybunał jest uprawniony do wydawania nakazów tymczasowych oraz zasądzania odszkodowania lub zastosowania innego nakazu, jaki uzna za stosowny 267 . Zgodnie z art. 67 A RIPA 2000 orzeczenie Trybunału można zaskarżyć pod warunkiem uzyskania zgody Trybunału lub właściwego sądu apelacyjnego.

(154) Osoby fizyczne mogą wystąpić z roszczeniem do Trybunału ds. Uprawnień Dochodzeniowo-Śledczych - i uzyskać odszkodowanie - w szczególności w przypadku gdy organ publiczny działał (lub zamierza działać) w sposób naruszający prawa zagwarantowane w EKPC, w tym prawo do prywatności i ochrony danych, a w rezultacie niezgodny z prawem w rozumieniu art. 6 ust. 1 ustawy o prawach człowieka z 1998 r. Trybunał ds. Uprawnień Dochodzeniowo-Śledczych dysponuje właściwością wyłączną do rozpoznawania wszystkich roszczeń przeciwko agencjom wywiadowczym wnoszonych na podstawie ustawy o prawach człowieka. Jak zauważył Wysoki Trybunał, oznacza to, że "kwestia, czy doszło do naruszenia ustawy o prawach człowieka w zakresie okoliczności faktycznych konkretnej sprawy, może być zasadniczo podniesiona i rozstrzygnięta przez niezależny sąd, który może mieć dostęp do wszystkich istotnych materiałów, w tym materiałów niejawnych. [...] W tym kontekście należy również pamiętać, że orzeczenia samego Trybunału ds. Uprawnień Dochodzeniowo-Śledczych mogą obecnie stać się przedmiotem odwołania do odpowiedniego sądu apelacyjnego (w Anglii i Walii byłby to Sąd Apelacyjny) oraz że Sąd Najwyższy orzekł niedawno, że Trybunał ds. Uprawnień Dochodzeniowo-Śledczych może co do zasady podlegać kontroli sądowej: zob. Korona (Privacy International) przeciwko Investigatory Powers Tribunal [2019] UKSC 22; [2019] 2 WLR 1219" 268 . Jeśli Trybunał ds. Uprawnień Dochodzeniowo-Śledczych stwierdzi, że jakiekolwiek działanie organu publicznego jest niezgodne z prawem, może - w ramach swojej właściwości - zastosować taki środek zabezpieczający lub środek prawny bądź wydać taki nakaz, jaki uzna za sprawiedliwy i właściwy 269 .

(155) Po wyczerpaniu krajowych środków ochrony prawnej osobie fizycznej przysługuje środek zaskarżenia przed Europejskim Trybunałem Praw Człowieka z tytułu naruszenia praw gwarantowanych na mocy EKPC, w tym prawa do prywatności i ochrony danych.

(156) Z powyższego wynika, że udostępnianie danych przekazanych na podstawie niniejszej decyzji przez organy ścigania Zjednoczonego Królestwa innym organom publicznym, w tym agencjom wywiadowczym, podlega ograniczeniom i warunkom zapewniającym, aby takie dalsze przekazanie było niezbędne i proporcjonalne, a także szczególnym zabezpieczeniom służącym ochronie danych przewidzianym w DPA 2018. Ponadto przetwarzanie danych przez organy publiczne podlega nadzorowi niezależnych organów, a osoby, na które ma ono wpływ, mają dostęp do skutecznych środków ochrony prawnej przed sądem.

3. WNIOSEK

(157) Komisja uważa, że część 3 DPA 2018 zapewnia odpowiedni stopień ochrony danych osobowych przekazywanych do celów ścigania przestępstw z właściwych organów w Unii do właściwych organów w Zjednoczonym Królestwie, który zasadniczo odpowiada stopniowi ochrony zagwarantowanemu w dyrektywie (UE) 2016/680.

(158) Ponadto Komisja stwierdza, że mechanizmy nadzoru i możliwości dochodzenia roszczeń przewidziane w prawie Zjednoczonego Królestwa - rozumiane jako całość - zapewniają możliwość identyfikowania przypadków naruszenia przepisów i w praktyce nakładania za te naruszenia sankcji oraz oferują osobom, których dane dotyczą, możliwość skorzystania ze środków ochrony prawnej w celu uzyskania dostępu do dotyczących ich danych osobowych, a także - ostatecznie - sprostowania lub usunięcia takich danych.

(159) Wreszcie, na podstawie dostępnych informacji na temat porządku prawnego Zjednoczonego Królestwa Komisja uważa, że wszelkie ingerencje w prawa podstawowe osób fizycznych, których dane osobowe są przekazywane z Unii Europejskiej do Zjednoczonego Królestwa, jakich dopuszczają się organy publiczne Zjednoczonego Królestwa do celów zgodnych z interesem publicznym, w szczególności w kontekście udostępniania danych osobowych między organami ścigania i innymi organami publicznymi, takimi jak organy bezpieczeństwa narodowego, będą ograniczać się do tego, co jest ściśle niezbędne do osiągnięcia tego uzasadnionego celu, oraz że ustanowiono skuteczną ochronę prawną przed takimi ingerencjami.

(160) Należy zatem uznać, że Zjednoczone Królestwo zapewnia odpowiedni stopień ochrony w rozumieniu art. 36 ust. 2 dyrektywy (UE) 2016/680, interpretowanego w świetle Karty praw podstawowych.

(161) Wniosek ten opiera się zarówno na odpowiednim systemie krajowym Zjednoczonego Królestwa, jak i na jego zobowiązaniach międzynarodowych, w szczególności na przystąpieniu do Konwencji o ochronie praw człowieka i podstawowych wolności i poddaniu się jurysdykcji Europejskiego Trybunału Praw Człowieka. Nieprzerwane przestrzeganie takich zobowiązań międzynarodowych stanowi zatem szczególnie istotny element oceny, na której opiera się niniejsza decyzja.

4. SKUTKI NINIEJSZEJ DECYZJI I DZIAŁANIA ORGANÓW OCHRONY DANYCH

(162) Państwa członkowskie i ich organy mają obowiązek stosować środki niezbędne do zapewnienia zgodności z aktami instytucji unijnych, ponieważ domniemywa się, że akty te są zgodne z prawem, a zatem wywołują skutki prawne do chwili ich wygaśnięcia, uchylenia, stwierdzenia ich nieważności w postępowaniu o stwierdzenie nieważności lub orzeczenia o ich nieważności w następstwie odesłania prejudycjalnego lub zarzutu niezgodności z prawem.

(163) Decyzja stwierdzająca odpowiedni stopień ochrony danych osobowych przyjęta przez Komisję na podstawie art. 36 ust. 3 dyrektywy (UE) 2016/680 jest zatem wiążąca dla wszystkich organów państw członkowskich, do których jest skierowana, w tym ich niezależnych organów nadzorczych. W szczególności w okresie stosowania niniejszej decyzji przekazywanie danych przez administratora lub podmiot przetwarzający w Unii administratorom lub podmiotom przetwarzającym w Zjednoczonym Królestwie może odbywać się bez konieczności uzyskania jakiegokolwiek dodatkowego zezwolenia.

(164) Należy przypomnieć, że zgodnie z art. 47 ust. 5 dyrektywy (UE) 2016/680 i jak wyjaśnił Trybunał Sprawiedliwości w wyroku w sprawie Schrems, jeżeli krajowy organ ochrony danych kwestionuje, również na podstawie skargi, zgodność wydanej przez Komisję decyzji stwierdzającej odpowiedni stopień ochrony z podstawowymi prawami osoby do prywatności i ochrony danych, należy zapewnić w prawie krajowym drogę prawną umożliwiającą jej podniesienie tych zarzutów przed sądem krajowym, który może być zobowiązany do wystąpienia z odesłaniem prejudy- cjalnym do Trybunału Sprawiedliwości 270 .

5. MONITOROWANIE, ZAWIESZENIE, UCHYLENIE LUB ZMIANA NINIEJSZEJ DECYZJI

(165) Zgodnie z art. 36 ust. 4 dyrektywy (UE) 2016/680 Komisja jest zobowiązana na bieżąco monitorować odpowiednie zmiany w Zjednoczonym Królestwie po przyjęciu niniejszej decyzji, aby ocenić, czy nadal zapewnia ono zasadniczo odpowiadający stopień ochrony. Takie monitorowanie jest szczególnie ważne w tym przypadku, ponieważ nowy system ochrony danych Zjednoczonego Królestwa, którym będzie ono zarządzać, stosować go i egzekwować jego stosowanie, nie będzie już podlegać prawu Unii; może również ulegać zmianom. W związku z tym szczególna uwaga zostanie zwrócona na stosowanie w praktyce przepisów Zjednoczonego Królestwa dotyczących przekazywania danych osobowych do państw trzecich, w tym poprzez zawieranie umów międzynarodowych, oraz na wpływ, jaki może to mieć na stopień ochrony zapewnianej danym przekazywanym na mocy niniejszej decyzji; a także na skuteczność wykonywania praw indywidualnych w dziedzinach objętych niniejszą decyzją. W ramach monitorowania Komisja uwzględni m.in. zmiany w orzecznictwie i nadzór ze strony Komisarza ds. Informacji i innych niezależnych organów.

(166) Aby ułatwić to monitorowanie, władze Zjednoczonego Królestwa powinny niezwłocznie i regularnie informować Komisję o wszelkich istotnych zmianach w porządku prawnym Zjednoczonego Królestwa, które mają wpływ na ramy prawne będące przedmiotem niniejszej decyzji, a także o wszelkich zmianach praktyk związanych z przetwarzaniem danych osobowych poddanych ocenie w niniejszej decyzji, w szczególności w odniesieniu do elementów, o których mowa w motywie 165.

(167) Ponadto, aby Komisja mogła skutecznie realizować funkcję monitorowania, państwa członkowskie powinny informować ją o wszelkich istotnych działaniach podejmowanych przez organy ochrony danych państw członkowskich, zwłaszcza w odniesieniu do zapytań lub skarg osób z UE, których dane dotyczą, dotyczących przekazywania danych osobowych z Unii właściwym organom w Zjednoczonym Królestwie. Komisja powinna być również informowana o wszelkich sygnałach świadczących o tym, że działania organów publicznych Zjednoczonego Królestwa odpowiedzialnych za zapobieganie przestępczości, prowadzenie postępowań przygotowawczych, wykrywanie lub ściganie czynów zabronionych, w tym wszelkich organów nadzoru, nie gwarantują wymaganego stopnia ochrony.

(168) W przypadku gdy z dostępnych informacji, w szczególności informacji uzyskanych w wyniku monitorowania niniejszej decyzji lub przedstawionych przez władze Zjednoczonego Królestwa lub państw członkowskich, wynika, że stopień ochrony zapewniany przez Zjednoczone Królestwo może nie być już odpowiedni, Komisja powinna powiadomić o tym właściwe organy Zjednoczonego Królestwa i zwrócić się o zastosowanie właściwych środków w określonym terminie, który nie może przekraczać trzech miesięcy. W razie potrzeby okres ten może zostać przedłużony o określony czas, biorąc pod uwagę charakter danej kwestii i środki, które należy zastosować.

(169) Jeżeli po upływie tego określonego terminu właściwe organy Zjednoczonego Królestwa nie zastosują tych środków lub w inny zadowalający sposób nie wykażą, że niniejsza decyzja jest nadal oparta na odpowiednim stopniu ochrony, Komisja rozpocznie procedurę, o której mowa w art. 58 ust. 2 dyrektywy (UE) 2016/680, w celu częściowego lub całkowitego zawieszenia lub uchylenia niniejszej decyzji.

(170) Ewentualnie Komisja rozpocznie tę procedurę w celu zmiany decyzji, zwłaszcza uzależniając przekazywanie danych od spełnienia dodatkowych warunków lub ograniczając zakres stwierdzenia odpowiedniego stopnia ochrony wyłącznie do przekazywania danych, co do których zapewniono ciągłość odpowiedniego stopnia ochrony.

(171) W należycie uzasadnionych, szczególnie pilnych przypadkach Komisja skorzysta z możliwości przyjęcia zgodnie z procedurą, o której mowa w art. 58 ust. 3 dyrektywy (UE) 2016/680, mających natychmiastowe zastosowanie aktów wykonawczych zawieszających, uchylających lub zmieniających decyzję.

6. OKRES OBOWIĄZYWANIA I PRZEDŁUŻENIE OBOWIĄZYWANIA NINIEJSZEJ DECYZJI

(172) Należy wziąć pod uwagę, że wraz z zakończeniem okresu przejściowego przewidzianego w umowie o wystąpieniu oraz z chwilą, gdy przestanie obowiązywać przepis przejściowy określony w art. 782 umowy o handlu i współpracy między Zjednoczonym Królestwem a UE, Zjednoczone Królestwo będzie zarządzać nowym systemem ochrony danych w porównaniu z systemem, który obowiązywał, gdy Zjednoczone Królestwo było związane prawem Unii, a także stosować go i egzekwować jego stosowanie. Może to w szczególności obejmować poprawki lub zmiany w ramach ochrony danych poddanych ocenie w niniejszej decyzji, jak również inne istotne zmiany.

(173) W związku z tym należy zapewnić, aby niniejsza decyzja była stosowana przez okres czterech lat od chwili jej wejścia w życie.

(174) W przypadku gdy w szczególności z informacji uzyskanych w wyniku monitorowania niniejszej decyzji będzie wynikało, że ustalenia dotyczące odpowiedniego stopnia ochrony zapewnianego w Zjednoczonym Królestwie są nadal uzasadnione pod względem faktycznym i prawnym, Komisja powinna, najpóźniej sześć miesięcy przed zakończeniem okresu stosowania niniejszej decyzji, wszcząć procedurę zmiany niniejszej decyzji poprzez przedłużenie jej zakresu czasowego, co do zasady, na dodatkowy okres czterech lat. Każdy taki akt wykonawczy zmieniający niniejszą decyzję należy przyjąć zgodnie z procedurą, o której mowa w art. 58 ust. 2 dyrektywy (UE) 2016/680.

7. UWAGI KOŃCOWE

(175) Europejska Rada Ochrony Danych opublikowała swoją opinię 271 , która została uwzględniona podczas przygotowywania niniejszej decyzji.

(176) Środki przewidziane w niniejszej decyzji są zgodne z opinią komitetu ustanowionego na mocy art. 58 dyrektywy (UE) 2016/680.

(177) Zgodnie z art. 6a Protokołu nr 21 w sprawie stanowiska Zjednoczonego Królestwa i Irlandii w odniesieniu do przestrzeni wolności, bezpieczeństwa i sprawiedliwości, który jest załączony do TUE i TFUE, Irlandia nie jest związana przepisami ustanowionymi w dyrektywie (UE) 2016/680, a zatem również w niniejszej decyzji wykonawczej, dotyczącymi przetwarzania danych osobowych przez państwa członkowskie w ramach wykonywania działań wchodzących w zakres zastosowania części trzeciej tytuł V rozdział 4 lub rozdział 5 TFUE, jeżeli Irlandia nie jest związana zasadami regulującymi formy współpracy wymiarów sprawiedliwości w sprawach karnych lub współpracy policyjnej, w ramach której należy przestrzegać przepisów ustanowionych na podstawie art. 16 TFUE. Ponadto zgodnie z decyzją wykonawczą Rady (UE) 2020/1745 272  dyrektywę (UE) 2016/680 należy wprowadzić w życie i stosować tymczasowo w Irlandii od dnia 1 stycznia 2021 r. Irlandia jest zatem związana niniejszą decyzją wykonawczą na takich samych zasadach, jakie mają zastosowanie do stosowania dyrektywy (UE) 2016/680 w Irlandii, jak przewidziano w decyzji wykonawczej (UE) 2020/1745, jeżeli chodzi o dorobek Schengen, w którym uczestniczy.

(178) Zgodnie z art. 2 i 2a Protokołu nr 22 w sprawie stanowiska Danii, który jest załączony do Traktatu o Unii Europejskiej i Traktatu o funkcjonowaniu Unii Europejskiej, Dania nie jest związana przepisami ustanowionymi w dyrektywie (UE) 2016/680, a zatem również w niniejszej decyzji wykonawczej, dotyczącymi przetwarzania danych osobowych przez państwa członkowskie w ramach wykonywania działań wchodzących w zakres zastosowania części trzeciej tytuł V rozdział 4 lub rozdział 5 TFUE, ani nie podlega stosowaniu tych przepisów. Biorąc jednak pod uwagę fakt, że dyrektywa (UE) 2016/680 opiera się na dorobku Schengen, zgodnie z art. 4 tego Protokołu w dniu 26 października 2016 r. Dania poinformowała o swojej decyzji dotyczącej wdrożenia dyrektywy (UE) 2016/680. W związku z powyższym na mocy prawa międzynarodowego Dania ma obowiązek wprowadzenia w życie przepisów niniejszej decyzji wykonawczej.

(179) W odniesieniu do Norwegii i Islandii niniejsza decyzja wykonawcza stanowi rozwinięcie przepisów dorobku Schengen w rozumieniu Umowy zawartej przez Radę Unii Europejskiej i Republikę Islandii oraz Królestwo Norwegii dotyczącej włączenia tych dwóch państw we wprowadzanie w życie, stosowanie i rozwój dorobku Schengen 273 .

(180) W odniesieniu do Szwajcarii niniejsza decyzja wykonawcza stanowi rozwinięcie przepisów dorobku Schengen w rozumieniu Umowy między Unią Europejską, Wspólnotą Europejską a Konfederacją Szwajcarską w sprawie włączenia Konfederacji Szwajcarskiej we wprowadzanie w życie, stosowanie i rozwój dorobku Schengen 274 .

(181) W odniesieniu do Liechtensteinu niniejsza decyzja wykonawcza stanowi rozwinięcie przepisów dorobku Schengen w rozumieniu Protokołu między Unią Europejską, Wspólnotą Europejską, Konfederacją Szwajcarską i Księstwem Liechtensteinu w sprawie przystąpienia Księstwa Liechtensteinu do Umowy między Unią Europejską, Wspólnotą Europejską i Konfederacją Szwajcarską dotyczącej włączenia Konfederacji Szwajcarskiej we wprowadzanie w życie, stosowanie i rozwój dorobku Schengen 275 ,

PRZYJMUJE NINIEJSZĄ DECYZJĘ: