(1)

Nařízení (EU) 2016/679 stanoví pravidla pro předávání osobních údajů správci nebo zpracovateli v Evropské unii do třetích zemí a mezinárodním organizacím, pokud toto předávání spadá do oblasti působnosti uvedeného nařízení. Pravidla pro mezinárodní předávání údajů stanoví kapitola V uvedeného nařízení, tzn. články 44 až 50. Jakkoli je tok osobních údajů do zemí a ze zemí mimo Evropskou unii nezbytný pro rozšiřování mezinárodní spolupráce a přeshraničního obchodu, úroveň ochrany osobních údajů v Evropské unii nesmí být oslabena předáváním těchto údajů do třetích zemí (2).

(2)

Podle čl. 45 odst. 3 nařízení (EU) 2016/679 může Komise prostřednictvím prováděcího aktu rozhodnout, že určitá třetí země, určité území či jedno nebo více konkrétních odvětví v určité třetí zemi nebo určitá mezinárodní organizace zajišťuje odpovídající úroveň ochrany. Za této podmínky se může předávání osobních údajů do třetí země bez nutnosti získat další povolení uskutečnit, jak stanoví čl. 45 odst. 1 a 103. bod odůvodnění uvedeného nařízení.

(3)

Podle čl. 45 odst. 2 nařízení (EU) 2016/679 musí přijetí rozhodnutí o odpovídající ochraně vycházet z komplexní analýzy právního řádu dané třetí země, a to jak z hlediska pravidel použitelných pro dovozce údajů, tak z hlediska omezení a záruk vztahujících se k přístupu orgánů veřejné moci k osobním údajům. V tomto posouzení musí Komise určit, zda daná třetí země zaručí úroveň ochrany „v zásadě rovnocennou“ úrovni ochrany zajištěné v Evropské unii (104. bod odůvodnění nařízení (EU) 2016/679). Standard, vůči němuž je „zásadní rovnocennost“ posuzována, je stanoven právními předpisy Evropské unie, a to zejména nařízením (EU) 2016/679, jakož i judikaturou Soudního dvora Evropské unie (3). V tomto ohledu je významný i referenční rámec Evropského sboru pro ochranu osobních údajů (EDPB) pro odpovídající ochranu (4).

(4)

Jak objasnil Soudní dvůr Evropské unie, toto nevyžaduje zjištění stejné úrovně ochrany (5). Zejména prostředky, které dotyčná třetí země k ochraně osobních údajů využívá, se mohou lišit od prostředků zavedených v Evropské unii, pokud se v praxi ukážou jako účinné k zajištění odpovídající úrovně ochrany (6). Standard odpovídající ochrany tedy nevyžaduje opakování pravidel Unie slovo od slova. Kritériem je spíše to, zda zahraniční systém jako celek zajišťuje prostřednictvím podstaty práv na ochranu údajů a jejich účinného uplatňování, dozoru nad nimi a vymáhání těchto práv požadovanou úroveň ochrany (7).

(5)

Komise pečlivě analyzovala právo a praxi ve Spojeném království. Na základě zjištění uvedených v (8). až (270). bodě odůvodnění dospěla Komise k závěru, že Spojené království zajišťuje odpovídající úroveň ochrany osobních údajů předávaných v rámci oblasti působnosti nařízení (EU) 2016/679 z Evropské unie do Spojeného království.

(6)

Tento závěr se netýká osobních údajů předávaných pro účely kontroly imigrace ve Spojeném království nebo osobních údajů, které jinak spadají do oblasti působnosti výjimky z určitých práv subjektu údajů za účelem zachování účinné kontroly imigrace (dále jen „imigrační výjimka“) podle bodu 4 odst. 1 přílohy 2 britského zákona o ochraně údajů. Platnost a výklad imigrační výjimky podle právních předpisů Spojeného království nejsou v návaznosti na rozhodnutí Odvolacího soudu (Anglie a Wales) ze dne 26. května 2021 ustáleny. Ačkoli odvolací soud uznal, že práva subjektu údajů mohou být v zásadě omezena pro účely kontroly imigrace jako „důležitého aspektu veřejného zájmu“, zároveň konstatoval, že imigrační výjimka je ve své současné podobě neslučitelná s právem Spojeného království, neboť v legislativním opatření chybí konkrétní ustanovení stanovující záruky uvedené v čl. 23 odst. 2 britského obecného nařízení o ochraně údajů (dále jen „britské nařízení GDPR“) (8). Za těchto podmínek by měla být předání osobních údajů z Unie do Spojeného království, na která lze použít imigrační výjimku, vyloučena z oblasti působnosti tohoto rozhodnutí (9). Jakmile bude odstraněna neslučitelnost s právem Spojeného království, měly by být imigrační výjimka, jakož i potřeba zachovat omezení oblasti působnosti tohoto rozhodnutí znovu posouzeny.

(7)

Tímto rozhodnutím by nemělo být dotčeno přímé uplatňování nařízení (EU) 2016/679 na organizace usazené ve Spojeném království, pokud jsou splněny podmínky týkající se místní působnosti uvedeného nařízení, stanovené v jeho článku 3.

(8)

Spojené království je parlamentní demokracií, v níž je hlavou státu konstituční panovník. Stát má svrchovaný parlament nadřazený všem ostatním vládním institucím, vládu jako orgán výkonné moci, který je sestavován z členů parlamentu a tomuto parlamentu je také odpovědný, a nezávislé soudnictví. Vláda odvozuje své oprávnění ze své schopnosti získat důvěru zvolené Dolní sněmovny Spojeného království a zodpovídá se oběma komorám parlamentu Spojeného království, které nesou odpovědnost za kontrolu vlády a za projednávání a přijímání zákonů.

(9)

V oblasti přijímání právních předpisů týkajících se vnitrostátních záležitostí ve Skotsku, Walesu a Severním Irsku, které nevyhradil sám sobě, přenesl Parlament Spojeného království odpovědnost na Skotský parlament, Velšský parlament (Senedd Cymru) a na Shromáždění Severního Irska. Zatímco ochrana údajů je vyhrazenou oblastí, tj. v celé zemi platí stejné právní předpisy, jiné oblasti politiky významné pro toto rozhodnutí jsou decentralizované. Například systémy trestního soudnictví včetně činnosti policie ve Skotsku a Severním Irsku spadají do odpovědnosti přenesené na Skotský parlament, resp. Shromáždění Severního Irska. Spojené království nemá kodifikovanou ústavu ve smyslu pevně zakotveného ústavního dokumentu. Ústavní principy se vyvíjely postupně, a to zejména na základě judikatury a zvyklostí. Ústavní hodnota některých právních předpisů, jako je Magna Carta (Velká listina práv a svobod), Bill of Rights 1689 (Listina práv z roku 1689) a Human Rights Act 1998 (zákon o lidských právech z roku 1998), byla uznána soudy. Základní práva jednotlivců se jako součást ústavního rámce rozvíjela prostřednictvím zvykového práva (common law), uvedených právních předpisů a mezinárodních smluv, zejména Evropské úmluvy o lidských právech, kterou Spojené království ratifikovalo v roce 1951. Spojené království také v roce 1987 ratifikovalo Úmluvu Rady Evropy o ochraně osob se zřetelem na automatizované zpracování osobních dat (úmluva č. 108) (10).

(10)

Zákon o lidských právech z roku 1998 začleňuje práva obsažená v Evropské úmluvě o lidských právech do práva Spojeného království. Zákon o lidských právech přiznává každému jednotlivci základní práva a svobody stanovené v článcích 2 až 12 a v článku 14 Evropské úmluvy o lidských právech, v článcích 1, 2 a 3 prvního protokolu této úmluvy a v článku 1 jejího třináctého protokolu ve spojení s články 16, 17 a 18 uvedené úmluvy. To zahrnuje právo na respektování soukromého a rodinného života (a právo na ochranu údajů jako součást tohoto práva) a právo na spravedlivý proces (11). Zejména, podle článku 8 úmluvy může orgán veřejné moci do práva na soukromí zasahovat pouze v souladu se zákonem, je-li to v demokratické společnosti nezbytné v zájmu národní bezpečnosti, veřejné bezpečnosti, hospodářského blahobytu země, předcházení nepokojům a trestné činnosti, ochrany zdraví nebo morálky nebo ochrany práv a svobod jiných.

(11)

V souladu se zákonem o lidských právech z roku 1998 musí být jakékoli opatření orgánů veřejné moci slučitelné s právem podle úmluvy (12). Kromě toho je třeba primární a podřízené právní předpisy vykládat a uplatňovat způsobem, který je slučitelný s právy podle úmluvy (13).

(12)

Spojené království dne 31. ledna 2020 vystoupilo z Evropské unie. Podle Dohody o vystoupení Spojeného království Velké Británie a Severního Irska z Evropské unie a Evropského společenství pro atomovou energii (14) se ve Spojeném království během přechodného období do 31. prosince 2020 nadále používalo právo Unie. Před vystoupením a během přechodného období tvořily legislativní rámec ochrany osobních údajů ve Spojeném království příslušné právní předpisy EU (zejména nařízení Evropského parlamentu a Rady (EU) 2016/679 a směrnice Evropského parlamentu a Rady (EU) 2016/680 (15)) a vnitrostátní právní předpisy, zejména zákon o ochraně údajů z roku 2018 (16), který stanovil vnitrostátní pravidla v případech, které umožňuje nařízení (EU) 2016/679, upřesňoval a omezoval použití pravidel podle nařízení (EU) 2016/679 a prováděl ve vnitrostátním právu směrnici (EU) 2016/680.

(13)

Aby se připravila na vystoupení z Evropské unie, přijala vláda Spojeného království zákon o Evropské unii (o vystoupení z Evropské unie) z roku 2018 (17), který začleňuje přímo použitelné právní předpisy Unie do práva Spojeného království (18). Tyto tzv. ponechané právní předpisy EU zahrnují nařízení (EU) 2016/679 v jeho plném rozsahu (včetně bodů odůvodnění) (19). V souladu s uvedeným zákonem musí soudy Spojeného království vykládat nepozměněné ponechané právní předpisy EU v souladu s příslušnou judikaturou Evropského soudního dvora a s obecnými zásadami práva Unie účinnými bezprostředně před koncem přechodného období (označovanými jako „ponechaná judikatura EU“, resp. „ponechané obecné zásady práva EU“) (20).

(14)

Podle zákona o Evropské unii (o vystoupení z Evropské unie) z roku 2018 mají ministři Spojeného království pravomoc zavádět prostřednictvím zákonných nástrojů sekundární právní předpisy, aby provedli nutné úpravy ponechaného práva Evropské unie po vystoupení Spojeného království z Evropské unie. V rámci výkonu této pravomoci přijali nařízení v oblasti ochrany údajů, soukromí a elektronických komunikací (změny atd.) (vystoupení z EU) z roku 2019 (dále jen „nařízení v oblasti ochrany údajů, soukromí a elektronických komunikací“) (21). Nařízení v oblasti ochrany údajů, soukromí a elektronických komunikací pozměňují nařízení (EU) 2016/679, které do práva Spojeného království začlenil zákon o Evropské unii (o vystoupení z Evropské unie) z roku 2018, zákon o ochraně údajů z roku 2018 a ostatní právní předpisy v oblasti ochrany údajů, aby odpovídaly vnitrostátním souvislostem (22).

(15)

Právní rámec ochrany osobních údajů ve Spojeném království po skončení přechodného období tedy tvoří:

(16)

Jelikož britské nařízení GDPR vychází z právních předpisů EU, pravidla ochrany údajů ve Spojeném království v mnoha ohledech velmi přesně odrážejí odpovídající pravidla platná v Evropské unii.

(17)

Kromě pravomocí, které ministrovi přiznává zákon o Evropské unii (o vystoupení z Evropské unie) z roku 2018, několik ustanovení zákona o ochraně údajů z roku 2018 uděluje ministrovi pravomoc přijímat sekundární právní předpisy, kterými se mění některá ustanovení zákona nebo stanoví doplňková a doplňující pravidla (25). Ministr dosud vykonával pouze pravomoc podle článku 137 zákona o ochraně údajů z roku 2018, a to přijmout nařízení o ochraně údajů (poplatky a informace) (změna) z roku 2019, které stanoví okolnosti, za nichž jsou správci údajů povinni platit roční poplatek nezávislému úřadu pro ochranu osobních údajů ve Spojeném království, tedy komisaři pro informace.

(18)

A v neposlední řadě jsou další pokyny k právním předpisům Spojeného království v oblasti ochrany údajů uvedeny v kodexech zásad a dalších pokynech přijatých komisařem pro informace. Ačkoli tyto pokyny nejsou formálně právně závazné, mají svou váhu z hlediska výkladu a ukazují, jak se právní předpisy o ochraně údajů používají a jak je komisař v praxi vymáhá. Zejména články 121 až 125 zákona o ochraně údajů z roku 2018 vyžadují, aby komisař vypracoval kodexy postupů pro sdílení údajů, přímý marketing, design odpovídající věku a pro ochranu údajů a žurnalistiku.

(19)

Právní rámec Spojeného království, který se použije na údaje předávané podle tohoto rozhodnutí, je tedy z hlediska své struktury a hlavních prvků velmi podobný právnímu rámci, který se používá v Evropské unii. Zahrnuje to skutečnost, že takový rámec se neopírá pouze o povinnosti stanovené ve vnitrostátním právu, které byly formovány právem EU, ale také o povinnosti zakotvené v mezinárodním právu, zejména prostřednictvím dodržování EÚLP a úmluvy č. 108 a podrobení se pravomoci Evropského soudu pro lidská práva ze strany Spojeného království. Tyto povinnosti vyplývají z právně závazných mezinárodních nástrojů, zejména pokud jde o ochranu osobních údajů, a jsou proto obzvláště důležitým prvkem právního rámce posuzovaného v tomto rozhodnutí.

(20)

Obdobně jako nařízení (EU) 2016/679 se i britské nařízení GDPR použije na zcela nebo částečně automatizované zpracování osobních údajů nebo na jiné zpracování osobních údajů, pokud jsou obsažena v evidenci (26). Definice „osobních údajů“, „subjektu údajů“ a „zpracování“ v britském nařízení GDPR jsou totožné s definicemi v nařízení (EU) 2016/679 (27). Kromě toho se britské nařízení GDPR použije na zpracování ručně zpracovávaných nestrukturovaných osobních údajů (28) v držení určitých orgánů veřejné moci Spojeného království (29), ačkoli články 24 a 25 zákona o ochraně údajů z roku 2018 ruší použití zásad a práv podle britského nařízení GDPR, které nejsou pro takové osobní údaje použitelné. Podobně, jako je stanoveno v nařízení (EU) 2016/679, se britské nařízení GDPR nepoužije na zpracování osobních údajů prováděné fyzickou osobou v průběhu výlučně osobních či domácích činností (30).

(21)

Britské nařízení GDPR rozšiřuje svou působnost také na zpracování v průběhu činnosti, která bezprostředně před koncem přechodného období nespadala do oblasti působnosti práva Evropské unie (např. národní bezpečnost) (31) nebo spadala do oblasti působnosti hlavy V kapitoly 2 Smlouvy o Evropské unii (činnosti v oblasti společné zahraniční a bezpečnostní politiky) (32). Stejně jako v systému Evropské unie se britské nařízení GDPR nepoužije na zpracování osobních údajů příslušným orgánem za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a předcházení těmto hrozbám (tzv. „účely prosazování práva“) (taková zpracování namísto toho upravuje část 3 zákona o ochraně údajů z roku 2018 podobně jako směrnice (EU) 2016/680 podle práva Evropské unie) nebo na zpracování osobních údajů zpravodajskými službami (Security Service (Bezpečnostní služba), Secret Intelligence Service (Tajná zpravodajská služba) a Government Communications Headquarters (Vládní ředitelství pro komunikace)), které upravuje část 4 zákona o ochraně údajů z roku 2018 (33).

(22)

Územní působnost britského nařízení GDPR je popsána v článku 3 britského nařízení GDPR (34) a zahrnuje zpracování osobních údajů v souvislosti s činnostmi provozovny správce nebo zpracovatele ve Spojeném království (bez ohledu na to, kde zpracování probíhá), jakož i zpracování osobních údajů subjektů údajů, které se nacházejí ve Spojeném království, pokud činnosti zpracování souvisejí s nabídkou zboží nebo služeb těmto subjektům údajů nebo s monitorováním jejich chování (35). To odráží přístup uplatněný v článku 3 nařízení (EU) 2016/679.

(23)

Definice osobních údajů, zpracování, správce, zpracovatele, jakož i definice pseudonymizace stanovené v nařízení (EU) 2016/679 jsou v britském nařízení GDPR (36) zachovány bez podstatných úprav. V čl. 9 odst. 1 britského nařízení GDPR jsou navíc stejným způsobem jako v nařízení (EU) 2016/679 definovány zvláštní kategorie údajů („osobních údajů, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby“). Článek 205 zákona o ochraně údajů z roku 2018 uvádí definici „biometrických údajů“ (37), „údajů o zdravotním stavu“ (38) a „genetických údajů“ (39).

(24)

Osobní údaje by měly být zpracovávány zákonným a korektním způsobem.

(25)

Zásady zákonnosti, korektnosti a transparentnosti a důvody pro zákonné zpracování jsou v právu Spojeného království zaručeny prostřednictvím čl. 5 odst. 1 písm. a) a čl. 6 odst. 1 britského nařízení GDPR, které jsou totožné s odpovídajícími ustanoveními nařízení (EU) 2016/679 (40). Článek 8 zákona o ochraně údajů z roku 2018 doplňuje čl. 6 odst. 1 písm. e) tím, že stanoví, že zpracování osobních údajů podle čl. 6 odst. 1 písm. e) britského nařízení GDPR (nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci správce), zahrnuje zpracování osobních údajů, které je nezbytné pro výkon spravedlnosti, výkon funkce kterékoli komory parlamentu Spojeného království, výkon funkce svěřené osobě na základě právního předpisu nebo v rámci právního státu, výkon funkce Koruny, ministra Koruny nebo vládního ministerstva nebo činnost, která podporuje nebo prosazuje demokratickou angažovanost.

(26)

Pokud jde o souhlas (jeden z důvodů pro zákonné zpracování), britské nařízení GDPR také beze změny zachovává podmínky stanovené v článku 7 nařízení (EU) 2016/679, to znamená, že správce musí být schopen prokázat, že subjekt údajů udělil souhlas, písemná žádost o vyjádření souhlasu musí být předložena jasně a srozumitelně, subjekt údajů musí mít právo svůj souhlas kdykoli odvolat a při posuzování toho, zda je souhlas svobodný, musí být zohledněna skutečnost, zda je plnění smlouvy podmíněno souhlasem se zpracováním osobních údajů, které není pro plnění dané smlouvy nutné. Podle článku 8 britského nařízení GDPR je navíc v souvislosti s poskytováním služeb informační společnosti souhlas dítěte zákonný pouze v případě, že je dítě ve věku nejméně 13 let. To splňuje věkové rozmezí stanovené v článku 8 nařízení (EU) 2016/679.

(27)

Pokud se zpracovávají „zvláštní kategorie“ údajů, měly by existovat zvláštní záruky.

(28)

Britské nařízení GDPR a zákon o ochraně údajů z roku 2018 obsahují konkrétní pravidla týkající se zpracování zvláštních kategorií osobních údajů, které jsou v čl. 9 odst. 1 britského nařízení GDPR definovány stejným způsobem jako v nařízení (EU) 2016/679 (viz 23. bod odůvodnění výše). Podle článku 9 britského nařízení GDPR je zpracování zvláštních kategorií údajů v zásadě zakázáno, pokud se nepoužije zvláštní výjimka.

(29)

Tyto výjimky (vyjmenované v čl. 9 odst. 2 a 3 britského nařízení GDPR) neznamenají žádné podstatné změny oproti čl. 9 odst. 2 a 3 nařízení (EU) 2016/679. Pokud subjekt údajů neudělil výslovný souhlas se zpracováním těchto osobních údajů, je zpracování zvláštních kategorií osobních údajů povoleno pouze za konkrétních a omezených okolností. Zpracování citlivých údajů musí být ve většině případů nezbytné pro konkrétní účel vymezený v příslušném ustanovení (viz čl. 9 odst. 2 písm. b), c), f), g), h), i) a j)).

(30)

Kromě toho, pokud výjimka podle čl. 9 odst. 2 britského nařízení GDPR vyžaduje zmocnění ze zákona nebo odkazuje na veřejný zájem, článek 10 zákona o ochraně údajů z roku 2018 společně s přílohou 1 tohoto zákona blíže specifikuje podmínky, které musí být splněny, aby bylo možné výjimek využít. Například v případě zpracování citlivých údajů za účelem ochrany „veřejného zdraví“ (čl. 9 odst. 2 písm. i) britského nařízení GDPR) ustanovení čl. 3 písm. b) části 1 přílohy 1 vyžaduje, aby kromě splnění testu nezbytnosti bylo takové zpracování prováděno „zdravotnickým pracovníkem nebo na jeho odpovědnost“ nebo „jinou osobou, která je vázána povinností mlčenlivosti na základě právního předpisu nebo v rámci právního státu“, a to včetně řádně zavedené povinnosti mlčenlivosti podle zvykového práva.

(31)

Pokud jsou citlivé údaje zpracovávány z důvodu významného veřejného zájmu (čl. 9 odst. 2 písm. g) britského nařízení GDPR), část 2 přílohy 1 zákona o ochraně údajů z roku 2018 uvádí úplný seznam účelů, které lze považovat za podstatný veřejný zájem, a pro každý z těchto účelů stanoví zvláštní dodatečné podmínky. Za významný veřejný zájem je například považováno prosazování rasové a etnické rozmanitosti na vyšších úrovních struktury organizací. Zpracování citlivých údajů pro tento zvláštní účel podléhá podrobným požadavkům, včetně toho, že je prováděno v rámci postupu identifikace osob vhodných k zastávání vyšších funkcí, je nezbytné k prosazování rasové a etnické rozmanitosti a není pravděpodobné, že by subjektu údajů způsobilo podstatnou újmu nebo tíseň.

(32)

Ustanovení čl. 11 odst. 1 zákona o ochraně údajů z roku 2018 stanoví podmínky pro zpracování osobních údajů za okolností popsaných v čl. 9 odst. 3 britského nařízení GDPR v souvislosti s povinností mlčenlivosti. To zahrnuje situace, kdy je zpracování prováděno zdravotnickým nebo sociálním pracovníkem nebo na jeho odpovědnost nebo jinou osobou, která je za daných okolností vázána povinností mlčenlivosti ze zákona nebo v rámci právního státu.

(33)

Kromě toho použití mnoha výjimek vyjmenovaných v čl. 9 odst. 2 britského nařízení GDPR vyžaduje zvláštní a vhodné záruky. V závislosti na povaze zpracování a míře rizika z hlediska práv a svobod subjektů údajů stanoví podmínky zpracování uvedené v příloze 1 zákona o ochraně údajů z roku 2018 různé záruky. Příloha 1 pak stanoví podmínky pro každou situaci zpracování.

(34)

V některých případech zákon o ochraně údajů z roku 2018 upravuje a omezuje druh citlivých údajů, které lze zpracovávat pro účely dodržení konkrétního právního základu. Například článek 8 přílohy 1 povoluje zpracování citlivých údajů za účelem prosazování rovnosti příležitostí nebo zacházení. Tuto podmínku zpracování lze použít pouze v případě, že údaje vypovídají o rasovém či etnickém původu, náboženském vyznání či filozofickém přesvědčení, sexuální orientaci nebo se jedná o údaje o zdravotním stavu.

(35)

V některých případech zákon o ochraně údajů z roku 2018 omezuje druh správce údajů, který může podmínky zpracování využít. Například článek 23 přílohy 1 upravuje zpracování citlivých údajů v souvislosti s odpověďmi volených zástupců veřejnosti. Tuto podmínku zpracování lze použít pouze v případě, že správcem je volený zástupce nebo správce jedná z jeho pověření.

(36)

V některých jiných případech zákon o ochraně údajů z roku 2018 pro možnost použití podmínky zpracování stanoví meze kategorií subjektu údajů. Například článek 21 příloha 1 reguluje zpracování citlivých údajů pro systémy zaměstnaneckého penzijního pojištění. Tuto podmínku lze použít pouze v případě, že dotyčným subjektem údajů je sourozenec, rodič, prarodič nebo praprarodič účastníka systému.

(37)

Při využití výjimek podle čl. 9 odst. 2 britského nařízení GDPR, které jsou dále upřesněny v článku 10 zákona o ochraně údajů z roku 2018 a jeho příloze 1, je správce ve většině případů povinen vypracovat „dokument o vhodné politice“. Ten musí vymezovat postupy správce pro zajištění souladu se zásadami uvedenými v článku 5 britského nařízení GDPR. Musí také stanovit koncepce pro uchovávání a výmaz uvedením pravděpodobné doby uchovávání. Správci musí tento dokument podle potřeby revidovat a aktualizovat. Správce musí koncepční dokument uchovávat po dobu šesti měsíců po dokončení zpracování a na požádání jej musí zpřístupnit komisaři pro informace (41).

(38)

Podle článku 41 přílohy 1 zákona o ochraně údajů z roku 2018 musí být ke koncepčnímu dokumentu vždy přiložen rozšířený záznam o zpracování. Tento záznam musí sledovat závazky obsažené v koncepčním dokumentu, tj. zda jsou údaje mazány nebo uchovávány v souladu s koncepcí. Pokud koncepce není dodržena, musí protokol zaznamenat příslušné důvody. Záznam musí také popisovat, jak zpracování splňuje článek 6 britského nařízení GDPR (zákonnost zpracování) a uplatněnou zvláštní podmínku v příloze 1 zákona o ochraně údajů z roku 2018.

(39)

A v neposlední řadě britské nařízení GDPR stejně jako nařízení (EU) 2016/679 poskytuje obecné záruky pro určité operace zpracování zvláštních kategorií údajů. Článek 35 britského nařízení GDPR vyžaduje posouzení vlivu na ochranu osobních údajů, pokud jsou zvláštní kategorie údajů zpracovávány ve velkém rozsahu. Podle článku 37 britského nařízení GDPR musí správce nebo zpracovatel jmenovat pověřence pro ochranu osobních údajů, pokud jeho hlavní činnosti spočívají v rozsáhlém zpracování zvláštních kategorií údajů.

(40)

Pokud jde o osobní údaje týkající se rozsudků v trestních věcech a trestných činů, článek 10 britského nařízení GDPR je totožný s článkem 10 nařízení (EU) 2016/679. Povoluje zpracování osobních údajů týkajících se rozsudků v trestních věcech a trestných činů pouze pod dozorem orgánu veřejné moci nebo jestliže je oprávněné podle vnitrostátního práva poskytujícího vhodné záruky, pokud jde o práva a svobody subjektů údajů.

(41)

Pokud zpracování osobních údajů týkajících se rozsudků v trestních věcech a trestných činů neprobíhá pod dozorem orgánu veřejné moci, čl. 10 odst. 5 zákona o ochraně údajů z roku 2018 stanoví, že toto zpracování může probíhat pouze pro konkrétní účely / v konkrétních situacích stanovených v částech 1, 2 a 3 přílohy 1 zákona o ochraně údajů z roku 2018 a podléhá zvláštním požadavkům, které jsou stanoveny pro každý z těchto účelů / každou z těchto situací. Například údaje týkající se rozsudků v trestních věcech mohou zpracovávat neziskové subjekty, pokud a) zpracování provádí v rámci svých oprávněných činností a s vhodnými zárukami nadace, sdružení nebo jiný neziskový subjekt, který sleduje politické, filozofické, náboženské nebo odborové cíle, a b) za podmínky i) že se zpracování vztahuje pouze na současné nebo bývalé členy tohoto subjektu nebo na osoby, které s ním udržují pravidelné styky související s jeho cíli, a ii) že tyto osobní údaje nejsou bez souhlasu subjektů údajů zpřístupňovány mimo tento subjekt.

(42)

Kromě toho část 3 přílohy 1 zákona o ochraně údajů z roku 2018 vymezuje další okolnosti, za nichž lze použít údaje týkající se rozsudků v trestních věcech, které odpovídají právním důvodům pro zpracování citlivých údajů podle čl. 9 odst. 2 nařízení (EU) 2016/679 a britského nařízení GDPR (např. souhlas subjektu údajů, životně důležité zájmy jednotlivce, pokud subjekt údajů není fyzicky nebo právně způsobilý udělit souhlas, pokud již subjekt údajů údaje zjevně zveřejnil, pokud je zpracování nezbytné pro určení, výkon nebo obhajobu právního nároku atd.).

(43)

Osobní údaje by měly být zpracovávány za konkrétním účelem a následně používány, pouze pokud to není neslučitelné s účelem zpracování.

(44)

Tuto zásadu stanoví čl. 5 odst. 1 písm. b) nařízení (EU) 2016/679 a beze změn ji zachovává čl. 5 odst. 1 písm. b) britského nařízení GDPR. Podmínky dalšího slučitelného zpracování podle čl. 6 odst. 4 nařízení (EU) 2016/679 jsou rovněž bez podstatných úprav zachovány v čl. 6 odst. 4 písm. a) až e) britského nařízení GDPR.

(45)

Údaje by navíc měly být přesné a v případě potřeby aktualizované. Měly by být také přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelům, pro které jsou zpracovávány, a v zásadě by se neměly uchovávat déle, než je nezbytné pro účely, k nimž jsou dané osobní údaje zpracovávány.

(46)

Tyto zásady minimalizace údajů, přesnosti a omezení uložení vymezuje čl. 5 odst. 1 písm. c) až e) nařízení (EU) 2016/679 a beze změn je zachovává čl. 5 odst. 1 písm. c) až e) britského nařízení GDPR.

(47)

Osobní údaje by také měly být zpracovávány způsobem, který zajišťuje jejich zabezpečení, včetně ochrany před neoprávněným nebo protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením. Za tímto účelem by podnikatelské subjekty měly přijmout vhodná technická nebo organizační opatření na ochranu osobních údajů před možnými hrozbami. Tato opatření by měla být posuzována s přihlédnutím ke stavu techniky a k souvisejícím nákladům.

(48)

Zabezpečení údajů je v právu Spojeného království zakotveno prostřednictvím zásady celistvosti a důvěrnosti v čl. 5 odst. 1 písm. f) britského nařízení GDPR a v článku 32 britského nařízení GDPR, který se týká zabezpečení zpracování. Tato ustanovení jsou totožná s příslušnými ustanoveními nařízení (EU) 2016/679. Navíc britské nařízení GDPR vyžaduje za stejných podmínek, jaké jsou stanoveny v článcích 33 a 34 nařízení (EU) 2016/679, ohlašování případů porušení zabezpečení osobních údajů dozorovému úřadu (článek 33 britského nařízení GDPR) a oznamování případů porušení zabezpečení osobních údajů subjektu údajů (článek 34 britského nařízení GDPR).

(49)

Subjekty údajů by měly být informovány o hlavních znacích zpracování jejich osobních údajů.

(50)

To zajišťují články 13 a 14 britského nařízení GDPR, které kromě obecné zásady transparentnosti stanoví pravidla týkající se informací, které mají být poskytovány subjektu údajů (42). Britské nařízení GDPR nezavádí žádné podstatné úpravy těchto pravidel ve srovnání s odpovídajícími články nařízení (EU) 2016/679. Stejně jako v nařízení (EU) 2016/679 však požadavky těchto článků týkající se transparentnosti podléhají několika výjimkám stanoveným v zákoně o ochraně údajů z roku 2018 (viz 55. až 72. bod odůvodnění).

(51)

Subjekty údajů by měly mít určitá práva, která lze vůči správci nebo zpracovateli vymáhat, zejména právo na přístup k údajům, právo vznést námitku proti zpracování a právo na opravu a výmaz údajů. Tato práva mohou zároveň podléhat omezením, pokud jsou tato omezení nezbytná a přiměřená k zajištění veřejné bezpečnosti nebo jiných důležitých cílů obecného veřejného zájmu.

(52)

Britské nařízení GDPR uděluje jednotlivcům stejná vymahatelná práva jako nařízení (EU) 2016/679. Ustanovení, z nichž vyplývají práva jednotlivců, jsou v britském nařízení GDPR zachována bez podstatných změn.

(53)

Tato práva zahrnují právo subjektu údajů na přístup k osobním údajům (článek 15 britského nařízení GDPR), právo na opravu (článek 16 britského nařízení GDPR), právo na výmaz (článek 17 britského nařízení GDPR), právo na omezení zpracování (článek 18 britského nařízení GDPR), oznamovací povinnost ohledně opravy nebo výmazu osobních údajů nebo omezení zpracování (článek 19 britského nařízení GDPR), právo na přenositelnost údajů (článek 20 britského nařízení GDPR) a právo vznést námitku (článek 21 britského nařízení GDPR) (43). Poslední zmíněný článek obsahuje i právo subjektu údajů vznést námitku vůči zpracování osobních údajů pro účely přímého marketingu, které stanoví čl. 21 odst. 2 a 3 nařízení (EU) 2016/679. Podle článku 122 zákona o ochraně údajů z roku 2018 musí komisař pro informace vypracovat kodex zásad týkající se provádění přímého marketingu v souladu s požadavky právních předpisů v oblasti ochrany údajů (a nařízení o ochraně soukromí a elektronických komunikacích (směrnice ES) z roku 2003) a další pokyny k podpoře správné praxe v oblasti přímého marketingu, které bude komisař považovat za vhodné. Úřad komisaře pro informace v současné době připravuje kodex přímého marketingu (44).

(54)

Právo subjektu údajů nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování, které má pro subjekt údajů právní účinky nebo se ho obdobným způsobem významně dotýká, jak je stanoveno v článku 22 obecného nařízení o ochraně osobních údajů, je bez podstatných změn zachováno i v britském nařízení GDPR. Byl však doplněn nový odstavec 3A, který uvádí, že článek 14 zákona o ochraně údajů z roku 2018 stanoví záruky pro práva, svobody a oprávněné zájmy subjektů údajů, pokud je zpracování prováděno podle čl. 22 odst. 2 písm. b) britského nařízení GDPR. Toto ustanovení platí pouze v případě, že základem takového rozhodnutí je povolení nebo požadavek podle práva Spojeného království, a nepoužije se v případech, kdy je rozhodnutí nezbytné na základě smlouvy nebo je učiněno s výslovným souhlasem subjektu údajů. Použije-li se článek 14 zákona o ochraně údajů z roku 2018, musí správce, jakmile je to přiměřeně proveditelné, písemně oznámit subjektu údajů, že bylo přijato rozhodnutí založené výhradně na automatizovaném zpracování. Subjekt údajů má právo požadovat, aby správce (do jednoho měsíce od obdržení oznámení) rozhodnutí znovu zvážil nebo aby přijal nové rozhodnutí, které nebude založeno výhradně na automatizovaném zpracování. Ministr je zmocněn přijmout další ochranná opatření, pokud jde o automatizované rozhodování. Tato pravomoc dosud nebyla využita.

(55)

Zákon o ochraně údajů z roku 2018 stanoví několik omezení individuálních práv, která odpovídají rámci článku 23 britského nařízení GDPR. V tomto rámci nejsou zavedena žádná omezení týkající se práva vznést námitku vůči přímému marketingu podle čl. 21 odst. 2 a 3 britského nařízení GDPR nebo práva nebýt předmětem automatizovaného rozhodování podle článku 22 britského nařízení GDPR.

(56)

Omezení jsou upřesněna v přílohách 2–4 zákona o ochraně údajů z roku 2018. Orgány Spojeného království vysvětlily, že se řídí dvěma zásadami: zásadou specifičnosti (uplatnění podrobného přístupu, rozdělení obecných omezení na více specifičtějších ustanovení) a zásadou podmíněnosti (každé ustanovení je doplněno zárukami v podobě omezení nebo podmínek zabraňujících zneužívání) (45).

(57)

Omezení popsaná v čl. 23 odst. 1 britského nařízení GDPR jsou formulována tak, aby bylo zajištěno jejich použití pouze za vymezených okolností, jsou-li v demokratické společnosti nutná, a jsou přiměřená sledovanému legitimnímu cíli. V souladu s ustálenou judikaturou týkající se výkladu omezení lze výjimku z režimu ochrany údajů použít v každém konkrétním případě pouze tehdy, je-li to nezbytné a přiměřené (46). Test nezbytnosti musí být „přísný a musí vyžadovat, aby jakýkoli zásah do práv subjektu údajů byl úměrný závažnosti ohrožení veřejného zájmu. Zahrnuje proto klasickou analýzu proporcionality“ (47).

(58)

Cíle sledované těmito omezeními odpovídají cílům uvedeným v článku 23 nařízení (EU) 2016/679, s výjimkou omezení týkajících se národní bezpečnosti a obrany, která jsou upravena v článku 26 zákona o ochraně údajů z roku 2018, ale podléhají stejným požadavkům na nezbytnost a přiměřenost (viz 63. až 66. bod odůvodnění).

(59)

Některá omezení, například ta, která se týkají prevence nebo odhalování trestné činnosti, zadržování nebo trestního stíhání pachatelů a vyměřování nebo výběru daní či cel (48), umožňují omezení veškerých individuálních práv a povinností transparentnosti (vyjma práv podle čl. 21 odst. 2 a článku 22). Rozsah dalších omezení se omezuje na povinnosti transparentnosti a práva na přístup, například omezení týkající se povinnosti mlčenlivosti advokáta (49), práva na osvobození od požadavku poskytovat informace k vlastnímu neprospěchu (50) a financování společností, zejména prevence obchodování zasvěcených osob (51). Malý počet omezení umožňuje omezit povinnost správce oznámit subjektu údajů porušení zabezpečení údajů a zásady účelového omezení a zákonnosti, korektnosti a transparentnosti zpracování (52).

(60)

Některá omezení se na určitý druh zpracování osobních údajů vztahují automaticky „v plném rozsahu“ (uplatnění povinností transparentnosti a individuálních práv je například vyloučeno při zpracování osobních údajů za účelem posouzení vhodnosti osoby pro soudní funkci nebo pro zpracování údajů soudem, tribunálem nebo jednotlivcem, který jedná v rámci soudních pravomocí).

(61)

Ve většině případů však příslušný bod přílohy 2 zákona o ochraně údajů z roku 2018 stanoví, že omezení se použije pouze tehdy (a do té míry), pokud by použití ustanovení „pravděpodobně bylo na újmu“ sledovaného legitimního cíle tohoto omezení: například uvedená ustanovení britského nařízení GDPR se nepoužijí na osobní údaje zpracovávané za účelem prevence nebo odhalování trestné činnosti, zadržení nebo trestního stíhání pachatelů nebo vyměření či výběru daní nebo cel „v rozsahu, v jakém by použití těchto ustanovení pravděpodobně bylo na újmu“ kterékoli z uvedených záležitostí (53).

(62)

Standardní formulaci „by pravděpodobně bylo na újmu“ soudy ve Spojeném království důsledně vykládají ve smyslu „velmi významné a závažné možnosti újmy na určených veřejných zájmech“ (54). Omezení, které podléhá testu újmy, se tedy lze dovolávat pouze v případě, že existuje velmi významná a závažná možnost, že by přiznání určitého práva ohrozilo dotčený veřejný zájem, a to v rozsahu, v jakém uvedená možnost existuje. Správce je povinen v každém jednotlivém případě posoudit, zda jsou tyto podmínky splněny (55).

(63)

Vedle omezení uvedených v příloze 2 zákona o ochraně údajů z roku 2018 stanoví článek 26 zákona o ochraně údajů z roku 2018 výjimku, kterou lze použít u určitých ustanovení britského nařízení GDPR a zákona o ochraně údajů z roku 2018, je-li tato výjimka nutná pro účely ochrany národní bezpečnosti nebo pro účely obrany. Tato výjimka se použije na zásady ochrany údajů (vyjma zásady zákonnosti), povinnosti transparentnosti, práva subjektu údajů, povinnost oznámit porušení zabezpečení údajů, pravidla pro mezinárodní předávání, některé povinnosti a pravomoci komisaře pro informace a pravidla o právní ochraně, odpovědnosti a sankcích, s výjimkou ustanovení o obecných podmínkách pro ukládání správních pokut stanovených v článku 83 britského GDPR a ustanovení o sankcích v článku 84 britského nařízení GDPR. Ustanovení článku 28 zákona o ochraně údajů z roku 2018 navíc upravuje použití čl. 9 odst. 1 tak, aby umožnil zpracování zvláštních kategorií údajů podle čl. 9 odst. 1 britského nařízení GDPR, pokud je zpracování prováděno z důvodu ochrany národní bezpečnosti nebo pro účely obrany, a to s příslušnými zárukami týkajícími se práv a svobod subjektů údajů (56).

(64)

Výjimku lze použít pouze v případě, že je to nezbytné k zajištění národní bezpečnosti nebo obrany. Stejně jako v případě ostatních výjimek stanovených zákonem o ochraně údajů z roku 2018 musí správce údajů výjimku posoudit a použít případ od případu. Jakékoli použití výjimky musí být navíc v souladu se standardy lidských práv (podle zákona o lidských právech z roku 1998), podle nichž by jakýkoli zásah do práv na soukromí měl být v demokratické společnosti nezbytný a přiměřený (57).

(65)

Tento výklad výjimky potvrzuje Úřad komisaře pro informace, který vydal podrobné pokyny k používání výjimky z důvodu národní bezpečnosti a obrany a objasnil, že správce musí výjimku posoudit a použít případ od případu (58). Pokyny zejména zdůrazňují, že „[n]ejde o plošnou výjimku“ a že pro její použití „nestačí, aby byly údaje zpracovávány pro účely národní bezpečnosti“. Správce, který výjimku využívá, musí naopak „prokázat, že existuje reálná možnost nepříznivého dopadu na národní bezpečnost“, a v případě potřeby se od něj očekává, že „poskytne [Úřadu komisaře pro informace] důkazy o důvodech, proč tuto výjimku použil“. Pokyny obsahují kontrolní seznam a řadu příkladů k dalšímu objasnění podmínek, za nichž se lze této výjimky dovolávat.

(66)

Skutečnost, že jsou údaje zpracovávány pro účely národní bezpečnosti nebo obrany, proto sama o sobě pro použití výjimky nestačí. Správce musí posoudit, jaké by byly skutečné důsledky pro národní bezpečnost, pokud by musel dodržet konkrétní ustanovení o ochraně údajů. Výjimku lze použít pouze na ta konkrétní ustanovení, u nichž bylo zjištěno, že představují riziko, a musí být uplatňována v co nejomezenější míře (59).

(67)

Tento přístup potvrdil Tribunál pro informace (60). Ve věci Baker v Secretary of State for the Home Department (dále jen „rozsudek ve věci Baker v Secretary of State“) dospěl k závěru, že bylo nezákonné použít výjimku z důvodu národní bezpečnosti jako plošnou výjimku pro přístup k žádostem přijatým zpravodajskými službami. Namísto toho bylo nutné používat výjimku individuálně, na základě posouzení každé žádosti z hlediska její podstaty a s ohledem na právo jednotlivců na respektování jejich soukromého života (61).

(68)

Ustanovení čl. 85 odst. 2 britského nařízení GDPR umožňuje přijmout ustanovení o vynětí osobních údajů zpracovávaných pro novinářské, umělecké, akademické a literární účely z působnosti několika ustanovení britského nařízení GDPR. Výjimky pro zpracování za uvedenými účely uvádí část 5 přílohy 2 zákona o ochraně údajů z roku 2018. Stanoví výjimky ze zásad ochrany údajů (vyjma zásady integrity a důvěrnosti), právní důvody zpracování (včetně zvláštních kategorií údajů a údajů týkajících se rozsudků v trestních věcech atd.), podmínky souhlasu, povinnosti transparentnosti, práva subjektů údajů, povinnost oznamovat případy porušení zabezpečení údajů, požadavek konzultovat s komisařem pro informace před vysoce rizikovým zpracováním a pravidla pro mezinárodní předávání údajů (62). V tomto ohledu se britské nařízení GDPR významně neodchyluje od nařízení (EU) 2016/679, které ve svém článku 85 rovněž stanoví možnost vyjmout zpracování prováděné pro novinářské účely a pro účely akademického, uměleckého či literárního projevu z řady požadavků nařízení (EU) 2016/679. Ustanovení zákona o ochraně údajů z roku 2018, jmenovitě části 5 přílohy 2, jsou slučitelná s britským nařízením GDPR.

(69)

Základní vyvažování, které má být provedeno podle článku 85 britského nařízení GDPR, se týká toho, zda je výjimka z pravidel ochrany údajů uvedená v 68. bodě odůvodnění „nutná k uvedení práva na ochranu osobních údajů do souladu se svobodou projevu a informací“ (63). Podle bodu 26 odst. 2 a 3 přílohy 2 zákona o ochraně údajů z roku 2018 Spojené království za účelem dosažení této vyváženosti uplatňuje test „důvodné domněnky“. Aby byla výjimka odůvodněná, musí se správce důvodně domnívat, i) že zveřejnění je ve veřejném zájmu a ii) že použití příslušného ustanovení nařízení GDPR by bylo neslučitelné s novinářskými, akademickými, uměleckými nebo literárními účely. Jak potvrzuje judikatura (64), test „důvodné domněnky“ obsahuje subjektivní i objektivní prvek: nestačí, aby správce prokázal, že byl sám přesvědčen, že dodržet ustanovení je neslučitelné s výše uvedenými účely. Jeho domněnka musí být důvodná, tj. taková, aby o ní mohla být přesvědčena rozumná osoba obeznámená s relevantními skutečnostmi. Správce proto musí při formování své domněnky postupovat s náležitou péčí, aby mohl prokázat její důvodnost. Podle vysvětlení poskytnutých orgány Spojeného království musí být test „důvodné domněnky“ uplatněn u každé jednotlivé výjimky (65). Jsou-li podmínky splněny, považuje se výjimka podle právních předpisů Spojeného království za nezbytnou a přiměřenou.

(70)

Podle článku 124 zákona o ochraně údajů z roku 2018 musí Úřad komisaře pro informace vypracovat kodex zásad v oblasti ochrany údajů a žurnalistiky. Práce na tomto kodexu pokračují. V této záležitosti byly vydány pokyny podle zákona o ochraně údajů z roku 1998, které zejména zdůrazňují, že k využití této výjimky nestačí pouze konstatovat, že dodržení ustanovení by pro novinářskou činnost znamenalo komplikace, ale musí existovat jasný argument, že dotčené ustanovení představuje překážku odpovědné žurnalistiky (66). Pokyny k uplatnění testu veřejného zájmu a vyvážení veřejného zájmu vůči zájmu jednotlivce na ochraně soukromí publikovaly i britský regulační úřad pro telekomunikace OFCOM a společnost BBC ve svých redakčních pokynech (67). Tyto pokyny zejména uvádějí příklady informací, které lze považovat za informace ve veřejném zájmu, a vysvětlují nutnost schopnosti prokázat, že veřejný zájem za konkrétních okolností daného případu převažuje nad právy na soukromí.

(71)

Po vzoru ustanovení článku 89 nařízení GDPR mohou být z řady vyjmenovaných ustanovení britského nařízení GDPR vyňaty i osobní údaje zpracovávané pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely (68). Pokud jde o výzkum a statistiku, jsou možné výjimky z ustanovení britského nařízení GDPR týkající se potvrzení zpracování, přístupu k údajům a záruk za předání do třetích zemí; práva na opravu; omezení zpracování a námitky vůči zpracování. Pokud jde o archivaci ve veřejném zájmu, jsou možné výjimky také z oznamovací povinnosti ohledně opravy nebo výmazu osobních údajů nebo omezení zpracování a z práva na přenositelnost údajů.

(72)

Podle bodu 27 odst. 1 a bodu 28 odst. 1 přílohy 2 zákona o ochraně údajů z roku 2018 jsou výjimky z vyjmenovaných ustanovení britského nařízení GDPR možné, pokud by použití ustanovení „znemožnilo nebo vážně narušilo splnění“ dotčených účelů (69).

(73)

Vzhledem k jejich významu pro účinný výkon práv jednotlivce bude jakýkoli relevantní vývoj týkající se výkladu a používání výše uvedených výjimek v praxi (kromě výjimky týkající se zachování účinné kontroly imigrace, jak je vysvětlena v 6. bodě odůvodnění) včetně případného dalšího vývoje judikatury a pokynů Úřadu komisaře pro informace a donucovacích opatření, náležitě zohledněn v rámci nepřetržitého sledování tohoto rozhodnutí (70).

(74)

Úroveň ochrany osobních údajů předávaných z Evropské unie správcům nebo zpracovatelům ve Spojeném království nesmí být oslabena dalším předáváním těchto údajů příjemcům ve třetí zemi. Taková „další předání“, která z pohledu správce nebo zpracovatele ve Spojeném království představují mezinárodní předání ze Spojeného království, by měla být povolena pouze tehdy, pokud další příjemce mimo Spojené království sám podléhá pravidlům, která zajišťují úroveň ochrany obdobnou té, která je zaručena v právním řádu Spojeného království. Z tohoto důvodu je použití pravidel britského nařízení GDPR a zákona o ochraně údajů z roku 2018 pro mezinárodní předávání osobních údajů důležitým faktorem k zajištění kontinuity ochrany v případě osobních údajů předávaných z Evropské unie do Spojeného království podle tohoto rozhodnutí.

(75)

Režim mezinárodního předávání osobních údajů ze Spojeného království je stanoven v článcích 44–49 britského nařízení GDPR doplněných zákonem o ochraně údajů z roku 2018 a je v podstatě totožný s pravidly stanovenými v kapitole V nařízení (EU) 2016/679 (71). Předávání osobních údajů do třetí země nebo mezinárodní organizaci může probíhat pouze na základě nařízení o odpovídající ochraně (britský ekvivalent rozhodnutí o odpovídající ochraně podle nařízení (EU) 2016/679), nebo pokud nařízení o odpovídající ochraně neexistuje, jestliže správce nebo zpracovatel poskytl vhodné záruky v souladu s článkem 46 britského nařízení GDPR. Pokud nařízení o odpovídající ochraně nebo vhodné záruky neexistují, lze předání provést pouze na základě výjimek stanovených v článku 49 britského nařízení GDPR.

(76)

Nařízení o odpovídající ochraně vydaná ministrem mohou stanovit, že určitá třetí země (nebo území nebo odvětví ve třetí zemi), mezinárodní organizace nebo postavení (72) takové země, území, odvětví nebo organizace zajišťuje odpovídající úroveň ochrany osobních údajů. Při posuzování odpovídající úrovně ochrany musí ministr zohlednit naprosto tytéž aspekty, jaké má posoudit Komise podle čl. 45 odst. 2 písm. a) až c) nařízení (EU) 2016/679 vykládaného společně se 104. bodem odůvodnění nařízení (EU) 2016/679 a ponechanou judikaturou EU. To znamená, že při posuzování odpovídající úrovně ochrany ve třetí zemi bude příslušným standardem to, zda dotyčná třetí země zajišťuje úroveň ochrany „v zásadě rovnocennou“ úrovni ochrany zajištěné ve Spojeném království.

(77)

Pokud jde o postup, na nařízení o odpovídající ochraně se vztahují „obecné“ procedurální náležitosti stanovené v článku 182 zákona o ochraně údajů z roku 2018. V rámci tohoto postupu musí ministr při navrhování přijetí britských nařízení o odpovídající ochraně Spojeného království konzultovat komisaře pro informace (73). Jakmile ministr nařízení přijme, jsou předložena parlamentu Spojeného království a podléhají postupu „zamítavého rozhodnutí“, v němž mohou obě komory parlamentu tato nařízení přezkoumat a podat návrh na zrušení těchto nařízení ve lhůtě 40 dnů (74).

(78)

Podle čl. 17B odst. 1 zákona o ochraně údajů z roku 2018 musí být nařízení o odpovídající ochraně přezkoumávána v nejvýše čtyřletých intervalech a ministr musí průběžně sledovat vývoj ve třetích zemích a mezinárodních organizacích, který by mohl ovlivnit rozhodnutí vydat nařízení o odpovídající ochraně nebo tato nařízení pozměnit či zrušit. Pokud ministr zjistí, že určitá země nebo organizace již nezajišťuje odpovídající úroveň ochrany osobních údajů, musí v nezbytném rozsahu nařízení změnit nebo zrušit a zahájit konzultace s dotčenou třetí zemí nebo mezinárodní organizací ohledně nápravy nedostatečné úrovně ochrany. Tyto procedurální aspekty jsou rovněž odrazem odpovídajících požadavků nařízení (EU) 2016/679.

(79)

Pokud neexistují nařízení o odpovídající ochraně, lze mezinárodní předání provést, pokud správce nebo zpracovatel poskytl vhodné záruky v souladu s článkem 46 britského nařízení GDPR. Tyto záruky jsou obdobné jako záruky podle článku 46 nařízení (EU) 2016/679. Zahrnují právně závazné a vymahatelné nástroje mezi orgány veřejné moci nebo veřejnými subjekty, závazná podniková pravidla (75), standardní doložky o ochraně údajů, schválené kodexy chování, schválené mechanismy pro vydání osvědčení a se souhlasem komisaře pro informace smluvní doložky mezi správci (nebo zpracovateli) nebo správní ujednání mezi orgány veřejné moci. Pravidla však byla z procesního hlediska upravena tak, aby fungovala v rámci Spojeného království, zejména standardní doložky o ochraně údajů může přijmout ministr (článek 17C) nebo komisař pro informace (článek 119A) v souladu se zákonem o ochraně údajů z roku 2018.

(80)

Pokud neexistuje rozhodnutí o odpovídající ochraně nebo vhodné záruky, lze předání provést pouze na základě výjimek stanovených v článku 49 britského nařízení GDPR (76). Britské nařízení GDPR nezavádí žádné podstatné změny těchto pravidel ve srovnání s odpovídajícími pravidly nařízení (EU) 2016/679. Podle britského nařízení GDPR lze stejně jako podle nařízení (EU) 2016/679 některé výjimky využít pouze za předpokladu, že předání je příležitostné (77). Kromě toho Úřad komisaře pro informace ve svých pokynech k mezinárodním předáním vysvětluje: „Měli byste je používat pouze jako skutečné „výjimky“ z obecného pravidla, podle kterého byste neměli provádět omezená předání, pokud se na ně nevztahuje rozhodnutí o odpovídající ochraně nebo pokud neexistují vhodné záruky“ (78). Pokud jde o předání, která jsou nezbytná z důležitých důvodů veřejného zájmu (čl. 49 odst. 1 písm. d), může ministr vydat nařízení, která stanoví okolnosti, za nichž předání osobních údajů do třetí země nebo mezinárodní organizaci z důležitých důvodů veřejného zájmu není nezbytné. Kromě toho může ministr nařízeními předání určité kategorie osobních údajů do třetí země nebo mezinárodní organizaci omezit, pokud k předání nemůže dojít na základě nařízení o odpovídající ochraně a ministr považuje toto omezení za nezbytné z důležitých důvodů veřejného zájmu. Žádná taková nařízení dosud nebyla přijata.

(81)

Tento rámec pro mezinárodní předání se stal použitelným na konci přechodného období (79). Bod 4 přílohy 21 zákona o ochraně údajů z roku 2018 (zavedený nařízeními v oblasti ochrany údajů a soukromí) však stanoví, že ke konci přechodného období se k určitým předáním osobních údajů přistupuje tak, jako by se opírala o nařízení o odpovídající ochraně. Tato předání zahrnují předání do státu EHP, na území Gibraltaru, do orgánu, instituce, úřadu nebo agentury Unie zřízených Smlouvou o EU nebo na základě Smlouvy o EU a do třetích zemí, na které se na konci tohoto období vztahuje unijní rozhodnutí o odpovídající ochraně. V důsledku toho mohou předávání do těchto zemí pokračovat stejně jako před vystoupením Spojeného království z EU. Po skončení přechodného období musí ministr ve lhůtě čtyř let, tedy do konce prosince 2024, provést přezkum těchto zjištění o odpovídající úrovni ochrany. Podle vysvětlení, které poskytly orgány Spojeného království, ačkoli ministr musí tento přezkum provést do konce prosince 2024, přechodná ustanovení neobsahují ustanovení o „skončení platnosti“ a příslušná přechodná ustanovení automaticky nepřestanou být účinná, pokud přezkum nebude do konce prosince 2024 dokončen.

(82)

A konečně, pokud jde o budoucí vývoj režimu mezinárodního předávání osobních údajů ve Spojeném království (prostřednictvím přijetí nových předpisů o odpovídající ochraně, uzavření mezinárodních dohod nebo zřízení jiných mechanismů předávání), Komise bude situaci pozorně sledovat a posoudí, zda jsou jednotlivé mechanismy předávání osobních údajů používány způsobem, který zajišťuje kontinuitu ochrany, a v případě potřeby přijme vhodná opatření k řešení možných nepříznivých dopadů na tuto kontinuitu (viz 278. až 287. bod odůvodnění). Jelikož EU a Spojené království mají pro mezinárodní předávání osobních údajů podobná pravidla, předpokládá se, že problémovým rozdílům by se dalo předcházet také prostřednictvím spolupráce, výměny informací a sdílení zkušeností, a to i mezi Úřadem komisaře pro informace a Evropským sborem pro ochranu osobních údajů.

(83)

Podle zásady odpovědnosti se od subjektů zpracovávajících údaje vyžaduje zavedení vhodných technických a organizačních opatření, aby mohly účinně plnit své povinnosti v oblasti ochrany údajů a jejich plnění byly schopny prokázat, zejména příslušnému dozorovému úřadu.

(84)

Zásada odpovědnosti stanovená v nařízení (EU) 2016/679 je v čl. 5 odst. 2 britského nařízení GDPR zachována bez podstatných změn a totéž platí pro článek 24 o odpovědnosti správce, článek 25 o záměrné a standardní ochraně osobních údajů a článek 30 o záznamech o činnostech zpracování. Rovněž jsou zachovány články 35 a 36 o posouzení vlivu na ochranu osobních údajů a předchozích konzultacích s dozorovým úřadem. Články 37 až 39 nařízení (EU) 2016/679 o jmenování a úkolech pověřenců pro ochranu osobních údajů jsou v britském GDPR zachovány bez podstatných změn. Kromě toho jsou v britském nařízení GDPR zachována ustanovení článků 40 a 42 nařízení (EU) 2016/679 o kodexech chování a vydávání osvědčení (80).

(85)

Aby se zajistilo, že odpovídající úroveň ochrany údajů je zaručena v praxi, měl by být zřízen nezávislý dozorový úřad oprávněný monitorovat a vymáhat dodržování pravidel v oblasti ochrany údajů. Při plnění svých povinností a výkonu své pravomoci by tento úřad měl jednat zcela nezávisle a nestranně.

(86)

Ve Spojeném království provádí dohled a vymáhání v souvislosti s dodržováním britského nařízení GDPR a zákona o ochraně údajů z roku 2018 komisař pro informace. Komisař pro informace je tzv. výhradní korporace: samostatná právnická osoba, kterou tvoří jedna osoba. Komisaři pro informace je při práci nápomocen úřad. Ke dni 31. března 2020 měl Úřad komisaře pro informace 768 stálých zaměstnanců (81). Sponzorským ministerstvem komisaře pro informace je ministerstvo pro digitální oblast, kulturu, sdělovací prostředky a sport (82).

(87)

Nezávislost komisaře je výslovně stanovena v článku 52 britského nařízení GDPR, který podstatným způsobem nemění čl. 52 odst. 1 až 3 nařízení GDPR. Komisař musí při plnění svých úkolů a výkonu svých pravomocí podle britského nařízení GDPR jednat zcela nezávisle, nesmí podléhat vnějšímu vlivu, ať již přímému, nebo nepřímému, a nesmí od nikoho vyžadovat ani přijímat pokyny. Komisař se rovněž musí zdržet jakéhokoli jednání neslučitelného s jeho funkcí a během svého funkčního období nesmí vykonávat žádnou výdělečnou ani nevýdělečnou pracovní činnost neslučitelnou s touto funkcí.

(88)

Podmínky jmenování a odvolání komisaře pro informace jsou stanoveny v příloze 12 zákona o ochraně údajů z roku 2018. Komisaře pro informace jmenuje Její Veličenstvo na doporučení vlády na základě spravedlivého a otevřeného výběrového řízení. Uchazeč musí mít odpovídající kvalifikaci, dovednosti a způsobilost. V souladu s Kodexem pro jmenování do veřejných funkcí (83) sestavuje poradní hodnotící panel seznam kandidátů, kteří pro jmenování přicházejí v úvahu. Nežli ministr pro digitální oblast, kulturu, sdělovací prostředky a sport vydá své konečné rozhodnutí, musí příslušná parlamentní výběrová komise provést prověření před jmenováním. Stanovisko komise se zveřejňuje (84).

(89)

Komisař pro informace vykonává svou funkci po dobu až sedmi let. Jednotlivec nemůže být komisařem pro informace jmenován vícekrát. Komisaře pro informace může z funkce odvolat Její Veličenstvo na návrh (address) obou komor parlamentu Spojeného království (85). Žádné komoře parlamentu Spojeného království nelze předložit žádost o odvolání komisaře pro informace, pokud ministr nepředloží zprávu, v níž uvede, že dle jeho přesvědčení je komisař pro informace vinen závažným pochybením nebo již nesplňuje podmínky požadované pro výkon jeho funkcí (86).

(90)

Financování komisaře pro informace pochází ze tří zdrojů: i) poplatky za ochranu údajů placené správci, které jsou stanoveny v nařízeních ministra (87) (nařízení o ochraně údajů (poplatky a informace) z roku 2018) a představují 85–90 % ročního rozpočtu úřadu (88); ii) podpůrný grant vyplácený vládou komisaři pro informace. Podpůrný grant se používá zejména k financování provozních nákladů komisaře pro informace, pokud jde o úkoly nesouvisející s ochranou údajů (89), a iii) poplatky účtované za služby (90). V současné době nejsou žádné takové poplatky účtovány.

(91)

Obecné funkce komisaře pro informace týkající se zpracování osobních údajů, na které se vztahuje britské nařízení GDPR, jsou stanoveny v článku 57 britského nařízení GDPR, který úzce odráží odpovídající pravidla nařízení (EU) 2016/679. Mezi jeho funkce patří sledování a vymáhání britského nařízení GDPR, zvyšování povědomí veřejnosti, vyřizování stížností podaných subjekty údajů, vedení vyšetřování atd. Kromě toho článek 115 zákona o ochraně údajů z roku 2018 vymezuje další obecné funkce komisaře, k nimž patří povinnost poskytovat poradenství parlamentu Spojeného království, vládě a ostatním orgánům a institucím ohledně legislativních a správních opatření týkajících se ochrany práv a svobod jednotlivců v souvislosti se zpracováním osobních údajů a pravomoc vydávat z vlastního podnětu komisaře nebo na požádání stanoviska pro parlament, vládu nebo jiné instituce a orgány i veřejnost k jakékoli otázce související s ochranou osobních údajů. V zájmu zachování nezávislosti soudnictví není komisař pro informace oprávněn vykonávat své funkce v souvislosti se zpracováním osobních údajů jednotlivcem, který jedná v rámci soudních pravomocí, nebo soudem či tribunálem jednajícím v rámci své soudní pravomoci. Dohled nad soudnictvím však vykonávají specializované úřady (viz 99. až 103. bod odůvodnění.)

(92)

Pravomoci komisaře pro informace stanoví článek 58 britského nařízení GDPR, který nezavádí žádné podstatné změny odpovídajícího článku nařízení (EU) 2016/679. Doplňková pravidla pro výkon těchto pravomocí stanoví zákon o ochraně údajů z roku 2018. Komisař má zejména pravomoc: a) nařídit správci a zpracovateli (a za určitých okolností kterékoli jiné osobě), aby poskytli nezbytné informace, výzvou k podání informací (dále jen „výzva k podání informací“) (91); b) provádět vyšetřování a audity na základě výzvy k posouzení, která může vyžadovat, aby správce nebo zpracovatel komisaři povolil vstoupit do určených prostor, nahlížet do dokumentů nebo zařízení nebo je kontrolovat, vyslechnout osoby zpracovávající osobní údaje jménem správce atd. (dále jen „oznámení o posouzení“) (92); c) získat jiným způsobem přístup k dokumentům atd. správců a zpracovatelů a přístup do jejich prostor v souladu s oddílem 154 zákona o ochraně údajů z roku 2018 (dále jen „pravomoci vstupu a inspekce“); d) vykonávat nápravné pravomoci, a to i formou varování a napomenutí, nebo vydávat příkazy prostřednictvím oznámení o vymáhání, které vyžaduje, aby správci/zpracovatelé provedli určité kroky nebo aby se určitých kroků zdrželi, včetně nařízení správci nebo zpracovateli, aby učinil cokoli podle čl. 58 odst. 2 písm. c) až g) a j) britského nařízení GDPR (dále jen „oznámení o vymáhání“) (93); e) a udělovat správní pokuty formou oznámení o sankci (dále jen „oznámení o sankci“) (94). Posledně jmenované oznámení lze vydat i v případě, že orgán veřejné moci nedodržel ustanovení britského nařízení GDPR (95).

(93)

Politika regulačních opatření Úřadu komisaře pro informace stanoví okolnosti, za kterých bude vydávat výzvu k podání informací, oznámení o posouzení, vymáhání nebo sankci (96). Oznámení o vymáhání vydané v reakci na selhání správce nebo zpracovatele může ukládat pouze požadavky, které komisař považuje za vhodné pro účely nápravy selhání. Oznámení o vymáhání a sankci mohou být správci nebo zpracovateli vydána v souvislosti s porušeními kapitoly II britského nařízení GDPR (zásady zpracování), článků 12–22 (práva subjektu údajů), článků 25–39 (povinnosti správců a zpracovatelů) a články 44–49 (mezinárodní předání) britského nařízení GDPR. Oznámení o vymáhání lze vydat i v případě, že správce nesplnil požadavek uhradit poplatek stanovený v nařízeních vydaných podle článku 137 zákona o ochraně údajů z roku 2018. Kromě toho může být kontrolnímu subjektu podle článku 41 nebo subjektu vydávajícímu osvědčení zasláno oznámení o vymáhání, pokud neplní své povinnosti podle britského nařízení GDPR. Oznámení o sankci lze rovněž vydat vůči osobě, která nesplnila výzvu k podání informací, oznámení o posouzení nebo oznámení o vymáhání.

(94)

Oznámení o sankci vyžaduje, aby daná osoba zaplatila komisaři pro informace částku uvedenou v oznámení. Při rozhodování o tom, zda vůči určité osobě vydat oznámení o sankci, a při určování výše sankce musí komisař pro informace vzít v úvahu záležitosti vyjmenované v čl. 83 odst. 1 a 2 britského nařízení GDPR, které jsou totožné s odpovídajícími pravidly nařízení (EU) 2016/679 (97). Podle čl. 83 odst. 4 a 5 činí maximální výše správních pokut v případě nesplnění povinností stanovených v uvedených ustanoveních 8 700 000 GBP, resp. 17 500 000 GBP. V případě podniku může komisař pro informace ukládat pokuty také jako procento celosvětového ročního obratu, pokud je tato částka vyšší. Stejně jako v rovnocenných ustanoveních nařízení (EU) 2016/679 jsou tyto částky v čl. 83 odst. 4 a 5 stanoveny na 2 %, resp. 4 %. V případě nesplnění výzvy k poskytnutí informací, oznámení o posouzení nebo oznámení o vymáhání je maximální výší pokuty, která může být uložena oznámením o sankci, částka 17 500 000 GBP, nebo v případě podniku 4 % celosvětového ročního obratu, podle toho, která z částek je vyšší.

(95)

Britské nařízení GDPR spolu se zákonem o ochraně údajů z roku 2018 posílilo i další pravomoci komisaře pro informace. Komisař například nyní může prostřednictvím oznámení o posouzení provádět povinné audity ve vztahu ke všem správcům a zpracovatelům, zatímco podle předchozí legislativy, zákona o ochraně údajů z roku 1998, měl komisař tuto pravomoc pouze vůči ústředním vládním institucím a organizacím v oblasti zdravotnictví a ostatní subjekty musely s auditem vyslovit souhlas.

(96)

Od zavedení nařízení (EU) 2016/679 vyřizuje Úřad komisaře pro informace přibližně 40 000 stížností subjektů údajů ročně (98) a kromě toho provádí přibližně 2 000 šetření z moci úřední (99). Většina stížností se týká práv přístupu k údajům a zveřejňování údajů. Po svém šetření přijímá komisař donucovací opatření v široké škále odvětví. Přesněji řečeno, podle poslední výroční zprávy Úřadu komisaře pro informace (2019–2020) (100) vydala stávající komisařka během sledovaného období 54 výzev k podání informací, osm oznámení o posouzení, sedm oznámení o vymáhání, čtyři výstrahy, osm návrhů na zahájení trestního stíhání a patnáct pokut (101).

(97)

To zahrnuje několik významných peněžních pokut uložených podle nařízení (EU) 2016/679 a zákona o ochraně údajů z roku 2018. Zejména stávající komisařka pro informace v říjnu 2020 uložila britské letecké společnosti pokutu ve výši 20 milionů GBP za porušení zabezpečení osobních údajů, které se dotklo více než 400 000 zákazníků. Na konci října 2020 byla mezinárodnímu hotelovému řetězci uložena pokuta ve výši 18,4 milionu GBP za to, že nezajistil bezpečnost osobních údajů milionů zákazníků, a v listopadu 2020 britský poskytovatel služeb prodávající na internetu lístky na akce dostal pokutu ve výši 1,25 milionu GBP za to, že nechránil platební údaje zákazníků (102).

(98)

Kromě donucovacích pravomocí komisaře pro informace popsaných v 92. bodě odůvodnění představují určitá porušení právních předpisů v oblasti ochrany údajů trestné činy, a proto mohou podléhat trestním sankcím (článek 196 zákona o ochraně údajů z roku 2018). Týká se to například vědomého nebo bezohledného získávání nebo zpřístupňování osobních údajů bez souhlasu správce, zajišťování zpřístupnění osobních údajů jiné osobě bez souhlasu správce (103), opětovné identifikace údajů, které jsou osobními údaji, jež byly anonymizovány bez souhlasu správce odpovědného za anonymizaci daných osobních údajů (104), záměrného maření výkonu pravomocí komisaře v souvislosti s inspekcí osobních údajů v souladu s mezinárodními závazky (105), vydávání nepravdivých prohlášení v reakci na výzvu k podání informací nebo ničení údajů v souvislosti s výzvami k podání informací a oznámeními o posouzení (106).

(99)

Dohled nad zpracováním osobních údajů soudy a soudní mocí je dvojí. Pokud osoba vykonávající funkci soudce nebo soud nejedná v rámci soudní pravomoci, zajišťuje dohled Úřad komisaře pro informace. Pokud správce jedná v rámci soudní pravomoci, nemůže Úřad komisaře pro informace vykonávat své dozorové funkce (107) a dohled provádějí zvláštní subjekty. To odráží přístup zvolený v nařízení (EU) 2016/679 (čl. 55 odst. 3).

(100)

Zejména ve druhém scénáři zajišťuje tento dohled nad soudy v Anglii a Walesu a tribunály prvního a vyššího stupně v Anglii a Walesu soudní komise pro ochranu údajů (108). Lord nejvyšší soudce (Lord Chief Justice) a vrchní předseda tribunálů vydali oznámení o ochraně osobních údajů (109), které stanoví, jak soudy v Anglii a Walesu zpracovávají osobní údaje v rámci soudní funkce. Obdobné oznámení bylo vydáno v rámci soudnictví Severního Irska (110) a Skotska (111).

(101)

Kromě toho v Severním Irsku jmenoval Lord nejvyšší soudce pro Severní Irsko soudce Vrchního soudu soudcem pověřeným dozorem nad ochranou údajů (Data Supervisory Judge) (112). Vydal rovněž pokyny pro soudnictví Severního Irska ve věci postupu v případě ztráty nebo potenciální ztráty údajů a řešení jakýchkoli problémů z toho vyplývajících (113).

(102)

Ve Skotsku jmenoval lord nejvyšší soudce (Lord President) soudce pro dozor nad ochranou údajů, který bude vyšetřovat jakékoli stížnosti z důvodu ochrany údajů. Je to stanoveno v pravidlech pro soudní stížnosti, která odrážejí pravidla stanovená pro Anglii a Wales (114).

(103)

A konečně, u Nejvyššího soudu je jmenován jeden ze soudců Nejvyššího soudu, aby dohlížel na ochranu údajů.

(104)

Aby se zajistila odpovídající ochrana, a zejména vymáhání individuálních práv, měla by být subjektu údajů poskytnuta účinná správní a soudní ochrana, včetně náhrady škody.

(105)

Zaprvé má subjekt údajů právo podat stížnost u komisaře pro informace, pokud má za to, že v souvislosti s jeho osobními údaji došlo k porušení britského nařízení GDPR (115). Britské nařízení GDPR zachovává pravidla článku 77 nařízení (EU) 2016/679 týkající se tohoto práva bez podstatných úprav. Totéž platí pro čl. 57 odst. 1 písm. f) a odst. 2, které stanoví úkoly komisaře v souvislosti s vyřizováním stížností. Jak je popsáno v 92. až 98. bodě odůvodnění výše, komisař pro informace má pravomoc posoudit, jak správce a zpracovatel dodržují britské nařízení GDPR a zákon o ochraně údajů z roku 2018, vyžadovat od nich, aby v případě nedodržení předpisů přijali nezbytné kroky nebo se takových kroků zdrželi, a ukládat pokuty.

(106)

Zadruhé britské nařízení GDPR a zákon o ochraně údajů z roku 2018 poskytují právo na soudní ochranu vůči komisaři pro informace. Podle čl. 78 odst. 1 britského nařízení GDPR má jednotlivec právo na účinnou soudní ochranu proti právně závaznému rozhodnutí komisaře, které se ho týká. V rámci soudního přezkumu zkoumá soudce rozhodnutí napadené ve stížnosti a zvažuje, zda komisař pro informace jednal zákonným způsobem. Kromě toho čl. 78 odst. 2 britského nařízení GDPR stanoví, že pokud komisař řádně nevyřídí stížnost podanou subjektem údajů (116), má stěžovatel přístup k soudní ochraně. Může se obrátit na tribunál prvního stupně, aby nařídil komisaři přijmout vhodná opatření v reakci na stížnost nebo aby stěžovatele informoval o pokroku při vyřizování stížnosti (117). Kromě toho se každá osoba, které je doručeno jedno z výše uvedených oznámení (výzva k podání informací, oznámení o posouzení, vymáhání nebo sankci), může odvolat k tribunálu prvního stupně (118). Pokud tribunál dospěje k závěru, že rozhodnutí komisaře není v souladu se zákonem, nebo že měl komisař pro informace uplatnit svou diskreční pravomoc jinak, musí tribunál vyhovět opravnému prostředku nebo vydat jiné oznámení nebo přijmout jiné rozhodnutí, které komisař pro informace mohl vydat nebo učinit.

(107)

Zatřetí podle článku 79 britského nařízení GDPR a článku 167 zákona o ochraně údajů z roku 2018 mohou jednotlivci získat soudní ochranu vůči správcům a zpracovatelům přímo u soudů. Pokud soud na základě žádosti subjektu údajů dospěje k závěru, že došlo k porušení práv subjektu údajů podle právních předpisů v oblasti ochrany údajů, může soud v souvislosti s daným zpracováním nařídit správci nebo zpracovateli jednajícímu v zastoupení tohoto správce, aby přijal kroky stanovené v soudním příkazu nebo aby se takových kroků zdržel.

(108)

Kromě toho článek 82 britského nařízení GDPR a článek 168 zákona o ochraně údajů z roku 2018 stanoví, že kdokoli, kdo v důsledku porušení britského nařízení GDPR utrpěl hmotnou či nehmotnou újmu, má právo obdržet od správce nebo zpracovatele náhradu utrpěné újmy. Pravidla pro náhradu újmy a odpovědnost v čl. 82 odst. 1–5 britského nařízení GDPR jsou totožná s odpovídajícími pravidly nařízení (EU) 2016/679. Podle článku 168 zákona o ochraně údajů z roku 2018 zahrnuje nehmotná újma i utrpení. Podle článku 80 britského nařízení GDPR má subjekt údajů také právo pověřit zastupující subjekt nebo organizaci, aby jeho jménem podal(a) stížnost komisaři (podle článku 77 britského nařízení GDPR) a aby jeho jménem uplatnil(a) práva uvedená v článku 78 (právo na účinnou soudní ochranu vůči komisaři), článku 79 (právo na účinnou soudní ochranu vůči správci nebo zpracovateli) a článku 82 (právo na náhradu újmy a odpovědnost) britského nařízení GDPR.

(109)

Začtvrté může kromě opravných prostředků popsaných výše každá osoba, která má za to, že orgány veřejné moci porušily její práva, včetně práv na soukromí a ochranu údajů, získat soudní ochranu u soudů Spojeného království podle zákona o lidských právech z roku 1998 (119). Jednotlivec, který tvrdí, že orgán veřejné moci jednal (nebo navrhuje jednat) způsobem, který je neslučitelný s právem podle úmluvy, a tudíž je podle čl. 6 odst. 1 zákona o lidských právech z roku 1998 protiprávní, může proti tomuto orgánu podat žalobu u příslušného soudu nebo tribunálu nebo se dovolávat dotčených práv v jakémkoli soudním řízení, pokud tento jednotlivec je (nebo by byl) obětí protiprávního jednání.

(110)

Pokud soud shledá jakýkoli akt orgánu veřejné moci protiprávním, může v rámci svých pravomocí poskytnout takový opravný prostředek nebo soudní ochranu nebo vydat takový příkaz, které považuje za spravedlivé a vhodné (120). Soud může rovněž prohlásit ustanovení primárního právního předpisu za neslučitelné s právem podle úmluvy.

(111)

A konečně může jednotlivec po vyčerpání vnitrostátních opravných prostředků dosáhnout nápravy u Evropského soudu pro lidská práva za porušení práv zaručených Evropskou úmluvou o lidských právech.

(112)

Komise také posuzovala právní rámec Spojeného království týkající se shromažďování a následného používání osobních údajů předávaných podnikatelským subjektům ve Spojeném království orgány veřejné moci Spojeného království pro účely veřejného zájmu, zejména pro účely prosazování trestního práva a národní bezpečnosti (dále jen „přístup vlády“). Při posuzování toho, zda by podmínky, za nichž by přístup vlády k údajům předávaným do Spojeného království podle tohoto rozhodnutí splňoval test „zásadní rovnocennosti“ podle čl. 45 odst. 1 nařízení (EU) 2016/679, jak je vykládán Soudním dvorem Evropské unie ve světle Listiny základních práv, Komise zohlednila zejména následující kritéria.

(113)

Zaprvé musí být jakékoli omezení práva na ochranu osobních údajů stanoveno zákonem a samotný právní základ, který umožňuje zásah do takového práva, musí vymezovat rozsah omezení výkonu dotčeného práva (121).

(114)

Zadruhé, za účelem splnění požadavku proporcionality, podle kterého musí být výjimky z ochrany osobních údajů a její omezení činěny v mezích toho, co je v demokratické společnosti nezbytně nutné pro splnění konkrétních cílů obecného zájmu rovnocenných cílům uznaným Unií, musí předmětná právní úprava třetí země, která daný zásah povoluje, stanovit jasná a přesná pravidla pro rozsah a použití předmětného opatření a stanovit minimální požadavky, tak aby osoby, jejichž údaje byly předány, měly dostatečné záruky umožňující účinně chránit své osobní údaje proti riziku zneužití (122). Právní úprava musí zejména vymezit okolnosti a podmínky, za nichž může být přijato opatření týkající se zpracovávání takových údajů (123), jakož i podřizovat plnění takových požadavků nezávislému dohledu (124).

(115)

Zatřetí musí být tato právní úprava podle vnitrostátního práva právně závazná a tyto právní požadavky musí být pro orgány nejen závazné, ale musí být vůči orgánům dotčené třetí země také vymahatelné u soudu (125). Subjekty údajů musí mít zejména možnost podat žalobu k nezávislému a nestrannému soudu pro získání přístupu ke svým osobním údajům nebo pro dosažení opravy nebo výmazu takovýchto údajů (126).

(116)

Jakožto výkon pravomoci orgánu veřejné moci musí být přístup vlády ve Spojeném království prováděn při plném dodržení zákona. Spojené království ratifikovalo Evropskou úmluvu o lidských právech (viz 9. bod odůvodnění) a všechny orgány veřejné moci ve Spojeném království jsou povinny jednat v souladu s úmluvou (127). Článek 8 úmluvy stanoví, že jakýkoli zásah do soukromí musí být v souladu se zákonem, v zájmu jednoho z cílů stanovených v čl. 8 odst. 2 a přiměřený s ohledem na tento cíl. Článek 8 rovněž vyžaduje, aby byl zásah „předvídatelný“, tj. aby měl jasný a přístupný právní základ, a aby právní předpis obsahoval vhodné záruky, které zabrání zneužití.

(117)

Kromě toho Evropský soud pro lidská práva ve své judikatuře upřesnil, že jakýkoli zásah do práva na soukromí a ochranu údajů by měl podléhat účinnému, nezávislému a nestrannému systému dohledu, který musí zajišťovat buď soudce, nebo jiný nezávislý subjekt (128) (např. správní orgán nebo parlamentní orgán).

(118)

Kromě toho musí být jednotlivcům poskytnuta účinná právní ochrana a Evropský soud pro lidská práva objasnil, že tuto právní ochranu musí nabídnout nezávislý a nestranný subjekt, který přijal svůj vlastní jednací řád a je složen z členů, kteří musí v současnosti zastávat nebo v minulosti zastávali vysokou soudní funkci nebo být zkušenými právníky, a že k podání stížnosti u tohoto subjektu nesmí být zapotřebí splnit jakékoli důkazní břemeno. Při svém šetření stížnosti jednotlivce by měl mít nezávislý a nestranný subjekt přístup ke všem příslušným informacím, včetně uzavřených materiálů. A konečně by měl mít pravomoc napravit protiprávní jednání (129).

(119)

Spojené království také ratifikovalo úmluvu Rady Evropy o ochraně osob se zřetelem na automatizované zpracování osobních dat (úmluva č. 108) a v roce 2018 podepsalo protokol o změně Úmluvy o ochraně osob se zřetelem na automatizované zpracování osobních dat (označovaný jako úmluva č. 108+) (130). Článek 9 úmluvy 108 stanoví, že odchylky od obecných zásad ochrany údajů (článek 5 Kvalita údajů), pravidel upravujících zvláštní skupiny údajů (článek 6 Zvláštní skupiny údajů) a práv subjektu údajů (článek 8 Dodatečné záruky pro subjekt údajů) jsou přípustné pouze v případě, že taková odchylka je stanovena zákonem smluvní strany a představuje nezbytné opatření v demokratické společnosti v zájmu ochrany bezpečnosti státu, veřejné bezpečnosti, měnových zájmů státu nebo potírání trestné činnosti nebo ochrany subjektu údajů nebo práv a svobod jiných osob (131).

(120)

Prostřednictvím členství v Radě Evropy, dodržování Evropské úmluvy o lidských právech a podrobení se soudní pravomoci Evropského soudu pro lidská práva proto Spojené království podléhá řadě povinností zakotvených v mezinárodním právu, které tvoří rámec jeho systému přístupu vlády na základě zásad, záruk a individuálních práv podobných těm, které jsou zaručeny právními předpisy EU a jsou použitelné v členských státech. Jak je zdůrazněno v 19. bodě odůvodnění, pokračující dodržování těchto nástrojů je proto obzvláště důležitým prvkem posouzení, na němž se zakládá toto rozhodnutí.

(121)

Specifické záruky a práva týkající se ochrany údajů dále zaručuje zákon o ochraně údajů z roku 2018 v případech, kdy jsou údaje zpracovávány orgány veřejné moci, včetně donucovacích orgánů a subjektů v oblasti národní bezpečnosti.

(122)

Zejména je v části 3 zákona o ochraně údajů z roku 2018, který byl přijat za účelem provedení směrnice (EU) 2016/680 do vnitrostátního práva, stanoven režim zpracování osobních údajů v rámci vymáhání trestního práva. Část 3 zákona o ochraně údajů z roku 2018 se použije na zpracování osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení (132).

(123)

Pojem „příslušný orgán“ je vymezen v článku 30 zákona o ochraně údajů jako osoba vyjmenovaná v příloze 7 zákona o ochraně údajů z roku 2018, jakož i kterákoli jiná osoba, která má zákonné funkce pro jakékoli účely prosazování práva (133). Jak je vysvětleno níže (viz 139. bod odůvodnění), některé příslušné orgány (například Národní kriminální agentura) mohou za určitých podmínek využívat pravomoci, které stanoví zákon o vyšetřovacích pravomocích z roku 2016. V takovém případě se kromě záruk stanovených částí 3 zákona o ochraně údajů z roku 2018 použijí i záruky stanovené zákonem o vyšetřovacích pravomocích z roku 2016. Zpravodajské služby (Tajná zpravodajská služba, Bezpečnostní služba a Vládní ředitelství pro komunikace) nejsou „příslušnými orgány“ (134) spadajícími do oblasti působnosti části 3 zákona o ochraně údajů z roku 2018, a proto se na žádnou z jejich činností nepoužijí pravidla stanovená v uvedené části zákona. Zvláštní část zákona o ochraně údajů z roku 2018 (část 4) je věnována zpracování osobních údajů zpravodajskými službami (další podrobnosti viz 125. bod odůvodnění).

(124)

Obdobně jako směrnice (EU) 2016/680 stanoví část 3 zákona o ochraně údajů z roku 2018 zásady zákonnosti a korektnosti (135), účelového omezení (136), minimalizace údajů (137), přesnosti (138), omezení uložení (139) a zabezpečení (140). Tento právní předpis ukládá konkrétní povinnosti týkající se transparentnosti (141) a poskytuje jednotlivcům právo na přístup (142), opravu a výmaz (143) a právo nebýt předmětem automatizovaného rozhodování (144). Od příslušných orgánů se rovněž požaduje, aby zavedly záměrnou a standardní ochranu údajů, vedly záznamy o činnostech zpracování a u některých operací zpracování prováděly posouzení vlivu na ochranu osobních údajů a předem konzultovaly komisaře pro informace (145). Podle článku 56 zákona o ochraně údajů z roku 2018 jsou povinny prokázat dodržování právních předpisů. Kromě toho jsou povinny zavést vhodná opatření k zajištění bezpečnosti zpracování (146) a vztahují se na ně zvláštní povinnosti v případě porušení zabezpečení údajů, včetně oznámení takových porušení komisaři pro informace a subjektům údajů (147). Stejně jako v případě směrnice (EU) 2016/680 je rovněž stanoven požadavek, aby správce (pokud se nejedná o soud nebo jiný soudní orgán jednající v rámci soudních pravomocí) jmenoval pověřence pro ochranu osobních údajů (148), který je správci nápomocen při dodržování jeho povinností a monitorování tohoto dodržování (149). Právní předpisy dále stanoví zvláštní požadavky na mezinárodní předávání osobních údajů třetím zemím nebo mezinárodním organizacím pro účely prosazování práva s cílem zajistit kontinuitu ochrany (150). Ke stejnému datu jako toto rozhodnutí Komise přijala rozhodnutí o odpovídající ochraně podle čl. 36 odst. 3 směrnice (EU) 2016/680, v němž konstatuje, že režim ochrany údajů použitelný na zpracování donucovacími orgány ve Spojeném království zajišťuje úroveň ochrany v zásadě rovnocennou úrovni ochrany, kterou zaručuje směrnice (EU) 2016/680.

(125)

Část 4 zákona o ochraně údajů z roku 2018 se použije na veškeré zpracování prováděné zpravodajskými službami nebo jejich jménem. Stanovuje zejména hlavní zásady ochrany údajů (zákonnost, korektnost a transparentnost (151); účelové omezení (152); minimalizaci údajů (153); přesnost (154); omezení uložení (155) a zabezpečení (156)), ukládá podmínky pro zpracování zvláštních kategorií údajů (157), stanoví práva subjektu údajů (158), vyžaduje záměrnou a standardní ochranu údajů (159) a reguluje mezinárodní předávání osobních údajů (160). Úřad komisaře pro informace nedávno vydal podrobné pokyny týkající se zpracování údajů zpravodajskými službami podle části 4 zákona o ochraně údajů z roku 2018 (161).

(126)

Zároveň článek 110 zákona o ochraně údajů z roku 2018 stanoví výjimku z konkrétních ustanovení části 4 zákona o ochraně údajů z roku 2018 (162), je-li taková výjimka požadována k zajištění národní bezpečnosti. Tuto výjimku lze využít na základě analýzy jednotlivých případů (163). Jak vysvětlily orgány Spojeného království a potvrdila judikatura, „správce musí zvážit, jaké by byly skutečné důsledky pro národní bezpečnost nebo obranu, pokud by musel dodržet konkrétní ustanovení o ochraně údajů, a zda by mohl přiměřeně dodržet obvyklé pravidlo, aniž by to ovlivnilo národní bezpečnost nebo obranu“ (164). Otázka toho, zda byla výjimka použita správně, podléhá dohledu Úřadu komisaře pro informace (165).

(127)

Kromě toho v souvislosti s možností omezit použití těchto výše specifikovaných ustanovení z důvodu ochrany „národní bezpečnosti“ může správce podle článku 111 zákona o ochraně údajů z roku 2018 požádat o osvědčení podepsané ministrem nebo generálním prokurátorem, které potvrzuje, že omezení těchto práv je nezbytným a přiměřeným opatřením k ochraně národní bezpečnosti (166).

(128)

Vláda Spojeného království vydala pokyny, které mají správcům pomoci při zvažování, zda požádat o osvědčení o omezení z důvodu národní bezpečnosti podle zákona o ochraně údajů z roku 2018, a tyto pokyny zejména zdůrazňují, že jakékoli omezení práv subjektů údajů z důvodu zajištění národní bezpečnosti musí být přiměřené a nezbytné (167). Všechna osvědčení o omezení z důvodu národní bezpečnosti musí být zveřejněna na webových stránkách Úřadu komisaře pro informace (168).

(129)

Osvědčení by mělo být vydáno na pevně stanovenou dobu nejvýše pěti let, aby orgán výkonné moci prováděl jeho pravidelný přezkum (169). Osvědčení uvádí osobní údaje nebo kategorie osobních údajů, na které se výjimka vztahuje, jakož i ustanovení zákona o ochraně údajů z roku 2018, kterých se výjimka týká (170).

(130)

Je důležité upozornit, že osvědčení o omezení z důvodu národní bezpečnosti neposkytují další důvod pro omezení práv na ochranu osobních údajů na základě národní bezpečnosti. Jinak řečeno správce nebo zpracovatel může osvědčení uplatnit, pouze pokud dospěl k závěru, že je nutné využít výjimku z důvodu národní bezpečnosti, která – jak je vysvětleno výše – musí být použita individuálně (171). I když se na dotčenou záležitost vztahuje osvědčení o omezení z důvodu národní bezpečnosti, může Úřad komisaře pro informace šetřit, zda bylo v konkrétním případě využití výjimky z důvodu národní bezpečnosti opodstatněné (172).

(131)

Kterákoli osoba, jíž se vydání osvědčení přímo dotýká, může proti osvědčení (173) podat opravný prostředek u Vrchního tribunálu (174), nebo pokud osvědčení identifikuje údaje prostřednictvím obecného popisu, může napadnout použití osvědčení pro konkrétní údaje (175). Tribunál přezkoumá rozhodnutí o vydání osvědčení a rozhodne, zda pro vydání osvědčení existovaly rozumné důvody (176). Může zvážit celou řadu otázek, včetně nezbytnosti, přiměřenosti a zákonnosti, pokud jde o dopad na práva subjektů údajů a vyvážení potřeby chránit národní bezpečnost. V důsledku toho může tribunál rozhodnout, že se osvědčení nevztahuje na konkrétní osobní údaje, které jsou předmětem opravného prostředku (177).

(132)

Jiný soubor možných omezení se týká omezení, která se podle přílohy 11 zákona o ochraně údajů z roku 2018 použijí na určitá ustanovení části 4 zákona o ochraně údajů z roku 2018 (178) za účelem ochrany jiných důležitých cílů obecného veřejného zájmu nebo chráněných zájmů, jako jsou například výsady parlamentu, povinnost mlčenlivosti, vedení soudních řízení nebo bojová účinnost ozbrojených sil (179). Tato ustanovení se na základě výjimky nepoužijí buď na určité kategorie informací („na základě skupiny“), nebo se nepoužijí v rozsahu, v jakém by jejich použití mohlo poškodit chráněný zájem („na základě újmy“) (180). Výjimek na základě újmy se lze domáhat, pouze pokud by použití uvedeného ustanovení o ochraně údajů pravděpodobně mohlo poškodit dotčený specifický zájem. Použití výjimky musí být proto vždy odůvodněno odkazem na příslušnou újmu, která by v jednotlivém případě pravděpodobně nastala. Výjimky na základě skupiny lze uplatnit pouze pro specifickou úzce definovanou kategorii informací, pro kterou je výjimka udělena. Svým účelem a účinkem jsou podobné několika výjimkám z britského nařízení GDPR (podle přílohy 2 zákona o ochraně údajů z roku 2018), které naopak odrážejí výjimky uvedené v článku 23 nařízení GDPR.

(133)

Z výše uvedeného vyplývá, že podle příslušných právních předpisů Spojeného království, jak jsou vykládány také soudy a Komisí pro informace, existují omezení a podmínky, které zajišťují, že tyto výjimky a omezení zůstanou v mezích toho, co je nezbytné a přiměřené k ochraně národní bezpečnosti.

(134)

Právo Spojeného království ukládá řadu omezení přístupu k osobním údajům a použití těchto údajů pro účely prosazování trestního práva a stanoví v této oblasti dozorové a ochranné mechanismy, které jsou v souladu s požadavky uvedenými v 113. až 115. bodě odůvodnění tohoto rozhodnutí. Podmínky, za kterých lze takový přístup uskutečnit, a záruky týkající se využívání těchto pravomocí jsou podrobně posouzeny v následujících oddílech.

(135)

Podle zásady zákonnosti zaručené článkem 35 zákona o ochraně údajů z roku 2018 je zpracování osobních údajů pro jakékoli účely prosazování práva zákonné, pouze pokud vychází ze zákona, přičemž buď subjekt údajů udělil souhlas se zpracováním pro daný účel (181), nebo je zpracování nezbytné pro plnění úkolu, který za tímto účelem provádí příslušný orgán.

(136)

V právním rámci Spojeného království je shromažďování osobních údajů od hospodářských subjektů, včetně těch, které by zpracovávaly údaje předané z EU na základě tohoto rozhodnutí o odpovídající ochraně, pro účely prosazování trestního práva přípustné na základě příkazů k domovní prohlídce (182) a příkazů k předání (183).

(137)

Příkazy k domovní prohlídce vydává soud, obvykle na návrh vyšetřovatele. Příkazy povolují vyšetřovateli, aby vstoupil do prostor za účelem hledání materiálů nebo osob významných z hlediska jeho vyšetřování a ponechal si cokoli, co spadá do povoleného rozsahu prohlídky, včetně veškerých příslušných dokumentů nebo materiálů obsahujících osobní údaje (184). Příkaz k předání, který musí být rovněž vydán soudem, vyžaduje, aby osoba v něm specifikovaná předložila nebo zpřístupnila materiály, které drží nebo ovládá. Navrhovatel musí soudu odůvodnit, proč je příkaz k domovní prohlídce nebo předložení informací nezbytný, a také proč je ve veřejném zájmu. Existuje několik zákonných pravomocí, které umožňují vydání příkazu k domovní prohlídce a příkazů k předání. Každé ustanovení má svůj vlastní soubor zákonných podmínek, které musí být splněny, aby mohl být příkaz k domovní prohlídce (185) nebo příkaz k předání (186) vydán.

(138)

Příkazy k předání a příkazy k domovní prohlídce mohou být napadeny formou soudního přezkumu (187). Pokud jde o záruky, všechny orgány činné v trestním řízení spadající do působnosti části 3 zákona o ochraně údajů z roku 2018 mají přístup k osobním údajům (který představuje formu zpracování) pouze v souladu se zásadami a požadavky stanovenými v zákoně o ochraně údajů z roku 2018 (viz 122. a 124. bod odůvodnění výše). Žádost donucovacího orgánu by proto měla být v souladu se zásadou, podle níž musí být účely zpracování určité, výslovně vyjádřené a legitimní (188) a osobní údaje zpracovávané příslušným orgánem musí být pro tento účel důležité a omezené na nezbytný rozsah (189).

(139)

Pouze za účelem prevence nebo odhalování závažných trestných činů (190) mohou určité donucovací orgány, například Národní kriminální agentura nebo policejní ředitel (191), použít cílené vyšetřovací pravomoci podle zákona o vyšetřovacích pravomocích z roku 2016. V takovém případě se kromě záruk stanovených částí 3 zákona o ochraně údajů z roku 2018 použijí i záruky stanovené zákonem o vyšetřovacích pravomocích z roku 2016. Zvláštní vyšetřovací pravomoci, které mohou tyto donucovací orgány využít, zahrnují: cílené odposlechy (část 2 zákona o vyšetřovacích pravomocích z roku 2016), získávání komunikačních údajů (část 3 zákona o vyšetřovacích pravomocích z roku 2016), uchovávání komunikačních údajů (část 4 zákona o vyšetřovacích pravomocích z roku 2016) a cílený vzdálený síťový přístup k zařízení (část 5 zákona o vyšetřovacích pravomocích z roku 2016). Odposlech zahrnuje získávání obsahu komunikace (192), zatímco získávání a uchovávání komunikačních údajů není zaměřeno na získání obsahu komunikace, ale na odpovědi na otázky „kdo“, „kdy“, „kde“ a „jak“ ve vztahu k dané komunikaci. Zahrnuje to například čas a dobu trvání komunikace, telefonní číslo nebo e-mailovou adresu původce a příjemce komunikace a někdy i umístění zařízení, z nichž byla komunikace uskutečněna, účastníka telefonní služby nebo vyúčtování rozepsané na jednotlivé položky (193). Vzdálený síťový přístup k zařízení je soubor technik používaných k získávání různých dat ze zařízení, která zahrnují počítače, tablety a chytré telefony, jakož i kabely, vodiče a paměťová zařízení (194).

(140)

Pravomoci cíleného odposlechu lze použít i v případě, že „je to nezbytné pro účely provedení ustanovení nástroje EU pro vzájemnou pomoc nebo mezinárodní dohody o vzájemné pomoci“ (tzv. příkaz ke vzájemné pomoci (195)). Příkazy ke vzájemné pomoci se vydávají pouze ve vztahu k odposlechu, nikoli k získávání komunikačních údajů nebo vzdálenému síťovému přístupu k zařízení. Tyto cílené pravomoci upravuje zákon o vyšetřovacích pravomocích z roku 2016 (196), který společně se zákonem o úpravě vyšetřovacích pravomocí z roku 2000 pro Anglii, Wales a Severní Irsko a zákonem o úpravě vyšetřovacích pravomocí (Skotsko) z roku 2000 pro Skotsko stanoví právní základ a stanoví příslušná omezení a záruky pro použití těchto pravomocí. Zákon o vyšetřovacích pravomocích z roku 2016 rovněž stanoví režim pro použití hromadných vyšetřovacích pravomocí, donucovací orgány však tyto pravomoci nemají (mohou je využívat pouze zpravodajské služby) (197).

(141)

K výkonu těchto pravomocí musí orgány získat příkaz (198) vydaný příslušným orgánem (199) a schválený nezávislým soudním komisařem (200) (tzv. postup dvojitého zámku). Získání takového příkazu podléhá testu nezbytnosti a přiměřenosti (201). Jelikož jsou tyto cílené vyšetřovací pravomoci poskytované zákonem o vyšetřovacích pravomocích z roku 2016 stejné jako ty, které mají k dispozici národní bezpečnostní služby, podrobně se podmínkám, omezením a zárukám použitelným na tyto pravomoci věnuje část týkající se přístupu a používání osobních údajů orgány veřejné moci Spojeného království pro účely národní bezpečnosti (viz 177. bod odůvodnění a násl.).

(142)

Sdílení údajů donucovacím orgánem s jiným orgánem pro jiné účely, než pro které byly údaje původně shromážděny (tzv. další sdílení), podléhá určitým podmínkám.

(143)

Obdobně jako čl. 4 odst. 2 směrnice (EU) 2016/680 umožňuje čl. 36 odst. 3 zákona o ochraně údajů z roku 2018, aby osobní údaje shromážděné příslušným orgánem pro účely vymáhání práva mohly být dále zpracovávány (ať už původním správcem, nebo jiným správcem) pro jakýkoli jiný účel vymáhání práva, pokud je správce ze zákona oprávněn zpracovávat údaje pro tento jiný účel a zpracování je nezbytné a přiměřené tomuto účelu (202). V tomto případě se na zpracování prováděné přijímajícím orgánem vztahují všechny záruky stanovené v části 3 zákona o ochraně údajů z roku 2018 uvedené ve 122. a 124. bodě odůvodnění.

(144)

V právním řádu Spojeného království takové další sdílení výslovně umožňují různé zákony. Zejména i) zákon o digitální ekonomice z roku 2017 umožňuje sdílení mezi orgány veřejné moci z několika důvodů, například v případě jakéhokoli podvodu vůči veřejnému sektoru, který by pro orgány veřejné moci znamenal ztrátu nebo riziko ztráty (203), nebo v případě dluhu vůči orgánu veřejné moci nebo Koruně (204); ii) zákon o trestní činnosti a soudech z roku 2013, který umožňuje sdílení informací s Národní kriminální agenturou (National Crime Agency) (205) pro účely boje proti závažné a organizované trestné činnosti, jejího vyšetřování a stíhání; iii) zákon o závažné trestné činnosti z roku 2007, který orgánům veřejné moci umožňuje zpřístupňovat informace organizacím pro boj proti podvodům za účelem předcházení podvodům (206).

(145)

Tyto zákony výslovně stanoví, že sdílení informací by mělo být v souladu se zásadami, které stanoví zákon o ochraně údajů z roku 2018. Kromě toho College of Policing (instituce pro vzdělávání policistů) vydala povolený odborný postup pro sdílení informací (207), který má policii pomoci při plnění jejích povinností v oblasti ochrany údajů podle britského nařízení GDPR, zákona o ochraně údajů a zákona o lidských právech z roku 1998. Soulad sdílení s platným právním rámcem pro ochranu údajů samozřejmě podléhá soudnímu přezkumu (208).

(146)

Kromě toho, podobně jako článek 9 směrnice (EU) 2016/680 stanoví zákon o ochraně údajů z roku 2018, že osobní údaje shromážděné pro jakékoli účely vymáhání práva mohou být zpracovávány za účelem, který nespočívá ve vymáhání práva, pokud je zpracování povoleno zákonem (209).

(147)

Tento typ sdílení zahrnuje dva scénáře: 1) když orgán činný v trestním řízení sdílí údaje s donucovacím orgánem činným v oblasti mimo trestní řízení, který není zpravodajskou službou (např. s finančním nebo daňovým úřadem, úřadem pro hospodářskou soutěž, úřadem pro péči o mládež atd.); 2) když orgán činný v trestním řízení sdílí údaje se zpravodajskou službou. V prvním scénáři bude zpracování osobních údajů spadat do oblasti působnosti britského nařízení GDPR, jakož i části 2 zákona o ochraně údajů z roku 2018. Ve 12. až 111. bodě odůvodnění posoudila Komise záruky poskytované britským nařízením GDPR a částí 2 zákona o ochraně údajů z roku 2018 a dospěla k závěru, že Spojené království zajišťuje odpovídající úroveň ochrany osobních údajů předávaných v rámci oblasti působnosti nařízení (EU) 2016/679 z Evropské unie do Spojeného království.

(148)

Ve druhém scénáři, pokud jde o sdílení údajů, které shromáždil orgán činný v trestním řízení, se zpravodajskou službou pro účely národní bezpečnosti, je právním základem, který takové sdílení povoluje, článek 19 zákona o boji proti terorismu z roku 2008 (210). Podle tohoto zákona může kterákoli osoba poskytovat informace kterékoli ze zpravodajských služeb za účelem výkonu kterékoli z funkcí této služby, včetně „národní bezpečnosti“.

(149)

Pokud jde o podmínky, za nichž lze údaje sdílet pro účely národní bezpečnosti, zákon o zpravodajských službách (211) a zákon o Bezpečnostní službě (212) omezují možnost zpravodajských služeb získávat údaje na to, co je nezbytné k výkonu jejich zákonem stanovených funkcí. Donucovací orgány, které chtějí sdílet údaje se zpravodajskými službami, budou muset kromě zákonných funkcí agentur stanovených zákonem o zpravodajských službách a zákonem o Bezpečnostní službě (213) zohlednit řadu faktorů/omezení. Článek 20 zákona o boji proti terorismu z roku 2008 objasňuje, že jakékoli sdílení údajů podle článku 19 musí splňovat i právní předpisy o ochraně údajů; což znamená, že se použijí všechna omezení a požadavky podle části 3 zákona o ochraně údajů z roku 2018. Kromě toho vzhledem k tomu, že příslušnými orgány jsou orgány veřejné moci pro účely zákona o lidských právech z roku 1998, musí tyto orgány zajistit, aby jednaly v souladu s právy podle úmluvy, včetně článku 8 EÚLP. Tato omezení zajišťují, že veškeré sdílení údajů mezi donucovacími orgány a zpravodajskými službami bude v souladu s právními předpisy o ochraně údajů a EÚLP.

(150)

Pokud příslušný orgán hodlá sdílet osobní údaje zpracovávané podle části 3 zákona o ochraně údajů z roku 2018 s donucovacími orgány třetí země, platí zvláštní požadavky (214). Zejména se tato předání mohou uskutečnit tehdy, jsou-li založena na nařízeních o odpovídající ochraně vydaných ministrem, nebo pokud taková nařízení neexistují, musí být zajištěny vhodné záruky. Článek 75 zákona o ochraně údajů z roku 2018 stanoví, že vhodné záruky jsou zavedeny tehdy, pokud jsou stanoveny právním nástrojem závazným pro zamýšleného příjemce nebo pokud správce po posouzení všech okolností souvisejících s předáním tohoto druhu osobních údajů třetí zemi nebo mezinárodní organizaci dojde k závěru, že k ochraně údajů existují vhodné záruky.

(151)

Pokud předání není založeno na nařízení o odpovídající ochraně, může k němu dojít pouze za určitých specifikovaných okolností, označovaných jako „zvláštní okolnosti“ (215). Ty existují v případě, že je předání nezbytné: a) k ochraně životně důležitých zájmů subjektu údajů nebo jiné osoby; b) k ochraně oprávněných zájmů subjektu údajů; c) aby se zabránilo bezprostřednímu a závažnému ohrožení veřejné bezpečnosti v některém členském státě nebo třetí zemi; d) v jednotlivých případech pro jakékoli účely vymáhání práva nebo e) v jednotlivých případech pro právní účely (například v souvislosti se soudním řízením nebo s cílem získat právní poradenství). Lze upozornit, že písmena d) a e) se nepoužijí, pokud práva a svobody subjektu údajů převažují nad veřejným zájmem na předání. Tento soubor okolností odpovídá konkrétním situacím a podmínkám, které lze kvalifikovat jako „výjimky“ podle článku 38 směrnice (EU) 2016/680.

(152)

Kromě toho, pokud je do třetí země předáván materiál získaný donucovacími orgány na základě příkazu, který povoluje použití odposlechu nebo vzdáleného síťového přístupu k zařízení, ukládá zákon o vyšetřovacích pravomocích z roku 2016 další záruky. Zejména je takové zpřístupnění, definované jako „zahraniční zpřístupnění“, povoleno za předpokladu, že vydávající orgán má za to, že existuje zvláštní vhodný režim, který omezuje počet osob, kterým jsou údaje zpřístupněny, rozsah, v jakém je jakýkoli materiál poskytnut nebo zpřístupněn, stejně jako rozsah, v jakém je jakákoli část materiálu kopírována, a počet pořízených kopií. Vydávající orgán se také může domnívat, že jsou zapotřebí vhodná opatření k zajištění toho, aby každá kopie jakékoli části tohoto materiálu byla zničena, jakmile pominou příslušné důvody pro její uchování (pokud již nebyla zničena dříve) (216).

(153)

A v neposlední řadě by se v budoucnu mohly uskutečňovat zvláštní formy dalšího předávání ze Spojeného království do Spojených států na základě „Dohody mezi vládou Spojeného království Velké Británie a Severního Irska a vládou Spojených států amerických o přístupu k elektronickým údajům za účelem boje proti závažné trestné činnosti (dále jen „dohoda mezi Spojeným královstvím a USA“ nebo „dohoda“) (217), která byla uzavřena v říjnu 2019 (218). Zatímco dohoda mezi Spojeným královstvím a USA dosud nevstoupila v platnost v době přijetí tohoto rozhodnutí, její předvídatelný vstup v platnost může ovlivnit další předávání údajů, které byly nejprve předány do Spojeného království na základě tohoto rozhodnutí, do USA. Přesněji řečeno, jakmile dohoda vstoupí v platnost, mohly by údaje předané z EU poskytovatelům služeb ve Spojeném království podléhat příkazům k předání elektronických důkazů vydaným příslušnými donucovacími orgány v USA, které jsou na základě uvedené dohody použitelné ve Spojeném království. Z těchto důvodů je pro toto rozhodnutí významné posouzení podmínek a záruk, za nichž lze takové příkazy vydávat a vykonávat.

(154)

V tomto ohledu je třeba upozornit, že zaprvé je z hlediska věcné působnosti dohoda použitelná pouze na trestné činy, za které je možné uložit trest odnětí svobody v délce nejméně tří let (definované jako „závažné trestné činy“) (219), včetně „teroristické činnosti“. Zadruhé lze podle této dohody získat údaje zpracovávané v jiné jurisdikci pouze na základě „příkazu […] podléhajícího přezkumu nebo dohledu podle vnitrostátního práva vydávající strany zajištěného soudem, soudcem, smírčím soudcem nebo jiným nezávislým orgánem před řízením ve věci výkonu nařízení nebo v průběhu takového řízení“ (220). Zatřetí se musí jakýkoli příkaz „opírat o požadavky na přiměřené odůvodnění založené na pojmenovatelných a důvěryhodných skutečnostech, podrobnosti, zákonnosti a závažnosti, pokud jde o vyšetřované jednání“ (221) a musí „být zaměřen na konkrétní účty, jakož i určovat konkrétní osobu, účet, adresu nebo osobní zařízení nebo jakýkoli jiný specifický identifikátor“ (222). Začtvrté jsou údaje získané v rámci této dohody předmětem ochranných opatření rovnocenných zvláštním zárukám, která poskytuje tzv. zastřešující dohoda mezi EU a USA (223) (komplexní dohoda o ochraně údajů uzavřená v prosinci 2016 mezi EU a USA, která stanoví záruky a práva týkající se předávání údajů v oblasti spolupráce při vymáhání práva), jež jsou do této dohody obdobně začleněna odkazem, a zejména mají zohlednit specifickou povahu těchto předání (tj. předání od soukromých hospodářských subjektů donucovacím orgánům, nikoli předání mezi donucovacími orgány) (224). Dohoda mezi Spojeným královstvím a USA výslovně stanoví, že ochranná opatření rovnocenná těm, která poskytuje zastřešující dohoda mezi EU a USA, se použijí „na všechny osobní údaje předané v rámci výkonu příkazů, které jsou předmětem této dohody, aby zajistila rovnocennou ochranu“ (225).

(155)

Údaje předané orgánům USA podle dohody mezi Spojeným královstvím a USA by proto měly požívat ochrany poskytované nástrojem práva EU, a to s nezbytnými úpravami, které mají odrážet povahu dotčených předání. Orgány Spojeného království dále potvrdily, že ochranná opatření podle zastřešující dohody se budou vztahovat na všechny osobní údaje předané nebo uchovávané na základě této dohody, bez ohledu na povahu nebo druh dožadujícího orgánu (např. federální i státní donucovací orgány v USA), ve všech případech musí být tudíž poskytována rovnocenná ochrana. Orgány Spojeného království však rovněž vysvětlily, že podrobnosti konkrétního provádění záruk ochrany údajů jsou dosud předmětem jednání mezi Spojeným královstvím a USA. V souvislosti s rozhovory s útvary Evropské komise na téma tohoto rozhodnutí orgány Spojeného království potvrdily, že nechají dohodu vstoupit v platnost až poté, co se přesvědčí, že její provádění je v souladu s právními závazky, které jsou v ní stanoveny, včetně jasnosti ohledně dodržování standardů ochrany údajů, pokud jde o jakékoli údaje požadované podle této dohody. Jelikož případný vstup dohody v platnost může mít dopad na úroveň ochrany posuzovanou v tomto rozhodnutí, mělo by Spojené království Evropské komisi sdělit jakékoli informace a budoucí objasnění týkající se způsobu, jakým budou Spojené státy plnit své závazky vyplývající z dohody, jakmile bude toto objasnění k dispozici a v každém případě před vstupem dohody v platnost, aby bylo zajištěno řádné sledování tohoto rozhodnutí v souladu s čl. 45 odst. 4 nařízení (EU) 2016/679. Zvláštní pozornost bude věnována použití a přizpůsobení ochranných opatření v rámci zastřešující dohody pro konkrétní druhy předání, na které se vztahuje dohoda mezi Spojeným královstvím a USA.

(156)

Obecněji bude jakýkoli relevantní vývoj, pokud jde o vstup dohody v platnost a její uplatňování, náležitě zohledněn v rámci nepřetržitého sledování tohoto rozhodnutí, a to i s ohledem na nezbytné důsledky, které budou vyvozeny v případě jakékoli známky toho, že již není zajištěna v zásadě rovnocenná úroveň ochrany.

(157)

V závislosti na pravomocích, které příslušné orgány používají při zpracování osobních údajů pro účely vymáhání práva (ať už podle zákona o ochraně údajů z roku 2018, nebo podle zákona o vyšetřovacích pravomocích z roku 2016), zajišťují dohled nad využíváním těchto pravomocí různé subjekty. Zejména na zpracování osobních údajů dohlíží komisař pro informace, pokud zpracování spadá do oblasti působnosti části 3 zákona o ochraně údajů z roku 2018 (226). Nezávislý a soudní dohled nad využíváním vyšetřovacích pravomocí podle zákona o vyšetřovacích pravomocích z roku 2016 zajišťuje Úřad komisaře pro kontrolu vyšetřovacích pravomocí (227) (této části se věnují 250. až 255. bod odůvodnění). Kromě toho je další dohled zaručen ze strany parlamentu Spojeného království, jakož i jiných orgánů.

(158)

Obecné funkce komisaře pro informace (jehož nezávislost a organizace jsou vysvětleny v 87. bodě odůvodnění), pokud jde o zpracování osobních údajů spadajících do oblasti působnosti části 3 zákona o ochraně údajů z roku 2018, jsou stanoveny v příloze 13 zákona o ochraně údajů z roku 2018. Hlavním úkolem Úřadu komisaře pro informace je sledovat a vymáhat část 3 zákona o ochraně údajů z roku 2018 a také zvyšovat povědomí veřejnosti, poskytovat doporučení parlamentu Spojeného království, vládě a dalším institucím a subjektům. V zájmu zachování nezávislosti soudnictví není komisař pro informace oprávněn vykonávat své funkce v souvislosti se zpracováním osobních údajů jednotlivcem, který jedná v rámci soudních pravomocí, nebo soudem či tribunálem jednajícím v rámci své soudní pravomoci. Za těchto okolností by funkce dohledu vykonávaly jiné orgány, jak je vysvětleno v 99. až 103. bodě odůvodnění.

(159)

Pokud jde o zpracování osobních údajů, na které se použije část 3, má komisař obecné vyšetřovací, nápravné, povolovací a poradenské pravomoci. Komisař má zejména pravomoc oznamovat správci nebo zpracovateli údajné porušení části 3 zákona o ochraně údajů z roku 2018, vydávat varování nebo napomenutí správci nebo zpracovateli, který porušil ustanovení části 3 zákona, jakož i z vlastního podnětu nebo na žádost vydávat pro parlament Spojeného království, vládu nebo jiné instituce a subjekty, jakož i pro veřejnost stanoviska k jakékoli otázce týkající se ochrany osobních údajů (228).

(160)

Kromě toho má komisař pravomoc vydávat výzvy k podání informací (229), oznámení o posouzení (230) a oznámení o vymáhání (231), jakož i pravomoc získat přístup k dokumentům správců a zpracovatelů, vstupovat do jejich prostor (232) a udělovat správní pokuty formou oznámení o sankci (233). Politika regulačních opatření Úřadu komisaře pro informace stanoví okolnosti, za nichž komisař vydává výzvy k podání informací, oznámení o posouzení, vymáhání a o sankci (234) (viz také 93. bod odůvodnění a 101.–102. bod odůvodnění směrnice (EU) 2016/680 týkající se rozhodnutí o odpovídající ochraně).

(161)

Podle posledních výročních zpráv Úřadu (2018–2019 (235), 2019–2020 (236)) vedla komisařka pro informace řadu vyšetřování a přijala donucovací opatření v souvislosti se zpracováním údajů donucovacími orgány. Komisařka například provedla šetření a v říjnu 2019 zveřejnila stanovisko týkající se používání technologie rozpoznávání obličeje na veřejných místech pro účely vymáhání práva. Šetření se zaměřilo zejména na využití zařízení pro rozpoznávání obličeje v reálném čase policií jižního Walesu a metropolitní policií. Komisařka pro informace rovněž vyšetřovala tzv. matici gangů (237) metropolitní policie a zjistila řadu závažných porušení právních předpisů v oblasti ochrany údajů, která by mohla narušit důvěru veřejnosti v matici a ve způsob, jakým jsou údaje využívány. V listopadu 2018 vydala komisařka pro informace oznámení o vymáhání a metropolitní policie následně přijala potřebné kroky, aby zvýšila zabezpečení a odpovědnost zajistila přiměřené využívání údajů. Dalším příkladem opatření k vymáhání v této oblasti je pokuta ve výši 325 000 GBP, kterou komisařka uložila v květnu 2018 úřadu státního zástupce za ztrátu nezašifrovaných DVD obsahujících záznamy policejních výslechů. Komisařka pro informace rovněž vedla vyšetřování v rámci obecnějších témat, například v první polovině roku 2020 šetřila získávání údajů z mobilních telefonů pro policejní účely a zpracování údajů obětí ze strany policie. Kromě toho komisařka v současné době vyšetřuje případ, který zahrnuje přístup donucovacích orgánů k údajům uchovávaným subjektem soukromého sektoru, společností Clearview AI Inc (238).

(162)

Vedle donucovacích pravomocí komisaře pro informace popsaných ve 160. a 161. bodě odůvodnění představují určitá porušení právních předpisů v oblasti ochrany údajů trestné činy, a proto mohou podléhat trestním sankcím (článek 196 zákona o ochraně údajů z roku 2018). Jde například o získávání, zpřístupňování nebo uchovávání osobních údajů bez souhlasu správce a zajišťování zpřístupnění osobních údajů jiné osobě bez souhlasu správce (239); opětovnou identifikaci údajů, které jsou osobními údaji, jež byly anonymizovány, bez souhlasu správce odpovědného za anonymizaci daných osobních údajů (240); záměrné maření výkonu pravomocí komisaře v souvislosti s inspekcí osobních údajů v souladu s mezinárodními závazky (241), vydávání nepravdivých prohlášení v reakci na výzvu k podání informací nebo ničení údajů v souvislosti s výzvami k podání informací a oznámeními o posouzení (242).

(163)

Vedle komisaře pro informace existuje několik orgánů dohledu v oblasti vymáhání trestního práva se zvláštními mandáty relevantními pro otázky ochrany údajů. K nim patří například komisař pro uchovávání a používání biometrických materiálů (dále jen „komisař pro biometriku“) (243) a komisař pro sledovací kamerové systémy (244).

(164)

Zvláštní parlamentní výbor pro vnitřní záležitosti (Home Affairs Select Committee) zajišťuje parlamentní dohled v oblasti vymáhání práva. Výbor se skládá z jedenácti poslanců parlamentu Spojeného království vybraných ze tří největších politických stran. Úkolem výboru je zkoumat výdaje, správu a politiku Ministerstva vnitra a přidružených veřejných subjektů, tj. včetně policie a Národní kriminální agentury, jejichž práci může výbor výhradně zkoumat (245).

(165)

Výbor může v mezích svých pravomocí zvolit svůj vlastní předmět šetření, včetně konkrétních případů, pokud v dané věci není soudně rozhodnuto. Výbor může rovněž požadovat písemné a ústní důkazy od celé řady příslušných skupin a jednotlivců. Vypracovává zprávy o svých zjištěních a vydává doporučení vládě (246). Vláda by měla reagovat na každé z doporučení ve zprávě a musí odpovědět do 60 dnů (247).

(166)

V oblasti sledování výbor rovněž vypracoval zprávu týkající se zákona o úpravě vyšetřovacích pravomocí z roku 2000 (248), která došla k závěru, že zákon o úpravě vyšetřovacích pravomocí z roku 2000 neodpovídá svému účelu. Zpráva výboru byla zohledněna při nahrazování významných částí zákona o úpravě vyšetřovacích pravomocí z roku 2000 zákonem o vyšetřovacích pravomocích z roku 2016. Úplný seznam šetření lze nalézt na webových stránkách výboru (249).

(167)

Úkoly zvláštního parlamentního výboru pro vnitřní záležitosti ve Skotsku plní Justiční podvýbor pro činnost policie a v Severním Irsku Výbor pro spravedlnost (250).

(168)

Pokud jde o zpracování údajů donucovacími orgány, jsou k dispozici ochranné mechanismy podle části 3 zákona o ochraně údajů z roku 2018 a podle zákona o vyšetřovacích pravomocích z roku 2016, jakož i podle zákona o lidských právech z roku 1998.

(169)

Tato série mechanismů poskytuje subjektům údajů účinné prostředky správní a soudní ochrany, které jim umožňují zejména zajistit jejich práva včetně práva na přístup k jejich osobním údajům nebo dosáhnout opravy nebo výmazu těchto údajů.

(170)

Zaprvé má podle článku 165 zákona o ochraně údajů z roku 2018 subjekt údajů právo podat stížnost u komisaře pro informace, pokud má za to, že v souvislosti s jeho osobními údaji došlo k porušení části 3 zákona o ochraně údajů z roku 2018 (251). Komisař pro informace má pravomoc posoudit, jak správce a zpracovatel dodržují zákon o ochraně údajů z roku 2018, vyžadovat od nich, aby v případě nedodržení předpisů přijali nezbytné kroky, a ukládat pokuty.

(171)

Zadruhé zákon o ochraně údajů z roku 2018 stanoví právo na nápravu vůči komisaři pro informace, pokud komisař řádně nevyřídí stížnost subjektu údajů. Přesněji řečeno, pokud komisař „nedosahuje pokroku“ (252) ve věci stížnosti podané subjektem údajů, má stěžovatel přístup k soudnímu opravnému prostředku, neboť se může obrátit na tribunál prvního stupně (253), aby ten komisaři nařídil přijmout vhodná opatření k vyřízení stížnosti nebo informovat stěžovatele o pokroku ve věci stížnosti (254). Kromě toho se každá osoba, které je doručeno jedno z výše uvedených oznámení komisaře (výzva k podání informací, oznámení o posouzení, vymáhání nebo sankci), může odvolat k tribunálu prvního stupně. Pokud tribunál dospěje k závěru, že rozhodnutí komisaře není v souladu se zákonem, nebo že měl komisař pro informace uplatnit svou diskreční pravomoc jinak, musí tribunál vyhovět opravnému prostředku nebo vydat jiné oznámení nebo přijmout jiné rozhodnutí, které komisař pro informace mohl vydat nebo učinit (255).

(172)

Zatřetí mohou jednotlivci soudní ochrany vůči správcům a zpracovatelům dosáhnout přímo u soudů. Zejména může subjekt údajů podle článku 167 zákona o ochraně údajů z roku 2018 podat u soudu žalobu pro porušení svých práv podle právních předpisů o ochraně údajů a soud může formou příkazu požádat správce, aby v zájmu souladu zpracování se zákonem o ochraně údajů z roku 2018 přijal jakékoli opatření (nebo se jakéhokoli opatření zdržel). Kromě toho podle článku 169 zákona o ochraně údajů z roku 2018 má každá osoba, která utrpěla škodu v důsledku porušení požadavku právních předpisů o ochraně údajů (včetně části 3 zákona o ochraně údajů z roku 2018), kromě britského nařízení GDPR, nárok na náhradu této škody od správce nebo zpracovatele, s výjimkou případů, kdy správce nebo zpracovatel prokáže, že správce nebo zpracovatel není nijak odpovědný za událost, která vedla ke vzniku škody. Škoda zahrnuje jak finanční ztrátu, tak nefinanční újmu, například utrpení.

(173)

A konečně kterákoli osoba, která se domnívá, že její práva včetně práv na ochranu soukromí a ochranu údajů byla porušena orgány veřejné moci, může dosáhnout nápravy u soudů Spojeného království podle zákona o lidských právech z roku 1998 (256) a osoba, nevládní organizace a skupiny jednotlivců mohou po vyčerpání vnitrostátních opravných prostředků dosáhnout nápravy u Evropského soudu pro lidská práva, pokud jde o porušení práv zaručených Evropskou úmluvou o lidských právech (257) (viz 111. bod odůvodnění).

(174)

Jednotlivci mohou dosáhnout nápravy v případě porušení zákona o vyšetřovacích pravomocích z roku 2016 u tribunálu pro kontrolu vyšetřovacích pravomocí. Možnosti nápravy dostupné podle zákona o vyšetřovacích pravomocích z roku 2016 jsou popsány ve 263. až 269. bodě odůvodnění níže.

(175)

V právním řádu Spojeného království jsou zpravodajskými službami zmocněnými ke shromažďování elektronických informací uchovávaných správci nebo zpracovateli z důvodů národní bezpečnosti v situacích, které jsou příslušné pro scénář odpovídající ochrany, Security Service (Bezpečnostní služba, MI5) (258), Secret Intelligence Service (Tajná zpravodajská služba, SIS) (259) a Government Communications Headquarters (Vládní ředitelství pro komunikace, GCHQ) (260) (261).

(176)

Ve Spojeném království jsou pravomoci zpravodajských služeb stanoveny v zákoně o vyšetřovacích pravomocích z roku 2016 a v zákoně o úpravě vyšetřovacích pravomocí z roku 2000 a tyto zákony spolu se zákonem o ochraně údajů z roku 2018 vymezují věcnou a osobní působnost těchto pravomocí, jakož i omezení a záruky pro jejich použití. V následujících oddílech jsou tyto pravomoci, jakož i omezení a záruky, které se na ně vztahují, podrobně posouzeny.

(177)

Zákon o vyšetřovacích pravomocích z roku 2016 poskytuje právní rámec pro použití vyšetřovacích pravomocí, tj. pravomoc odposlechů, přístupu ke komunikačním údajům a vzdáleného síťového přístupu k zařízení. Zákon o vyšetřovacích pravomocích z roku 2016 zavádí obecný zákaz použití technik, které umožňují přístup k obsahu komunikace, přístup ke komunikačním údajům nebo vzdálený síťový přístup k zařízení bez zákonného oprávnění, a toto jednání kvalifikuje jako trestný čin (262). To se odráží ve skutečnosti, že použití těchto vyšetřovacích pravomocí je zákonné pouze tehdy, je-li prováděno na základě příkazu nebo povolení (263).

(178)

Zákon o vyšetřovacích pravomocích z roku 2016 stanoví podrobná pravidla upravující oblast působnosti a použití každé z vyšetřovacích pravomocí, jakož i jejich zvláštní omezení a záruky. Platí různá pravidla v závislosti na druhu vyšetřovací pravomoci (odposlech komunikace, získávání a uchovávání komunikačních údajů a vzdálený síťový přístup k zařízení) (264), jakož i na tom, zda je pravomoc vykonávána vůči konkrétnímu cíli nebo hromadně. Podrobnosti o oblasti působnosti, zárukách a omezeních každého opatření podle zákona o vyšetřovacích pravomocích z roku 2016 jsou popsány ve zvláštním oddíle níže.

(179)

Zákon o vyšetřovacích pravomocích z roku 2016 je navíc doplněn řadou zákonných kodexů zásad, které vydal ministr a schválily obě komory Parlamentu Spojeného království (265) a které jsou použitelné v celé zemi a poskytují pokyny k využívání uvedených pravomocí (266). Zatímco subjekty údajů mohou při výkonu svých práv vycházet přímo z ustanovení zákona o vyšetřovacích pravomocích z roku 2016, bod 5 přílohy 7 zákona o vyšetřovacích pravomocích z roku 2016 stanoví, že kodexy zásad jsou přípustné jako důkazy v občanskoprávních a trestních řízeních a soud, tribunál nebo dozorčí orgán může vzít jakékoli nedodržení kodexů v úvahu při rozhodování o příslušné otázce v soudním řízení (267). V rámci svého posouzení „kvality práva“ týkajícího se předchozího právního předpisu Spojeného království v oblasti dozoru, zákona o úpravě vyšetřovacích pravomocí z roku 2000, velký senát Evropského soudu pro lidská práva výslovně uznal příslušnost britských kodexů zásad a připustil, že jejich ustanovení lze zohlednit při posuzování předvídatelnosti právních předpisů umožňujících sledování (268).

(180)

Je třeba také poznamenat, že cílené pravomoci (cílené odposlechy (269), získávání komunikačních údajů (270), uchovávání komunikačních údajů (271) a cílený vzdálený síťový přístup k zařízení (272)) jsou dostupné národním bezpečnostním službám a určitým donucovacím orgánům (273), zatímco hromadné pravomoci (tj. hromadný odposlech (274), hromadné získávání komunikačních údajů (275), hromadný vzdálený síťový přístup k zařízení (276) a hromadné soubory osobních údajů (277)) mohou využívat pouze zpravodajské služby.

(181)

Při rozhodování o tom, která vyšetřovací pravomoc by měla být použita, musí zpravodajská služba dodržovat „obecné povinnosti týkající se soukromí“ vyjmenované v čl. 2 odst. 2 písm. a) zákona o vyšetřovacích pravomocích z roku 2016, které zahrnují test nezbytnosti a přiměřenosti. Přesněji řečeno, podle tohoto ustanovení musí orgán veřejné moci, který má v úmyslu využít vyšetřovací pravomoc, zvážit: i) zda by bylo možné cíle, kterého má být příkazem, povolením nebo oznámením dosaženo, rozumně dosáhnout jinými, méně rušivými prostředky; ii) zda je úroveň ochrany, která se má uplatnit v souvislosti s jakýmkoli získáváním informací na základě příkazu, povolení nebo oznámení, vyšší z důvodu zvláštní citlivosti daných informací; iii) veřejný zájem na integritě a bezpečnosti telekomunikačních systémů a poštovních služeb a iv) jakékoli další aspekty veřejného zájmu na ochraně soukromí (278).

(182)

Způsob, jakým by měla být tato kritéria uplatňována (a způsob, jakým je jejich dodržování posuzováno v rámci povolení použití uvedených pravomocí ministrem a nezávislými soudními komisaři), je dále upřesněn v příslušných kodexech zásad. Zejména musí být použití kterékoli z těchto vyšetřovacích pravomocí vždy „přiměřené cíli, kterého má být dosaženo, [což] zahrnuje vyvážení závažnosti zásahu do soukromí (a dalších aspektů uvedených v čl. 2 odst. 2) vůči nezbytnosti dané činnosti z hlediska vyšetřovacího, operativního nebo kapacitního“. To zejména znamená, že „by mělo nabízet reálnou vyhlídku na dosažení očekávaného přínosu a nemělo by být nepřiměřené nebo svévolné“ a „[ž]ádný zásah do soukromí by neměl být považován za přiměřený, pokud by požadované informace mohly být rozumně získány jinými, méně rušivými prostředky“ (279). Přesněji řečeno, dodržování zásady přiměřenosti musí být posouzeno s ohledem na tato kritéria: „i) rozsah navrhovaného zásahu do soukromí v poměru k cíli, kterého má být dosaženo; ii) jak a proč metody, které mají být přijaty, způsobí co nejmenší možný zásah do soukromí dané osoby a ostatních; iii) zda činnost představuje odpovídající použití zákona a po zvážení všech rozumných alternativ i přiměřený způsob dosažení požadovaného cíle; iv) jaké případné další metody buď nebyly provedeny, nebo byly použity, ale bez použití navrhované vyšetřovací pravomoci jsou hodnoceny jako nedostatečné ke splnění operativních cílů“ (280).

(183)

Jak vysvětlily orgány Spojeného království, v praxi se tím zajišťuje, že zpravodajská služba nejprve stanoví operativní cíl (a tím vymezí rozsah shromažďování údajů, např. účel spočívající v mezinárodní protiteroristické činnosti v konkrétní zeměpisné oblasti) a následně na základě tohoto operativního cíle bude muset zvážit, která technická možnost (např. cílený nebo hromadný odposlech, vzdálený síťový přístup k zařízení, získávání komunikačních údajů) je nejpřiměřenější (tj. nejméně narušující soukromí, viz čl. 2 odst. 2 zákona o vyšetřovacích pravomocích) cíli, kterého má být dosaženo, a proto ji lze povolit podle jednoho z dostupných právních základů.

(184)

Stojí za zmínku, že toto využití standardů nezbytnosti a přiměřenosti zaznamenal a uvítal i Joseph Cannataci, zvláštní zpravodaj OSN pro právo na soukromí, který v souvislosti se systémem zavedeným zákonem o vyšetřovacích pravomocích z roku 2016 uvedl, že „[p]ostupy zavedené jak ve zpravodajských službách, tak v donucovacích orgánech zřejmě systematicky vyžadují posouzení nezbytnosti a přiměřenosti opatření nebo operace v oblasti sledování předtím, než je opatření nebo operace doporučena k povolení, jakož i přezkum opatření nebo operace z týchž důvodů“ (281). Rovněž poznamenal, že na svém setkání se zástupci donucovacích orgánů a národních bezpečnostních služeb „získal konsenzuální názor, že při každém rozhodování o opatřeních v oblasti sledování musí být primárně zohledněno právo na soukromí. Všichni chápali a oceňovali nezbytnost a přiměřenost jako základní zásady, které je třeba vzít v úvahu“.

(185)

Zvláštní kritéria pro vydávání jednotlivých příkazů, jakož i omezení a záruky stanovené zákonem o vyšetřovacích pravomocích z roku 2016 pro každou vyšetřovací pravomoc jsou podrobně uvedeny ve 186. až 243. bodě odůvodnění.

(186)

Existují tři druhy příkazů týkající se cíleného odposlechu: příkaz k cílenému odposlechu (282), příkaz k cílenému šetření a příkaz k vzájemné pomoci (283). Podmínky pro získání těchto příkazů i příslušné záruky jsou stanoveny v části 2 kapitole 1 zákona o vyšetřovacích pravomocích z roku 2016.

(187)

Příkaz k cílenému odposlechu povoluje odposlech komunikace popsané v příkazu během přenosu a získávání dalších údajů významných pro tuto komunikaci (284), včetně sekundárních údajů (285). Příkaz k cílenému šetření opravňuje určitou osobu k provedení výběru pro šetření obsahu odposlechu získaného na základě příkazu k hromadnému odposlechu (286).

(188)

Jakýkoli příkaz podle části 2 zákona o vyšetřovacích pravomocích z roku 2016 může vydat ministr (287) a schválit soudní komisař (288). Ve všech případech je doba platnosti jakéhokoli typu cíleného příkazu omezena na šest měsíců (289) a pro jeho úpravy (290) a prodloužení platí zvláštní pravidla (291).

(189)

Před vydáním příkazu musí ministr provést posouzení nezbytnosti a přiměřenosti (292). Zvláště v případě příkazu k cílenému odposlechu a příkazu k cílenému šetření by měl ministr ověřit, zda je opatření nezbytné z jednoho z těchto důvodů: zájem národní bezpečnosti; prevence nebo odhalování trestné činnosti nebo zájmy hospodářského blahobytu Spojeného království (293), pokud jsou tyto zájmy významné i z hlediska zájmů národní bezpečnosti (294). Na druhé straně příkaz k vzájemné pomoci (viz 139. bod odůvodnění výše) lze vydat pouze v případě, že má ministr za to, že existují okolnosti rovnocenné okolnostem, za nichž by vydal příkaz za účelem prevence a/nebo odhalování závažné trestné činnosti (295).

(190)

Ministr by měl navíc posoudit, zda je opatření přiměřené cíli, kterého má být dosaženo (296). Posouzení přiměřenosti požadovaných opatření musí zohledňovat obecné povinnosti týkající se soukromí stanovené v čl. 2 odst. 2 zákona o vyšetřovacích pravomocích z roku 2016, zejména potřebu posoudit, zda by bylo možné cíle, kterého má být příkazem, povolením nebo oznámením dosaženo, rozumně dosáhnout jinými, méně rušivými prostředky a zda je úroveň ochrany, která se má uplatnit v souvislosti s jakýmkoli získáváním informací na základě příkazu vyšší z důvodu zvláštní citlivosti daných informací (viz 181. bod odůvodnění výše).

(191)

Za tímto účelem bude ministr muset vzít v úvahu všechny prvky návrhu poskytnuté dožadujícím orgánem, a to zejména ty, které se týkají osob, které mají být odposlouchávány, a významu opatření pro vyšetřování. Tyto prvky jsou vyjmenovány v kodexu zásad pro odposlech komunikace a musí být popsány s určitou mírou specifičnosti (297). Kromě toho článek 17 zákona o vyšetřovacích pravomocích z roku 2016 vyžaduje, aby jakýkoli příkaz vydaný podle kapitoly 2 uvedeného zákona musel jmenovat nebo popisovat konkrétní osobu nebo skupinu osob, organizaci nebo prostory, které mají být odposlouchávány (tedy „cíl“). Příkaz k cílenému odposlechu nebo příkaz k cílenému šetření se může vztahovat také na skupinu osob, více než jednu osobu nebo organizaci nebo více než jeden soubor prostor (také označovaný jako „tematický příkaz“) (298). V těchto případech by měl příkaz popisovat společný účel nebo činnost sdílenou danou skupinou osob nebo operaci/vyšetřování a měl by pojmenovat nebo popsat co nejvíce z těchto osob/organizací nebo soubor prostor, je-li to přiměřeně proveditelné (299). A konečně také musí všechny příkazy vydané podle části 2 zákona o vyšetřovacích pravomocích z roku 2016 specifikovat adresy, čísla, přístroje, faktory nebo kombinaci faktorů, které mají být použity k identifikaci komunikace (300). V tomto ohledu kodex zásad pro odposlech komunikace stanoví, že v případě příkazu k cílenému odposlechu a příkazu k cílenému šetření „musí příkaz specifikovat (nebo popisovat) faktory nebo kombinaci faktorů, které mají být použity pro identifikaci komunikace. Pokud má být komunikace identifikována odkazem na telefonní číslo (například), musí být číslo specifikováno uvedením v celém rozsahu. Pokud však mají být k identifikaci komunikace použity velmi složité nebo neustále se měnící internetové selektory, měly by být tyto selektory popsány v maximálním možném rozsahu“ (301).

(192)

Důležitou zárukou v této souvislosti je to, že posouzení provedené ministrem pro účely vydání příkazu musí být schváleno nezávislým soudním komisařem (302), který zejména ověří, zda je rozhodnutí o vydání příkazu v souladu se zásadami nezbytnosti a přiměřenosti (303) (status a úloha soudních komisařů viz 251. až 256. bod odůvodnění níže). Zákon o vyšetřovacích pravomocích z roku 2016 rovněž objasňuje, že při provádění této kontroly musí soudní komisař uplatňovat stejné zásady, jaké by uplatňoval soud při podání návrhu na soudní přezkum (304). Tím je zajištěno, že v každém případě a před uskutečněním přístupu k údajům bude soulad se zásadou nezbytnosti a přiměřenosti systematicky kontrolován nezávislým subjektem.

(193)

Zákon o vyšetřovacích pravomocích z roku 2016 stanoví několik málo specifických a úzce vymezených výjimek pro provádění cílených odposlechů bez příkazu. Omezené případy jsou podrobně popsány v zákoně (305) a kromě případu založeného na „souhlasu“ odesílatele/příjemce provádějí odposlech jiné osoby (soukromé nebo veřejné subjekty) než národní bezpečnostní služby. Kromě toho se tento druh odposlechů provádí za jiným účelem, než je shromažďování „zpravodajských informací“ (306), a u některých z nich je velmi nepravděpodobné, že by shromažďování údajů mohlo probíhat v kontextu scénáře „předávání“ (například v případě odposlechu prováděného v psychiatrické léčebně nebo ve věznici). S ohledem na povahu subjektu, na který se tyto specifické případy vztahují (kterým nejsou národní bezpečnostní služby), použijí se všechny záruky stanovené v části 2 zákona o ochraně údajů z roku 2018 a v britském nařízení GDPR, včetně dohledu Úřadu komisaře pro informace a dostupných ochranných mechanismů. Kromě toho kromě záruk poskytnutých zákonem o ochraně údajů z roku 2018 zákon o vyšetřovacích pravomocích z roku 2016 v určitých případech stanoví také následný dohled ze strany Úřadu komisaře pro kontrolu vyšetřovacích pravomocí (307).

(194)

Při provádění odposlechu platí další omezení a záruky s ohledem na konkrétní status odposlouchávané osoby / odposlouchávaných osob (308). Například odposlech záležitostí podléhajících povinnosti mlčenlivosti je povolen pouze za výjimečných a naléhavých okolností, osoba vydávající příkaz musí brát ohled na veřejný zájem na důvěrnosti záležitostí podléhajících povinnosti mlčenlivosti a na to, že existují zvláštní požadavky týkající se manipulace s takovým materiálem, jeho uchovávání a zpřístupňování (309).

(195)

Zákon o vyšetřovacích pravomocích z roku 2016 dále stanoví specifické záruky týkající se zabezpečení, uchovávání a zpřístupňování, které by měl ministr vzít v úvahu před vydáním cíleného příkazu (310). Ustanovení čl. 53 odst. 5 zákona o vyšetřovacích pravomocích z roku 2016 zejména vyžaduje, aby každá kopie kteréhokoli z těchto materiálů shromážděných na základě příkazu byla uložena bezpečně a byla zničena, jakmile již nebudou existovat žádné relevantní důvody pro její uchovávání, zatímco čl. 53 odst. 2 zákona o vyšetřovacích pravomocích z roku 2016 vyžaduje, aby počet osob, kterým je materiál zpřístupněn, a rozsah, v jakém je jakýkoli materiál zveřejněn, zpřístupněn, zpřístupňován nebo kopírován, byl omezen na minimum, které je pro zákonné účely nezbytné.

(196)

A konečně, pokud má být materiál, který byl zachycen na základě příkazu k cílenému odposlechu nebo příkazu k vzájemné pomoci, předán třetí zemi („zahraniční zpřístupnění“), zákon o vyšetřovacích pravomocích z roku 2016 stanoví, že ministr se musí ujistit, že existuje vhodný režim, který zaručí, že v této třetí zemi budou existovat obdobné záruky zabezpečení, uchovávání a zpřístupňování (311). Kromě toho čl. 109 odst. 2 zákona o ochraně údajů z roku 2018 stanoví, že zpravodajské služby mohou předávat osobní údaje na území mimo Spojené království pouze v případě, že je předání nezbytné a přiměřené pro účely zákonných funkcí správce nebo pro jiné účely stanovené v čl. 2 odst. 2 písm. a) zákona o Bezpečnostní službě z roku 1989 nebo v čl. 2 odst. 2 písm. a) a čl. 4 odst. 2 písm. a) zákona o zpravodajských službách z roku 1994 (312). Důležité je, že tyto požadavky se použijí i v případech, v nichž je uplatněna výjimka z důvodu národní bezpečnosti podle článku 110 zákona o ochraně údajů z roku 2018, neboť článek 110 zákona o ochraně údajů z roku 2018 neuvádí článek 109 zákona o ochraně údajů z roku 2018 jako jedno z ustanovení, které se nemusí použít, pokud je pro účely ochrany národní bezpečnosti nutná výjimka z určitých ustanovení.

(197)

Zákon o vyšetřovacích pravomocích z roku 2016 umožňuje ministrovi požadovat, aby provozovatelé telekomunikačních služeb uchovávali komunikační údaje za účelem cíleného přístupu řady orgánů veřejné moci, včetně donucovacích orgánů a zpravodajských služeb. Část 4 zákona o vyšetřovacích pravomocích z roku 2016 stanoví uchovávání komunikačních údajů, zatímco část 3 upravuje cílené získávání komunikačních údajů. Část 3 a část 4 zákona o vyšetřovacích pravomocích z roku 2016 rovněž vymezují konkrétní omezení použití těchto pravomocí a stanoví zvláštní záruky.

(198)

Výraz „komunikační údaje“ v rámci určité komunikace zahrnuje „kdo“, „kdy“, „kde“ a „jak“, nikoli však obsah komunikace, tj. co bylo řečeno nebo napsáno. Na rozdíl od odposlechu není získávání a uchovávání komunikačních údajů zaměřeno na získání obsahu komunikace, ale na získání informací, například určení účastníka telefonní služby nebo vyúčtování rozepsaného na jednotlivé položky. Údaje by mohly zahrnovat čas a dobu trvání komunikace, telefonní číslo nebo e-mailovou adresu původce a příjemce a někdy i umístění zařízení, z nichž byla komunikace uskutečněna (313).

(199)

Je třeba upozornit, že uchovávání a získávání komunikačních údajů se obvykle nebude týkat osobních údajů subjektů údajů z EU předávaných podle tohoto rozhodnutí do Spojeného království. Povinnost uchovávat nebo zpřístupňovat komunikační údaje podle částí 3 a 4 zákona o vyšetřovacích pravomocích z roku 2016 zahrnuje údaje, které shromažďují provozovatelé telekomunikačních služeb ve Spojeném království přímo od uživatelů telekomunikační služby (314). Tento druh zpracování „v přímém vztahu k zákazníkovi“ obvykle nezahrnuje předání na základě tohoto rozhodnutí, tj. předání správcem/zpracovatelem v EU správci/zpracovateli ve Spojeném království.

(200)

Pro úplnost jsou však v následujících bodech odůvodnění analyzovány podmínky a záruky, kterými se tyto režimy získávání a uchovávání řídí.

(201)

Jako základní premisu je třeba uvést, že uchovávání a cílené získávání komunikačních údajů mohou využít jak národní bezpečnostní služby, tak některé donucovací orgány (315). Podmínky požadavku na uchovávání a/nebo získávání komunikačních údajů se mohou lišit v závislosti na důvodu pro požadování daného opatření, konkrétně na účelu týkajícího se národní bezpečnosti nebo vymáhání práva.

(202)

Zejména, zatímco nový režim zavedl obecný požadavek předem vydaného povolení nezávislého orgánu, který se použije ve všech případech, v nichž jsou uchovávány a/nebo získávány komunikační údaje (buď pro účely vymáhání práva, nebo pro účely národní bezpečnosti), v návaznosti na rozsudek Evropského soudního dvora ve věci Tele2/Watson (316) byly zavedeny zvláštní záruky v případech, v nichž je opatření požadováno pro účely vymáhání práva. Zejména, je-li uchování nebo získání komunikačních údajů požadováno pro účely vymáhání práva, musí předem vydané povolení vždy vystavit komisař pro kontrolu vyšetřovacích pravomocí. Není tomu tak vždy, pokud je opatření požadováno z důvodu národní bezpečnosti, neboť v určitých případech může být takový druh opatření povolen jinou „schvalující osobou“, jak je popsáno níže. Nový režim kromě toho zvýšil prahovou hodnotu, u níž lze povolit uchovávání a získávání komunikačních údajů, na „závažné trestné činy“ (317).

(203)

Podle části 3 zákona o vyšetřovacích pravomocích z roku 2016 jsou příslušné orgány veřejné moci oprávněny získávat komunikační údaje od poskytovatele telekomunikačních služeb nebo kterékoli osoby, která může takové údaje získat a zpřístupnit. Povolení nemusí umožňovat odposlech obsahu komunikace (318) a pozbývá účinnosti po uplynutí jednoho měsíce (319) s možností prodloužení, bude-li vydáno další povolení (320). Získání komunikačních údajů vyžaduje povolení komisaře pro kontrolu vyšetřovacích pravomocí (321) (status a pravomoci komisaře pro kontrolu vyšetřovacích pravomocí viz 250. až 251. bod odůvodnění níže). Je tomu tak ve všech případech, kdy o získání komunikačních údajů žádá příslušný donucovací orgán. Avšak jsou-li údaje získány v zájmu národní bezpečnosti nebo hospodářského blahobytu Spojeného království, pokud je to důležité pro národní bezpečnost nebo pokud žádost podá člen zpravodajské služby podle čl. 61 odst. 7 písm. b) (322), může podle článku 61 zákona o vyšetřovacích pravomocích z roku 2016 získání alternativně (323) povolit komisař pro kontrolu vyšetřovacích pravomocí nebo určený vyšší úředník (324). Určený úředník musí být nezávislý na dotčeném vyšetřování nebo dotčené operaci a musí mít pracovní znalost zásad a právních předpisech v oblasti lidských práv, zejména zásad nezbytnosti a přiměřenosti (325). Rozhodnutí určeného úředníka bude podléhat následnému dohledu ze strany komisaře pro kontrolu vyšetřovacích pravomocí (další podrobnosti o funkcích následného dohledu komisaře pro kontrolu vyšetřovacích pravomocí viz 254. bod odůvodnění níže).

(204)

Povolení k získání komunikačních údajů je založeno na posouzení nezbytnosti a přiměřenosti opatření. Přesněji řečeno, nezbytnost opatření se posuzuje s ohledem na důvody vyjmenované v právních předpisech (326). S ohledem na cílenou povahu tohoto opatření musí být opatření také nezbytné pro konkrétní vyšetřování nebo operaci (327). Další požadavky na posouzení nezbytnosti opatření jsou stanoveny v kodexu zásad pro komunikační údaje (328). Tento kodex zejména stanoví, že návrh podaný dožadujícím orgánem by měl identifikovat tři minimální prvky odůvodňující jeho nezbytnost: i) vyšetřovanou událost, jako je trestný čin nebo místo, kde se nachází zranitelná pohřešovaná osoba; ii) osobu, jejíž údaje jsou požadovány, například podezřelého, svědka nebo pohřešované osoby, a způsob, jakým je osoba s událostí spojena, a iii) požadovaná komunikační data, jako je telefonní číslo nebo IP adresa, a vztah těchto údajů k dané osobě a události (329).

(205)

Získání komunikačních údajů by navíc mělo být přiměřené cíli, kterého má být dosaženo (330). Kodex zásad pro komunikační údaje objasňuje, že při provádění takového posouzení by měl schvalující jednotlivec posoudit vyvážení „míry zásahu do práv a svobod jednotlivce vůči konkrétnímu prospěchu pro vyšetřování nebo operaci prováděnou příslušným orgánem veřejné moci ve veřejném zájmu“ a uvážit, že při zohlednění všech aspektů konkrétního případu „nemusí být zásah do práv jednotlivce přesto odůvodněn, neboť nepříznivý dopad na práva jiného jednotlivce nebo skupiny jednotlivců je příliš závažný“. Za účelem konkrétního posouzení přiměřenosti opatření kodex vyjmenovává řadu prvků, které by měl obsahovat návrh podaný dožadujícím orgánem (331). Dále je třeba věnovat zvláštní pozornost druhu komunikačních údajů (údaje týkající se „subjektu“ nebo „událostí“ (332)), které mají být získány, a musí být upřednostněno použití méně rušivé kategorie údajů (333). Kodex zásad pro komunikační údaje také obsahuje konkrétní pokyny pro povolení týkající se komunikačních údajů osob v určitých profesích (například lékařů, advokátů, novinářů, poslanců nebo kněží) (334), na které se vztahují další záruky (335).

(206)

Část 4 zákona o vyšetřovacích pravomocích z roku 2016 stanoví pravidla pro uchovávání komunikačních údajů, a zejména kritéria umožňující ministrovi vydat výzvu k uchovávání údajů (336). Záruky zavedené zákonem o vyšetřovacích pravomocích jsou stejné, pokud jsou údaje uchovávány buď pro účely vymáhání práva, nebo v zájmu národní bezpečnosti.

(207)

Vydání těchto výzev k uchovávání údajů má zajistit, aby provozovatelé telekomunikačních služeb po dobu maximálně 12 měsíců uchovávali relevantní komunikační údaje, které by jinak byly vymazány, jakmile již nebudou pro obchodní účely zapotřebí (337). Uchované údaje mají zůstat k dispozici po požadovanou dobu pro případ, že by bylo následně nezbytné, aby je orgán veřejné moci získal na základě povolení k cílenému získání komunikačních údajů podle části 3 zákona o vyšetřovacích pravomocích z roku 2016 a popisu ve 203. až 205. bodě odůvodnění.

(208)

Výkon pravomoci vyžadovat uchovávání určitých údajů podléhá řadě omezení a záruk. Ministr může výzvu k uchovávání údajů jednomu nebo více provozovatelům (338) vydat pouze v případě, že má za to, že požadavek na uchování údajů je nezbytný pro jeden ze zákonných účelů (339) a je přiměřený cíli, kterého má být dosaženo (340). Jak je objasněno v samotném zákoně o vyšetřovacích pravomocích z roku 2016 (341), ministr musí před vydáním výzvy k uchovávání údajů zohlednit: pravděpodobné přínosy výzvy (342); popis telekomunikačních služeb; vhodnost omezení údajů, které mají být uchovávány, s odkazem na místo nebo popisy osob, kterým jsou poskytovány telekomunikační služby (343); pravděpodobný počet uživatelů (je-li znám) jakékoli telekomunikační služby, které se výzva týká (344); technickou proveditelnost vyhovění výzvě; pravděpodobné náklady na vyhovění výzvě a jakýkoli jiný vliv výzvy na poskytovatele telekomunikačních služeb (nebo popis poskytovatelů), kterého se týká (345). Jak je dále upřesněno v kapitole 17 kodexu zásad pro komunikační údaje, všechny výzvy k uchovávání údajů musí specifikovat každý druh údajů, který má být uchováván, a to, jak daný druh údajů splňuje nezbytné testy pro uchování.

(209)

Ve všech případech (pro účely národní bezpečnosti i pro účely vymáhání práva) musí rozhodnutí ministra vydat výzvu k uchovávání údajů schválit nezávislý soudní komisař v rámci tzv. postupu dvojitého zámku, a tento komisař musí zejména přezkoumat, zda je výzva k uchovávání příslušných komunikačních údajů nezbytná a přiměřená pro jeden nebo více zákonných účelů (346).

(210)

Vzdálený síťový přístup k zařízení je soubor technik používaných k získávání různých údajů ze zařízení (347), která zahrnují počítače, tablety a chytré telefony, jakož i kabely, vodiče a paměťová zařízení (348). Vzdálený síťový přístup k zařízení umožňuje získat jak obsah komunikace, tak údaje týkající se zařízení (349).

(211)

V souladu s čl. 13 odst. 1 zákona o vyšetřovacích pravomocích z roku 2016 vyžaduje použití vzdáleného síťového přístupu k zařízení zpravodajskou službou povolení formou příkazu podle postupu „dvojitého zámku“ ve smyslu zákona o vyšetřovacích pravomocích z roku 2016, za předpokladu, že existuje „spojení s Britskými ostrovy“ (350). Podle vysvětlení, která poskytly orgány Spojeného království, by v situacích, kdy jsou údaje předávány z Evropské unie do Spojeného království v rámci působnosti tohoto rozhodnutí, vždy existovalo „spojení s Britskými ostrovy“ a jakýkoli vzdálený síťový přístup k zařízení zahrnující takové údaje by proto podléhal požadavku povinného příkazu podle čl. 13 odst. 1 zákona o vyšetřovacích pravomocích z roku 2016 (351).

(212)

Pravidla týkající se příkazů k cílenému vzdálenému síťovému přístupu k zařízení jsou stanovena v části 5 zákona o vyšetřovacích pravomocích z roku 2016. Podobně jako cílený odposlech se cílený vzdálený síťový přístup k zařízení musí vztahovat ke konkrétnímu „cíli“, který musí být v příkazu vymezen (352). Podrobnosti o tom, jak musí být „cíl“ identifikován, závisí na dané záležitosti a druhu zařízení, do něhož se má přístup uskutečnit. Zejména čl. 115 odst. 3 zákona o vyšetřovacích pravomocích specifikuje prvky, které by měly být v příkazu obsaženy (např. jméno osoby nebo organizace, popis místa), v závislosti například na tom, zda se přístup týká zařízení, které náleží určité osobě nebo organizaci nebo skupině osob, používá je určitá osoba nebo organizace nebo skupina osob nebo je zařízení v držení určité osoby nebo organizace nebo skupiny osob, nachází se na konkrétním místě atd. (353) Účely, pro které lze vydat příkazy k cílenému vzdálenému síťovému přístupu k zařízení, závisí na orgánu veřejné moci, který vydá návrh na vydání příkazu (354).

(213)

Obdobně jako u cíleného odposlechu musí vydávající orgán zvážit, zda je opatření nezbytné k dosažení konkrétního účelu a zda je přiměřené cíli, kterého má být dosaženo (355). Kromě toho by měl rovněž zvážit, zda existují záruky, pokud jde o zabezpečení, uchovávání a zpřístupňování, jakož i pokud jde o „zahraniční zpřístupnění“ (356)(viz 196. bod odůvodnění).

(214)

Pokud se nejedná o naléhavý případ, musí příkaz schválit soudní komisař (357). Pokud jde o naléhavý případ, musí být soudní komisař o vydání příkazu informován a musí jej schválit do tří pracovních dnů. Pokud soudní komisař odmítne příkaz schválit, pozbude příkaz účinnosti a nesmí být obnoven (358). Soudní komisař má také pravomoc vyžadovat, aby byly jakékoli údaje získané na základě příkazu vymazány (359). Skutečnost, že byl zatykač vydán za naléhavých okolností, nemá vliv na následný dohled (viz 244. až 255. bod odůvodnění), ani na možnosti jednotlivců požadovat nápravu (viz 260. až 270. bod odůvodnění). Jednotlivci mohou obvyklým způsobem podat stížnost u Úřadu komisaře pro informace nebo uplatnit nárok týkající se jakéhokoli údajného jednání u tribunálu pro kontrolu vyšetřovacích pravomocí. Ve všech případech soudní komisař při rozhodování o schválení či neschválení příkazu použije test nezbytnosti a přiměřenosti použitelný na žádosti o cílené odposlechy (360) (viz 192. bod odůvodnění výše).

(215)

A konečně se také na vzdálený síťový přístup k zařízení vztahují zvláštní záruky použitelné na cílené odposlechy, pokud jde o dobu platnosti, prodloužení a úpravu příkazu, jakož i o odposlech poslanců parlamentu Spojeného království, záležitostí podléhajících povinnosti mlčenlivosti a novinářských materiálů (další podrobnosti viz 193. bod odůvodnění).

(216)

Hromadné pravomoci upravuje část 6 zákona o vyšetřovacích pravomocích z roku 2016. Další podrobnosti týkající se použití hromadných pravomocí stanoví i kodexy zásad. Ačkoli v právu Spojeného království neexistuje definice „hromadné pravomoci“, v kontextu zákona o vyšetřovacích pravomocích z roku 2016 byla popsána jako shromažďování a uchovávání velkého množství údajů získaných vládou různými prostředky (tj. pravomoci hromadného odposlechu, hromadného získávání, hromadného vzdáleného síťového přístupu k zařízení a hromadných souborů osobních údajů), k nimž mohou mít následně orgány přístup. Tento popis je objasněn srovnáním s tím, co „hromadná pravomoc“ není: nerovná se „plošnému sledování“ bez omezení nebo záruk. Naopak, jak je vysvětleno níže, zahrnuje omezení a záruky, jejichž cílem je zajistit, aby přístup k údajům nebyl poskytován nerozlišujícím nebo neodůvodněným způsobem (361). Hromadné pravomoci lze použít pouze zejména v případě, že je stanoveno spojení mezi technickým opatřením, které národní zpravodajská služba hodlá použít, a operačním cílem, pro který je takové opatření požadováno.

(217)

Hromadné pravomoci jsou navíc k dispozici pouze zpravodajským službám a vždy vyžadují příkaz vydaný ministrem zahraničí a schválený soudním komisařem. Při volbě prostředků pro shromažďování zpravodajských informací je třeba zvážit, zda lze dotyčného cíle dosáhnout „méně rušivými prostředky“ (362). Tento přístup vyplývá z rámce právních předpisů, který se opírá o zásadu přiměřenosti, a proto upřednostňuje cílené shromažďování před hromadným.

(218)

Režim pro hromadný odposlech je uveden v kapitole 1 části 6 zákona o vyšetřovacích pravomocích z roku 2016, zatímco kapitola 3 téže části upravuje hromadný vzdálený síťový přístup k zařízení. Tyto režimy jsou v podstatě stejné, podmínky a další záruky použitelné na tyto příkazy jsou tudíž analyzovány společně.

(219)

Příkaz k hromadnému odposlechu se omezuje na odposlech komunikace v průběhu přenosu této komunikace odesílané nebo přijímané osobami mimo Britské ostrovy (363), tzv. komunikace související se zahraničím (364), jakož i další související údaje a následný výběr zachyceného materiálu pro šetření (365). Příkaz k hromadnému vzdálenému síťovému přístupu k zařízení (366) opravňuje adresáta k zajištění přístupu do jakéhokoli zařízení za účelem získání komunikací souvisejících se zahraničím (včetně čehokoli, co zahrnuje řeč, hudbu, zvuky, vizuální obrazy nebo data jakéhokoli popisu), údajů o zařízení (údajů, které umožňují nebo usnadňují fungování poštovní služby; telekomunikačního systému; telekomunikační služby) nebo jakékoli jiné informace (367).

(220)

Ministr může vydat hromadný příkaz pouze na návrh podaný ředitelem zpravodajské služby (368). Příkaz povolující hromadný odposlech nebo vzdálený síťový přístup k zařízení musí být vydán pouze v případě, že je to nezbytné v zájmu národní bezpečnosti a pro další účel prevence nebo odhalování závažné trestné činnosti nebo v zájmu hospodářského blahobytu Spojeného království, pokud je tento zájem významný pro národní bezpečnost (369). Kromě toho čl. 142 odst. 7 zákona o vyšetřovacích pravomocích z roku 2016 vyžaduje, aby byl příkaz k hromadnému odposlechu specifikován podrobněji než pouhým odkazem na „zájmy národní bezpečnosti“, „hospodářský blahobyt Spojeného království“ a „předcházení závažné trestné činnosti a její potírání“, ale aby byla stanovena spojitost mezi požadovaným opatřením a jedním nebo více operativními účely, které musí být v příkazu uvedeny.

(221)

Volba operativního účelu je výsledkem vícevrstvého procesu. Ustanovení čl. 142 odst. 4 stanoví, že operativní účely uvedené v příkazu musí být upřesněny v seznamu vedeném vedoucími představiteli zpravodajských služeb jakožto účely, které považují za operativní účely, pro které mohou být zachycený obsah nebo sekundární údaje získané na základě příkazů k hromadnému odposlechu vybrány k šetření. Seznam operativních účelů musí schválit ministr. Ministr může takový souhlas udělit pouze za předpokladu, že je přesvědčen, že operativní účel je specifikován podrobněji než obecné důvody pro povolení příkazu (národní bezpečnost nebo národní bezpečnost a hospodářský blahobyt nebo prevence závažné trestné činnosti) (370). Na konci každého příslušného tříměsíčního období musí ministr předat kopii seznamu operativních účelů parlamentnímu výboru pro zpravodajské služby a bezpečnost. A konečně také musí seznam operativních účelů alespoň jednou ročně přezkoumat předseda vlády (371). Jak uvedl Vrchní soud, „[t]ato opatření nelze považovat za nevýznamné záruky, protože společně vytvářejí složitý soubor režimů odpovědnosti, do nichž je zapojen Parlament Spojeného království i členové vlády na nejvyšší úrovni“ (372).

(222)

Tyto operativní účely také omezují rozsah výběru zachyceného materiálu pro fázi šetření. Výběr jakéhokoli materiálu shromážděného v rámci příkazu k hromadnému odposlechu k šetření musí být odůvodněn s ohledem na operativní účel(y). Jak vysvětlily orgány Spojeného království, znamená to, že ministr musí posoudit praktický režim šetření již ve fázi vydávání příkazu a musí být uvedeny dostatečné podrobnosti ke splnění zákonných povinností podle článků 152 a 193 zákona o vyšetřovacích pravomocích z roku 2016 (373). Podrobnosti poskytnuté ministrovi v souvislosti s těmito režimy by musely zahrnovat například (případné) informace o tom, jak se mohou měnit režimy filtrování v době účinnosti příkazu (374). Další podrobnosti o postupu a zárukách použitých pro fáze filtrování a šetření viz 229. bod odůvodnění níže.

(223)

Hromadnou pravomoc lze povolit, pouze pokud je přiměřená cíli, kterého má být dosaženo (375). Jak je stanoveno v kodexu zásad pro odposlech, každé posouzení přiměřenosti zahrnuje „vyvážení závažnosti zásahu do soukromí (a dalších aspektů uvedených v čl. 2 odst. 2) vůči nezbytnosti dané činnosti z hlediska vyšetřovacího, operativního nebo kapacitního. Povolené jednání by mělo nabízet reálnou vyhlídku na dosažení očekávaného přínosu a nemělo by být nepřiměřené nebo svévolné“ (376). Jak již bylo zmíněno, v praxi to znamená, že test přiměřenosti je založen na testu rovnováhy mezi tím, čeho má být dosaženo („operativní účel(y)“), a dostupnými technickými možnostmi (např. cílené nebo hromadné odposlechy, vzdálený síťový přístup k zařízení, získávání komunikačních údajů), přičemž se upřednostňují nejméně rušivé prostředky (viz 181. a 182. bod odůvodnění výše). Pokud je pro daný cíl vhodné více než jedno opatření, musí být upřednostněny méně rušivé prostředky.

(224)

Dodatečná záruka při posuzování přiměřenosti požadovaného opatření je zajištěna tím, že ministr musí obdržet příslušné informace potřebné k řádnému provedení jeho posouzení. Kodex zásad pro odposlech a kodex zásad pro vzdálený síťový přístup k zařízení zejména vyžadují, aby návrh podaný příslušným orgánem uváděl souvislosti žádosti, popis komunikace, která má být odposlouchávána, a poskytovatele telekomunikačních služeb, kteří mají být nápomocni, popis jednání, které má být povoleno, operativní účely a vysvětlení, proč je dané jednání nezbytné a přiměřené (377).

(225)

A v neposlední řadě je důležité, že rozhodnutí ministra vydat příkaz musí být schváleno nezávislým soudním komisařem, který posoudí hodnocení nezbytnosti a přiměřenosti navrhovaného opatření, a to za použití stejných zásad, jaké by použil soud u návrhu na soudní přezkum (378). Konkrétně soudní komisař přezkoumá závěry ministra z hlediska toho, zda je příkaz nezbytný a zda je jednání přiměřené z hlediska zásad stanovených v čl. 2 odst. 2 zákona o vyšetřovacích pravomocích z roku 2016 (obecné povinnosti týkající se soukromí). Soudní komisař rovněž přezkoumá závěry ministra, pokud jde o to, zda je každý z operativních účelů uvedených v příkazu účelem, který vyžaduje nebo může vyžadovat výběr. Pokud soudní komisař odmítne schválit rozhodnutí o vydání příkazu, může ministr buď: i) rozhodnutí přijmout, a tudíž nevydat příkaz, nebo ii) postoupit věc komisaři pro kontrolu vyšetřovacích pravomocí k rozhodnutí (pokud původní rozhodnutí nepřijal komisař pro kontrolu vyšetřovacích pravomocí) (379).

(226)

Zákon o vyšetřovacích pravomocích z roku 2016 zavedl další omezení doby platnosti, prodloužení a úpravy hromadného příkazu. Doba platnosti příkazu nesmí přesáhnout šest měsíců a jakékoli rozhodnutí o prodloužení nebo úpravě příkazu (s výjimkou nepodstatných úprav) musí rovněž schválit soudní komisař (380). Kodex zásad pro odposlech a kodex zásad pro vzdálený síťový přístup k zařízení specifikovaly, že změna operativních účelů příkazu se považuje za podstatnou změnu příkazu (381).

(227)

Obdobně tomu, co je stanoveno pro cílené odposlechy, stanoví část 6 zákona o vyšetřovacích pravomocích z roku 2016, že ministr musí zajistit, aby byla v platnosti opatření zajišťující záruky uchovávání a zpřístupňování materiálu získaného na základě příkazu (382), jakož i pro zahraniční zpřístupnění (383). Ustanovení čl. 150 odst. 5 a čl. 191 odst. 5 zákona o vyšetřovacích pravomocích z roku 2016 vyžadují zejména , aby každá kopie kteréhokoli z těchto materiálů shromážděných na základě příkazu byla uložena bezpečně a byla zničena, jakmile již nebudou existovat žádné podstatné důvody pro její uchovávání, zatímco ustanovení čl. 150 odst. 2 a čl. 191 odst. 2 vyžadují, aby počet osob, kterým je materiál zpřístupněn, a rozsah, v jakém je jakýkoli materiál zveřejněn, zpřístupněn, zpřístupňován nebo kopírován, byl omezen na minimum, které je pro zákonné účely nezbytné (384).

(228)

A konečně, pokud má být materiál, který byl zachycen prostřednictvím hromadného odposlechu nebo hromadného vzdáleného síťového přístupu k zařízení, předán třetí zemi („zahraniční zpřístupnění“), zákon o vyšetřovacích pravomocích z roku 2016 stanoví, že ministr se musí ujistit, že existuje zvláštní vhodný režim, který zaručí, že v této třetí zemi budou existovat obdobné záruky zabezpečení, uchovávání a zpřístupňování (385). Kromě toho článek 109 zákona o ochraně údajů z roku 2018 stanoví zvláštní požadavky na mezinárodní předávání osobních údajů zpravodajskými službami třetím zemím nebo mezinárodním organizacím a nepovoluje předávat osobní údaje do země nebo na území mimo Spojené království nebo mezinárodní organizaci, pokud není předání nezbytné a přiměřené pro účely zákonných funkcí správce nebo pro jiné účely stanovené v čl. 2 odst. 2 písm. a) zákona o Bezpečnostní službě z roku 1989 nebo v čl. 2 odst. 2 písm. a) a čl. 4 odst. 2 písm. a) zákona o zpravodajských službách z roku 1994 (386). Důležité je, že tyto požadavky se použijí i v případech, v nichž je uplatněna výjimka z důvodu národní bezpečnosti podle článku 110 zákona o ochraně údajů z roku 2018, neboť článek 110 zákona o ochraně údajů z roku 2018 neuvádí článek 109 zákona o ochraně údajů z roku 2018 jako jedno z ustanovení, které se nemusí použít, pokud je pro účely ochrany národní bezpečnosti nutná výjimka z určitých ustanovení.

(229)

Jakmile je příkaz schválen a údaje hromadně získány, budou údaje před prozkoumáním podrobeny výběru. Fáze výběru a šetření podléhá dalšímu testu přiměřenosti provedenému analytikem, který na základě operativních účelů uvedených v příkazu (a potenciálně existujících režimů filtrování) vymezí kritéria výběru. Jak stanoví články 152 a 193 zákona o vyšetřovacích pravomocích, ministr se musí při vydání příkazu ujistit, že existuje zvláštní vhodný režim, který zaručí, že výběr materiálu bude proveden pouze pro stanovené operativní účely a že bude za všech okolností nezbytný a přiměřený. V tomto ohledu orgány Spojeného království objasnily, že hromadně zachycený materiál se vybírá především automatizovaným filtrováním, které má vyřadit údaje, u nichž není pravděpodobné, že by měly význam z hlediska národní bezpečnosti. Filtry se budou dle potřeby lišit (podle průběžných změn vzorců, druhů a protokolů internetového provozu) a budou záviset na technologii a operativních souvislostech. Po této fázi lze údaje vybrat k šetření, pouze pokud jsou důležité pro operativní účely uvedené v příkazu (387). Záruky stanovené zákonem o vyšetřovacích pravomocích z roku 2016 pro šetření shromážděného materiálu se použijí pro jakýkoli druh údajů (odposlechnutý obsah i sekundární údaje) (388). Články 152 a 193 zákona o vyšetřovacích pravomocích z roku 2016 rovněž stanoví obecný zákaz vybírat k šetření materiál, který se týká rozhovorů zaslaných jednotlivci nebo určených jednotlivcům, kteří se nacházejí na Britských ostrovech. Pokud orgány chtějí takový materiál prozkoumat, podají žádost o vydání příkazu k cílenému šetření podle části 2 a části 4 zákona o vyšetřovacích pravomocích z roku 2016, který vydá ministr a schválí soudní komisař (389). Pokud určitá osoba záměrně vybere zachycený obsah k šetření v rozporu s požadavky stanovenými v právních předpisech (390), dopustí se trestného činu (391).

(230)

Posouzení provedené analytikem při výběru materiálu podléhá následnému dohledu komisaře pro kontrolu vyšetřovacích pravomocí, který hodnotí dodržování konkrétních záruk stanovených v zákoně o vyšetřovacích pravomocích z roku 2016 pro fázi šetření (392) (viz také 229. bod odůvodnění). Komisař pro kontrolu vyšetřovacích pravomocí musí průběžně kontrolovat (mimo jiné prostřednictvím auditu, inspekce a vyšetřování), jak orgány veřejné moci vykonávají vyšetřovací pravomoci uvedené v zákoně o vyšetřovacích pravomocích z roku 2016 (393). V tomto ohledu kodex zásad pro odposlech a kodex zásad pro vzdálený síťový přístup k zařízení objasňují, že služba musí vést záznamy pro účely následných šetření a auditů a tyto záznamy musí uvádět, proč je přístup oprávněných osob k materiálu nezbytný a přiměřený, a příslušné operativní účely (394). Například ve své výroční zprávě za rok 2018 dospěl Úřad komisaře pro kontrolu vyšetřovacích pravomocí (395) k závěru, že odůvodnění zaznamenaná analytiky pro šetření určitého materiálu shromážděného hromadně splňují požadovanou normu přiměřenosti, neboť uvádějí dostatečné podrobnosti o důvodech jejich „šetření“ ve vztahu k účelu, kterého má být dosaženo (396). Pokud jde o hromadné pravomoci, Úřad komisaře pro kontrolu vyšetřovacích pravomocí ve své zprávě za rok 2019 jasně deklaroval svůj záměr pokračovat v kontrolách hromadného odposlechu, včetně podrobného zkoumání selektorů a kritérií vyhledávání (397). Rovněž bude i nadále pečlivě a případ od případu zkoumat výběr opatření v oblasti sledování (cílené versus plošné), a to jak během posuzování návrhů na vydání příkazu v rámci postupu dvojitého zámku, tak při inspekcích (398). Toto další monitorování bude náležitě zohledněno v rámci sledování tohoto rozhodnutí Komisí podle 281.–284. bodu odůvodnění.

(231)

Kapitola 2 části 6 zákona o ochraně údajů z roku 2016 upravuje příkazy k hromadnému získávání údajů, které adresáta opravňují požadovat, aby provozovatel telekomunikační služby sdělil nebo získal jakékoli komunikační údaje, které má v držení. Tyto příkazy rovněž opravňují dožadující orgán k výběru údajů pro další fázi šetření. Stejně jako cílené uchovávání a získávání komunikačních údajů (viz 199. bod odůvodnění) se ani hromadné získávání komunikačních údajů obvykle nedotýká osobních údajů subjektů údajů z EU předávaných podle tohoto rozhodnutí do Spojeného království. Povinnost zpřístupňovat komunikační údaje podle kapitoly 2 části 6 zákona o vyšetřovacích pravomocích z roku 2016 zahrnuje údaje, které shromažďují provozovatelé telekomunikačních služeb ve Spojeném království přímo od uživatelů telekomunikační služby (399). Tento druh zpracování „v přímém vztahu k zákazníkovi“ obvykle nezahrnuje předání na základě tohoto rozhodnutí, tj. předání správcem/zpracovatelem v EU správci/zpracovateli ve Spojeném království.

(232)

Pro úplnost jsou však níže popsány podmínky a záruky, kterými se získávání hromadných komunikačních údajů řídí.

(233)

Zákon o vyšetřovacích pravomocích z roku 2016 nahrazuje právní předpisy týkající se získávání hromadných komunikačních údajů, kterých se týkal rozsudek SDEU ve věci Privacy International. Právní předpisy projednávané v uvedeném případu byly zrušeny a nový režim stanoví konkrétní podmínky a záruky, za nichž lze takové opatření povolit.

(234)

Na rozdíl od předchozího režimu, kdy měl ministr při schvalování opatření plnou možnost volného uvážení (400), zákon o vyšetřovacích pravomocích z roku 2016 požaduje, aby ministr vydal příkaz, pouze pokud je opatření nezbytné a přiměřené. V praxi to znamená, že by měla existovat souvislost mezi přístupem k údajům a sledovaným cílem (401). Přesněji řečeno, ministr bude muset posoudit existenci souvislosti mezi požadovaným opatřením a jedním nebo více „operativními účely“ uvedenými v příkazu (viz 219. bod odůvodnění). Pokud jde o posouzení přiměřenosti, příslušný kodex zásad stanoví, že „ministr musí vzít v úvahu, zda by bylo možné cíle, kterého má být příkazem dosaženo, rozumně dosáhnout jinými, méně rušivými prostředky (čl. 2 odst. 2 písm. a) zákona). Například získat požadované údaje na základě méně rušivé pravomoci, například cíleným získáváním komunikačních údajů“ (402).

(235)

Při provádění tohoto posouzení se ministr bude opírat o informace, které jsou povinni vedoucí představitelé zpravodajských služeb (403) ve svém návrhu uvádět, například důvody, proč je opatření považováno za nezbytné z jednoho ze zákonných důvodů, a důvody, proč nebylo možné cíle, kterého má být příkazem dosaženo, rozumně dosáhnout jinými, méně rušivými prostředky (404). Kromě toho operativní účely omezují rozsah, pro který lze údaje získané na základě příkazu vybrat k šetření (405). Jak je uvedeno v příslušném kodexu zásad, operativní účely musí popisovat jasný požadavek a musí obsahovat podrobnosti dostatečné k tomu, aby byl ministr přesvědčen, že získané údaje lze vybrat k šetření pouze ze specifických důvodů (406). Ministr se bude muset před schválením příkazu ujistit, že existuje zvláštní vhodný režim, který zaručí, že bude k šetření vybrán pouze materiál, který je pro operativní a zákonem stanovené účely považován pro šetření za nezbytný a který by měl být za všech okolností přiměřený a nezbytný. Tento specifický požadavek, který se odráží v článcích 158 a 172 (407) zákona o vyšetřovacích pravomocích z roku 2016, pokud jde o předchozí posouzení nezbytnosti a přiměřenosti kritérií použitých pro účely výběru, představuje další důležitou novinku režimu zavedeného zákonem o vyšetřovacích pravomocích z roku 2016 ve srovnání s režimem, který existoval dříve.

(236)

Zákon o vyšetřovacích pravomocích z roku 2016 rovněž zavedl povinnost ministra zajistit, aby před vydáním příkazu k hromadnému získávání komunikačních údajů byla zavedena zvláštní omezení týkající se zabezpečení, uchovávání a zpřístupňování shromážděných osobních údajů (408). V případě zahraničních zpřístupnění se pro hromadné odposlechy a hromadný vzdálený síťový přístup k zařízení v této souvislosti použijí také záruky popsané ve 227. bodě odůvodnění (409). Další omezení jsou stanovena v právních předpisech týkajících se doby platnosti (410), prodloužení (411) a úpravy hromadných příkazů (412).

(237)

Důležité je, že stejně jako u ostatních hromadných pravomocí musí ministr před vydáním příkazu získat souhlas soudního komisaře (413). Jedná se o klíčový prvek režimu zavedeného zákonem o vyšetřovacích pravomocích z roku 2016.

(238)

Komisař pro kontrolu vyšetřovacích pravomocí provádí následný dohled nad postupem šetření hromadně získaného materiálu (komunikačních údajů) (viz 254. bod odůvodnění níže). V tomto ohledu zákon o vyšetřovacích pravomocích z roku 2016 zavedl požadavek, aby zpravodajský analytik provádějící šetření před výběrem údajů k šetření zaznamenal důvod, proč je navrhované šetření nezbytné a přiměřené pro konkrétní operativní účel (414). Ve výroční zprávě Úřadu komisaře pro kontrolu vyšetřovacích pravomocí za rok 2019 bylo s ohledem na praxi GCHQ a MI5 zjištěno, že „kritická úloha hromadných komunikačních údajů ve vztahu k celé řadě činností prováděných GCHQ byla v kontrolovaných případech formulována řádně. Posuzovali jsme povahu požadovaných údajů a stanovené zpravodajské požadavky a dokumentace k naší spokojenosti prokázala, že přístup útvaru byl nezbytný a přiměřený.“ (415). „Odůvodnění zaznamenaná službou MI5 byla na dobré úrovni a splňovala zásady nezbytnosti a přiměřenosti“ (416).

(239)

Příkazy týkající se hromadných souborů osobních údajů (417) povolují zpravodajským službám uchovávat a šetřit soubory údajů, které obsahují osobní údaje týkající se více jednotlivců. Podle vysvětlení, které poskytly orgány Spojeného království, může být analýza těchto datových souborů „jediným způsobem, jak může agentura UKIC pokročit ve vyšetřování a identifikovat teroristy na základě velmi omezených zpravodajských poznatků nebo v případě, že jejich komunikace byla záměrně utajena“ (418). Existují dva typy příkazů: „skupinové příkazy pro hromadné soubory osobních údajů“ (419), které se týkají určité kategorie souborů údajů, tj. souborů údajů, které jsou si svým obsahem a navrhovaným použitím podobné a vzbuzují podobné úvahy například ohledně míry rušivosti a citlivosti a ohledně přiměřenosti použití údajů, a tudíž ministrovi umožňují posoudit nezbytnost a přiměřenost získání všech údajů v příslušné skupině najednou. Skupinový příkaz pro hromadný soubor osobních údajů může zahrnovat například soubory cestovních údajů, které se vztahují k podobným trasám (420). „Specifické příkazy pro hromadné soubory osobních údajů“ (421) se naopak týkají jednoho konkrétního souboru údajů, například souboru údajů nového nebo neobvyklého druhu, které nespadají do stávajícího skupinového příkazu pro soubor osobních údajů, nebo souboru údajů, který se týká zvláštních druhů osobních údajů (422), a proto vyžaduje dodatečné záruky (423). Ustanovení zákona o vyšetřovacích pravomocích z roku 2016 týkající se hromadných souborů osobních údajů umožňují šetření a uchovávání těchto souborů údajů, pouze pokud je nezbytné a přiměřené (424) a v souladu s obecnými povinnostmi týkajícími se ochrany soukromí (425).

(240)

Pravomoc vydat příkaz pro hromadný soubor osobních údajů podléhá postupu „dvojitého zámku“: posouzení nezbytnosti a přiměřenosti opatření provádí nejprve ministr a poté soudní komisař (426). Ministr je povinen posoudit povahu a rozsah požadovaného druhu příkazu, kategorii dotčených údajů a počet jednotlivých hromadných souborů osobních údajů, které pravděpodobně konkrétní druh příkazu zahrnuje (427). Jak uvádí kodex zásad týkajících se šetření a uchovávání hromadných souborů osobních údajů ve zpravodajských službách, musí být vedeny podrobné záznamy, které podléhají auditu ze strany komisaře pro kontrolu vyšetřovacích pravomocí (428). Uchovávání a šetření hromadných souborů osobních údajů mimo meze stanovené zákonem o vyšetřovacích pravomocích z roku 2016 je trestným činem (429).

(241)

Osobní údaje zpracovávané podle části 4 zákona o ochraně údajů z roku 2018 nesmí být zpracovávány způsobem, který je neslučitelný s účelem, pro který byly údaje shromážděny (430). Zákon o ochraně údajů z roku 2018 stanoví, že správce může zpracovávat údaje k jinému účelu, než je ten, pro který byly údaje shromážděny, pokud je slučitelný s původním účelem, pokud je správce ze zákona oprávněn zpracovávat údaje a pokud je zpracování nezbytné a přiměřené (431). Kromě toho zákon o Bezpečnostní službě z roku 1989 a zákon o zpravodajských službách z roku 1994 upřesňují, že vedoucí představitelé zpravodajských služeb jsou povinni zajistit, aby nebyly získávány ani zveřejňovány žádné informace, pokud to není nezbytné pro řádné plnění funkcí služby nebo pro ostatní omezené a konkrétní účely uvedené v příslušných ustanoveních (432).

(242)

Článek 109 zákona o ochraně údajů z roku 2018 také stanoví zvláštní požadavky na mezinárodní předávání osobních údajů zpravodajskými službami třetím zemím nebo mezinárodním organizacím. Podle tohoto ustanovení není povoleno předávat osobní údaje do země nebo na území mimo Spojené království nebo mezinárodní organizaci, pokud není předání nezbytné a přiměřené pro účely zákonných funkcí správce nebo pro jiné účely stanovené v čl. 2 odst. 2 písm. a) zákona o Bezpečnostní službě z roku 1989 nebo v čl. 2 odst. 2 písm. a) a čl. 4 odst. 2 písm. a) zákona o zpravodajských službách z roku 1994 (433). Důležité je, že tyto požadavky se použijí i v případech, v nichž je uplatněna výjimka z důvodu národní bezpečnosti podle článku 110 zákona o ochraně údajů z roku 2018, neboť článek 110 zákona o ochraně údajů z roku 2018 neuvádí článek 109 zákona o ochraně údajů z roku 2018 jako jedno z ustanovení, které se nemusí použít, pokud je pro účely ochrany národní bezpečnosti nutná výjimka z určitých ustanovení.

(243)

Kromě toho, jak zdůraznil Úřad komisaře pro informace ve svých pokynech ke zpracování osobních údajů zpravodajskými službami, kromě záruk stanovených v části 4 zákona o ochraně údajů z roku 2018 podléhá zpravodajská služba při sdílení údajů se zpravodajským subjektem třetí země také zárukám, jež stanoví jiná legislativní opatření vztahující se na danou službu, aby bylo zajištěno zákonné a zodpovědné získávání, sdílení a nakládání s osobními údaji (434). Například zákon o vyšetřovacích pravomocích z roku 2016 stanoví další záruky v souvislosti s předáváním materiálu shromážděného prostřednictvím cíleného odposlechu (435), cíleného vzdáleného síťového přístupu k zařízení (436), hromadného odposlechu (437), hromadného získávání komunikačních údajů (438) a hromadného vzdáleného síťového přístupu k zařízení (439) (tzv. zahraniční zpřístupnění) do třetí země. Orgán vydávající příkaz musí zejména zajistit, aby byl zaveden režim, který zaručí, že třetí země přijímající údaje omezí počet osob, které budou do materiálu nahlížet, a rozsah zpřístupnění a počet kopií jakéhokoli materiálu na minimum nezbytné pro povolené účely stanovené v zákoně o vyšetřovacích pravomocích z roku 2016 (440).

(244)

Dohled nad přístupem vládních institucí pro účely národní bezpečnosti vykonává řada různých subjektů. Komisař pro informace dohlíží na zpracování osobních údajů podle zákona o ochraně údajů z roku 2018 (další informace o nezávislosti, úloze při jmenování a pravomocích komisaře viz 85. až 98. bod odůvodnění), zatímco nezávislý a soudní dohled nad používáním vyšetřovacích pravomocí podle zákona o vyšetřovacích pravomocích z roku 2016 zajišťuje komisař pro kontrolu vyšetřovacích pravomocí. Komisař pro kontrolu vyšetřovacích pravomocí dohlíží na použití vyšetřovacích pravomocí podle zákona o vyšetřovacích pravomocích z roku 2016 ze strany donucovacích i vnitrostátních bezpečnostních orgánů. Politický dohled zaručuje Výbor parlamentu Spojeného království pro zpravodajské služby.

(245)

Na zpracování osobních údajů prováděné zpravodajskými službami podle části 4 zákona o ochraně údajů z roku 2018 dohlíží komisař pro informace (441).

(246)

Obecné funkce komisaře pro informace v souvislosti se zpracováním osobních údajů zpravodajskými službami podle části 4 zákona o ochraně údajů z roku 2018 jsou stanoveny v příloze 13 zákona o ochraně údajů z roku 2018. K těmto úkolům mimo jiné patří monitorování a prosazování části 4 zákona o ochraně údajů z roku 2018, zvyšování povědomí veřejnosti, poskytování doporučení parlamentu Spojeného království, vládě a dalším institucím ohledně legislativních a správních opatření, zvyšování povědomí správců a zpracovatelů o jejich povinnostech, poskytování informací subjektu údajů ohledně výkonu práv subjektu údajů, vedení vyšetřování atd.

(247)

Komisař má podle části 3 zákona o ochraně údajů z roku 2018 pravomoc upozorňovat správce na údajné porušení předpisů a vydávat napomenutí, že zpracování pravděpodobně porušuje pravidla, a uděluje výtky, pokud je porušení předpisů potvrzeno. Může také vydávat oznámení o vymáhání a sankci za porušení určitých ustanovení zákona (442). Na rozdíl od postupu podle jiných částí zákona o ochraně údajů z roku 2018 však komisař nemůže vydat oznámení o posouzení vůči vnitrostátnímu bezpečnostnímu orgánu (443).

(248)

Kromě toho článek 110 zákona o ochraně údajů z roku 2018 stanoví výjimku z použití určitých pravomocí komisaře, pokud je to nutné pro účely zajištění národní bezpečnosti. To zahrnuje pravomoc komisaře vydávat (jakýkoli druh) oznámení podle zákona o ochraně údajů (výzvu k podání informací, oznámení o posouzení, vymáhání a o sankci), pravomoc provádět inspekce v souladu s mezinárodními závazky, pravomoci vstupu a inspekce a pravidla pro trestné činy (444). Jak je vysvětleno ve 126. bodě odůvodnění, tyto výjimky se použijí, pouze pokud je to v konkrétním jednotlivém případě nutné a přiměřené.

(249)

Úřad komisaře pro informace a britské zpravodajské služby podepsaly memorandum o porozumění (445), které stanoví rámec spolupráce v řadě otázek, včetně oznámení o porušení zabezpečení údajů a vyřizování stížností subjektů údajů. Memorandum zejména stanoví, že po obdržení stížnosti Úřad komisaře pro informace posoudí, zda byla jakákoli výjimka z důvodu národní bezpečnosti použita řádně. Odpovědi na dotazy Úřadu komisaře pro informace v souvislosti s šetřením jednotlivých stížností musí dotčená zpravodajská služba poskytnout do 20 pracovních dnů, a to pomocí vhodných zabezpečených kanálů, pokud se jedná o utajované informace. Od dubna 2018 do dnešního dne obdržel Úřad komisaře pro informace 21 stížností od jednotlivců týkajících se zpravodajských služeb. Každá stížnost byla posouzena a výstup byl sdělen subjektu údajů (446).

(250)

Podle části 8 zákona o vyšetřovacích pravomocích z roku 2016 vykonává dohled nad využíváním vyšetřovacích pravomocí komisař pro kontrolu vyšetřovacích pravomocí. Komisaři pro kontrolu vyšetřovacích pravomocí jsou nápomocni další soudní komisaři, kteří se souhrnně označují jako soudní komisaři (447). Zákon o vyšetřovacích pravomocích z roku 2016 stanoví záruky, které chrání nezávislost soudních komisařů. Od soudních komisařů se vyžaduje, aby v současnosti nebo minulosti zastávali vysokou soudní funkci (tj. musí v současnosti nebo v minulosti být členy soudů nejvyššího stupně) (448), a jako každý člen soudnictví mají na vládě nezávislé postavení (449). Podle článku 227 zákona o vyšetřovacích pravomocích z roku 2016 jmenuje komisaře pro kontrolu vyšetřovacích pravomocí předseda vlády, který jmenuje tolik soudních komisařů, kolik považuje za nezbytné. Všichni komisaři, ať už jsou současnými nebo bývalými členy soudnictví, mohou být jmenováni pouze na základě společného doporučení tří nejvyšších soudců pro Anglii a Wales, Skotsko a Severní Irsko a lorda kancléře (450). Ministr musí komisaři pro kontrolu vyšetřovacích pravomocí zajistit personál, prostory, vybavení a další zařízení a služby (451). Funkční období komisařů je tříleté a komisaře lze jmenovat opakovaně (452). První zárukou jejich nezávislosti je skutečnost, že soudní komisaře lze z funkce odvolat pouze za přísných podmínek s vysokou prahovou hranicí: odvolat je může buď předseda vlády za specifických okolností taxativně vyjmenovaných v čl. 228 odst. 5 zákona o vyšetřovacích pravomocích z roku 2016 (např. úpadek nebo trest odnětí svobody), nebo mohou být odvoláni, pokud obě komory Parlamentu Spojeného království přijaly usnesení schvalující toto odvolání (453).

(251)

Komisaři pro kontrolu vyšetřovacích pravomocí a soudním komisařům je při výkonu jejich funkcí nápomocen Úřad komisaře pro kontrolu vyšetřovacích pravomocí. Zaměstnanci Úřadu komisaře pro kontrolu vyšetřovacích pravomocí zahrnují tým inspektorů, interní právní a technické odborníky a technologickou poradní komisi, která poskytuje odborné poradenství. Stejně jako nezávislost jednotlivých soudních komisařů je chráněna i nezávislost Úřadu komisaře pro kontrolu vyšetřovacích pravomocí. Úřad komisaře pro kontrolu vyšetřovacích pravomocí je „nezávislým subjektem“ Ministerstva vnitra, tj. získává finanční prostředky od Ministerstva vnitra, ale své funkce vykonává nezávisle (454).

(252)

Hlavní funkce soudních komisařů jsou stanoveny v článku 229 zákona o vyšetřovacích pravomocích z roku 2016 (455). Soudní komisaři mají zejména rozsáhlou pravomoc předchozího souhlasu, která je součástí záruk zavedených v právním rámci Spojeného království zákonem o vyšetřovacích pravomocích z roku 2016. Příkazy týkající se cíleného odposlechu, vzdáleného síťového přístupu k zařízení, hromadných souborů osobních údajů, hromadného získávání komunikačních údajů i výzvy k uchovávání komunikačních údajů musí být schváleny soudními komisaři (456). Komisař pro kontrolu vyšetřovacích pravomocí musí také vždy předem schválit získání komunikačních údajů pro účely vymáhání práva (457). Pokud komisař odmítne příkaz schválit, může ministr podat opravný prostředek ke komisaři pro kontrolu vyšetřovacích pravomocí, jehož rozhodnutí je konečné.

(253)

Zvláštní zpravodaj OSN pro právo na soukromí důrazně uvítal zřízení funkce soudních komisařů v rámci zákona o vyšetřovacích pravomocích z roku 2016, neboť „všechny citlivější nebo rušivější žádosti o sledování musí schválit jak ministr vlády, tak Úřad komisaře pro kontrolu vyšetřovacích pravomocí“. Zvláště zdůraznil, že „tento prvek soudního přezkumu [prostřednictvím úlohy komisaře pro kontrolu vyšetřovacích pravomocí], kterému je nápomocen tým zkušených inspektorů a technických odborníků s lepšími zdroji, je jednou z nejvýznamnějších nových záruk zavedených zákonem o vyšetřovacích pravomocích“, který nahradil dříve roztříštěný systém orgánů dohledu a doplňuje úlohu výboru Parlamentu Spojeného království pro zpravodajství a bezpečnost Parlamentu a tribunálu pro kontrolu vyšetřovacích pravomocí“ (458).

(254)

Komisař pro kontrolu vyšetřovacích pravomocí je navíc oprávněn provádět následný dohled (mimo jiné prostřednictvím auditu, inspekce a vyšetřování) nad využíváním vyšetřovacích pravomocí podle zákona o vyšetřovacích pravomocích z roku 2016 (459) a nad některými dalšími pravomocemi a funkcemi stanovenými v příslušných právních předpisech (460). Výsledky tohoto následného dohledu jsou zahrnuty ve zprávě, kterou musí komisař pro kontrolu vyšetřovacích pravomocí každoročně vypracovat a předložit předsedovi vlády (461) a která musí být zveřejněna a předložena Parlamentu Spojeného království (462). Zpráva obsahuje příslušné statistiky a informace o využívání vyšetřovacích pravomocí zpravodajskými službami a donucovacími orgány, jakož i o využití záruk ve vztahu k otázkám, na které se vztahuje povinnost mlčenlivosti, důvěrným novinářským materiálům a zdrojům novinářských informací a informace o přijatých režimech a operativních účelech použitých v souvislosti s hromadnými příkazy. A konečně je ve výroční zprávě Úřadu komisaře pro kontrolu vyšetřovacích pravomocí také upřesněno, ve které oblasti byla vydána doporučení orgánům veřejné moci a jaká byla reakce na tato doporučení (463).

(255)

Pokud se komisař pro kontrolu vyšetřovacích pravomocí dozví o jakékoli významné chybě, které se dopustily orgány veřejné moci při použití svých vyšetřovacích pravomocí, musí v souladu s článkem 231 zákona o vyšetřovacích pravomocích z roku 2016 informovat dotyčnou osobu, jestliže má za to, že je chyba závažná a je ve veřejném zájmu, aby tato osoba byla informována (464). Článek 231 zákona o vyšetřovacích pravomocích z roku 2016 zejména stanoví, že při informování osoby o chybě musí komisař pro kontrolu vyšetřovacích pravomocí poskytnout informace o jakémkoli právu dané osoby, které lze uplatnit u tribunálu pro kontrolu vyšetřovacích pravomocí, a uvést podrobnosti, které komisař považuje za nezbytné pro výkon těchto práv a jejichž zpřístupnění je ve veřejném zájmu (465).

(256)

Parlamentní dohled, který vykonává výbor pro bezpečnost a zpravodajskou činnost, odvozuje svůj zákonný základ ze zákona o spravedlnosti a bezpečnosti z roku 2013 (466). Zákon zřizuje výbor pro bezpečnost a zpravodajskou činnost jako výbor Parlamentu Spojeného království. Od roku 2013 má výbor pro bezpečnost a zpravodajskou činnost větší pravomoci, včetně dohledu nad operativními činnostmi bezpečnostních služeb. Podle článku 2 zákona o spravedlnosti a bezpečnosti z roku 2013 je úkolem výboru pro bezpečnost a zpravodajskou činnost dohlížet na výdaje, správu, politiku a operace národních bezpečnostních služeb. Zákon o spravedlnosti a bezpečnosti z roku 2013 stanoví, že výbor pro bezpečnost a zpravodajskou činnost může vést vyšetřování operativních záležitostí, pokud se netýkají probíhajících operací (467). Memorandum o porozumění dohodnuté mezi předsedou vlády a výborem pro bezpečnost a zpravodajskou činnost (468) podrobně stanoví prvky, které je třeba vzít v úvahu při posuzování toho, zda daná činnost není součástí probíhající operace (469). Výbor pro bezpečnost a zpravodajskou činnost může být o prošetření probíhajících operací také požádán předsedou vlády a může přezkoumávat informace, které služby poskytnou dobrovolně.

(257)

Podle přílohy 1 zákona o spravedlnosti a bezpečnosti z roku 2013 může výbor pro bezpečnost a zpravodajskou činnost požádat ředitele kterékoli ze tří zpravodajských služeb o sdělení jakýchkoli informací. Služba musí tyto informace zpřístupnit, pokud ministr neuplatní právo veta (470). Podle vysvětlení poskytnutých orgány Spojeného království je výboru pro bezpečnost a zpravodajskou činnost v praxi odepřeno jen velmi málo informací (471).

(258)

Výbor pro bezpečnost a zpravodajskou činnost se skládá z členů náležejících do kterékoli komory Parlamentu Spojeného království, které jmenuje předseda vlády po konzultaci s vedoucím představitelem opozice (472). Výbor pro bezpečnost a zpravodajskou činnost je povinen předkládat parlamentu Spojeného království výroční zprávu o výkonu svých funkcí a další zprávy, které považuje za vhodné (473). Kromě toho je výbor pro bezpečnost a zpravodajskou činnost oprávněn obdržet každé tři měsíce seznam operativních účelů, které se používají pro šetření hromadně získaného materiálu (474). Předseda vlády sdílí s výborem pro bezpečnost a zpravodajskou činnost kopie vyšetřování, inspekcí nebo auditů komisaře pro kontrolu vyšetřovacích pravomocí, pokud je předmět zpráv významný z hlediska zákonných kompetencí výboru (475). Výbor může také požádat komisaře pro kontrolu vyšetřovacích pravomocí o provedení vyšetřování a komisař musí výbor pro bezpečnost a zpravodajskou činnost informovat o rozhodnutí, zda takové vyšetřování provede (476).

(259)

Výbor pro bezpečnost a zpravodajskou činnost rovněž přispěl k návrhu zákona o vyšetřovacích pravomocích z roku 2016, což vyústilo v řadu pozměňovacích návrhů, které nyní zákon o vyšetřovacích pravomocích z roku 2016 zohledňuje (477). Výbor pro bezpečnost a zpravodajskou činnost doporučil zejména posílit ochranu soukromí zavedením souboru opatření k ochraně soukromí, která platí v celém rozsahu vyšetřovacích pravomocí (478). Rovněž předložil změny navrhovaných pravomocí týkajících vzdáleného síťového přístupu k zařízení, hromadných souborů osobních údajů a komunikačních údajů a vyžádal si další konkrétní změny s cílem posílit omezení a záruky pro použití vyšetřovacích pravomocí (479).

(260)

V oblasti přístupu vlády pro účely národní bezpečnosti musí mít subjekty údajů možnost podat žalobu k nezávislému a nestrannému soudu pro získání přístupu ke svým osobním údajům nebo pro dosažení opravy nebo výmazu takovýchto údajů (480). Tento soudní orgán musí mít zejména pravomoc přijímat závazná rozhodnutí týkající se zpravodajské služby (481). Ve Spojeném království, jak je vysvětleno ve 261–271. bodě odůvodnění, poskytuje řada soudních opravných prostředků subjektům údajů možnost o takové právní prostředky usilovat a získat je.

(261)

Podle článku 165 zákona o ochraně údajů z roku 2018 má subjekt údajů právo podat stížnost u komisaře pro informace, pokud má za to, že v souvislosti s jeho osobními údaji došlo k porušení části 4 zákona o ochraně údajů z roku 2018. Komisař pro informace má pravomoc posoudit, jak správce a zpracovatel dodržují zákon o ochraně údajů z roku 2018 a vyžadovat od nich nezbytné kroky. Kromě toho jsou podle části 4 zákona o ochraně údajů z roku 2018 jednotlivci oprávněni podat u Vrchního soudu (nebo soudu Court of Session ve Skotsku) návrh na vydání příkazu, který bude vyžadovat, aby správce dodržoval práva na přístup k údajům (482), podání námitky vůči zpracování (483) a na opravu nebo výmaz (484).

(262)

Jednotlivci jsou rovněž oprávněni požadovat od správce nebo zpracovatele náhradu škody způsobené porušením požadavku části 4 zákona o ochraně údajů z roku 2018 (485). Škoda zahrnuje jak finanční ztrátu, tak nefinanční újmu, například utrpení (486).

(263)

Jednotlivci mohou dosáhnout nápravy v případě porušení zákona o vyšetřovacích pravomocích z roku 2016 u tribunálu pro kontrolu vyšetřovacích pravomocí.

(264)

Tribunál pro kontrolu vyšetřovacích pravomocí je zřízen zákonem o úpravě vyšetřovacích pravomocí z roku 2000 a je nezávislý na výkonné moci (487). V souladu s článkem 65 zákona o úpravě vyšetřovacích pravomocí z roku 2000 jsou členové tohoto tribunálu jmenováni Jejím Veličenstvem na dobu pěti let. Člena tohoto tribunálu může z funkce odvolat Její Veličenstvo na návrh („address“) (488) obou komor Parlamentu Spojeného království (489).

(265)

Podle článku 65 zákona o úpravě vyšetřovacích pravomocí z roku 2000 je tribunál příslušným soudním orgánem pro jakoukoli stížnost osoby poškozené jednáním podle zákona o vyšetřovacích pravomocích z roku 2016, zákona o úpravě vyšetřovacích pravomocí z roku 2000 nebo jakýmkoli jednáním zpravodajských služeb (490).

(266)

K podání návrhu u tribunálu pro kontrolu vyšetřovacích pravomocí („vstupní požadavek“) musí být podle článku 65 zákona o úpravě vyšetřovacích pravomocí z roku 2000 jednotlivec přesvědčen (491), že došlo k jednání zpravodajské služby ve vztahu k němu, k jeho majetku, ke komunikaci zasílané jím nebo jemu nebo určené pro něj nebo k jeho využití jakékoli poštovní služby, telekomunikačních služeb nebo telekomunikačního systému“ (492). Kromě toho musí být stěžovatel přesvědčen, že k jednání došlo za „napadnutelných okolností“ (493) nebo „že bylo uskutečněno zpravodajskými službami nebo jejich jménem“ (494). Vzhledem k tomu, že zejména tento standard „přesvědčení“ je vykládán poměrně široce (495), je podání návrhu u tribunálu podmíněno nenáročnými vstupními požadavky.

(267)

Pokud tribunál pro kontrolu vyšetřovacích pravomocí projednává stížnost, která k němu byla podána, je jeho povinností vyšetřit, zda osoby, proti nimž je ve stížnosti vzneseno jakékoli obvinění, jednaly ve vztahu ke stěžovateli, a rovněž vyšetřit orgán, který se údajně podílel na porušování právních předpisů, a to, zda k tvrzenému jednání došlo (496). Pokud tribunál vede jakékoli řízení, musí při svém rozhodování v těchto řízeních uplatňovat stejné zásady, jaké by použil soud při návrhu na soudní přezkum (497). Kromě toho jsou adresáti příkazů nebo výzev podle zákona o vyšetřovacích pravomocích z roku 2016 a každá další osoba, která zastává funkci podléhající Koruně nebo je zaměstnancem policie, nebo policejní komisař pro vyšetřování a přezkum, povinni zpřístupnit nebo poskytnout tomuto tribunálu všechny dokumenty a informace, které může tribunál požadovat k tomu, aby mohl vykonávat svou soudní pravomoc (498).

(268)

Tribunál pro kontrolu vyšetřovacích pravomocí musí stěžovateli oznámit, zda bylo vydáno rozhodnutí v jeho prospěch, či nikoli (499). Podle čl. 67 odst. 6 a 7 zákona o úpravě vyšetřovacích pravomocí z roku 2000 má tribunál pravomoc vydávat předběžné příkazy a přiznávat jakékoli odškodnění nebo vydávat jiné příkazy, které uzná za vhodné. To může zahrnovat příkaz, kterým se anuluje nebo zruší jakýkoli příkaz nebo povolení, a příkaz vyžadující zničení jakýchkoli záznamů informací získaných při výkonu jakékoli pravomoci udělené příkazem, povolením nebo oznámením nebo jinak držené jakýmkoli orgánem veřejné moci ve vztahu k jakékoli osobě (500). Podle článku 67A zákona o úpravě vyšetřovacích pravomocí z roku 2000 lze proti rozhodnutí tribunálu podat opravný prostředek s výhradou povolení uděleného tribunálem nebo příslušným odvolacím soudem.

(269)

A konečně je třeba zmínit, že úloha tribunálu pro kontrolu vyšetřovacích pravomocí byla při několika příležitostech projednávána v rámci stížností podaných k Evropskému soudu pro lidská práva, jmenovitě v rámci věci Kennedy proti Spojenému království (501) a nověji ve věci Big Brother Watch and others v. United Kingdom (502), kde soud prohlásil, že „tribunál pro kontrolu vyšetřovacích pravomocí nabízel robustní opravné prostředky komukoli, kdo měl podezření, že jeho komunikace byla odposlouchávána zpravodajskými službami“ (503).

(270)

Jak je vysvětleno ve 109. až 111. bodě odůvodnění, prostředky nápravy podle zákona o lidských právech z roku 1998 a Evropského soudu pro lidská práva (504) jsou k dispozici také v oblasti národní bezpečnosti. Ustanovení čl. 65 odst. 2 zákona o úpravě vyšetřovacích pravomocí z roku 2000 poskytuje tribunálu pro kontrolu vyšetřovacích pravomocí výlučnou soudní pravomoc pro všechny nároky podle zákona o lidských právech ve vztahu ke zpravodajským službám (505). To znamená, jak uvedl Vrchní soud, „to, zda došlo k porušení zákona o lidských právech podle skutkových okolností konkrétního případu, v zásadě může projednat a rozhodnout nezávislý tribunál, který má přístup ke všem relevantním materiálům, včetně tajného materiálu. […] V této souvislosti máme také na paměti, že samotný tribunál nyní může podat opravný prostředek k příslušnému odvolacímu soudu (v Anglii a Walesu by jím byl odvolací soud) a že Nejvyšší soud nedávno rozhodl, že tribunál v zásadě podléhá soudnímu přezkumu: viz rozsudek ve věci R (Privacy International) v Investigatory Powers Tribunal [2019] UKSC 22; [2019] 2 WLR 1219” (506).

(271)

Z výše uvedeného vyplývá, že pokud donucovací orgány nebo národní bezpečnostní orgány Spojeného království přistupují k osobním údajům spadajícím do oblasti působnosti tohoto rozhodnutí, řídí se takový přístup zákony, které stanoví podmínky, za nichž může přístup probíhat, a je zajištěno, aby byly přístup a další využívání údajů omezeny na to, co je nezbytné a přiměřené sledovaným cílům v oblasti vymáhání práva nebo národní bezpečnosti. Kromě toho takový přístup ve většině případů podléhá předchozímu schválení soudním orgánem, prostřednictvím schválení příkazu nebo výzvy k předání a v každém případě i nezávislému dohledu. Jakmile orgány veřejné moci získají přístup k údajům, podléhá zpracování údajů včetně dalšího sdílení a dalšího předávání zvláštním zárukám ochrany údajů podle části 3 zákona o ochraně údajů z roku 2018, které odrážejí záruky stanovené směrnicí (EU) 2016/680, pokud jde o zpracování donucovacími orgány, a části 4 zákona o ochraně údajů z roku 2018, pokud jde o zpracování zpravodajskými službami. A konečně také subjekty údajů požívají v této oblasti práv účinné správní a soudní ochrany, včetně práva dosáhnout přístupu k údajům nebo opravy nebo výmazu těchto údajů.

(272)

Vzhledem k důležitosti těchto podmínek, omezení a záruk pro účely tohoto rozhodnutí bude Komise pečlivě sledovat uplatňování a výklad pravidel Spojeného království, která upravují přístup vlády k údajům. Tato činnost bude zahrnovat příslušný vývoj v oblasti právních předpisů, regulace a judikatury, jakož i aktivity Úřadu komisaře pro informace a dalších orgánů dohledu v této oblasti. Zvláštní pozornost bude rovněž věnována výkonu příslušných rozsudků Evropského soudu pro lidská práva ze strany Spojeného království, včetně opatření uvedených v „akčních plánech“ a „akčních zprávách“ předložených Výboru ministrů v rámci dohledu nad dodržováním rozhodnutí Soudního dvora.

(273)

Komise má za to, že britské nařízení GDPR a zákon o ochraně údajů z roku 2018 zajišťují úroveň ochrany osobních údajů předávaných z Evropské unie, která je v zásadě rovnocenná úrovni ochrany zaručené nařízením (EU) 2016/679.

(274)

Kromě toho má Komise za to, že jako celek mechanismy dohledu a způsoby ochrany v právních předpisech Spojeného království umožňují, aby porušení právních předpisů byla identifikována a v praxi potrestána, a subjektu údajů nabízejí právní prostředky pro získání přístupu k osobním údajům, které se ho týkají, a případně pro dosažení opravy nebo výmazu takovýchto údajů.

(275)

V neposlední řadě má Komise na základě dostupných informací o právním řádu Spojeného království za to, že jakýkoli zásah do základních práv fyzických osob, jejichž osobní údaje se předávají z Evropské unie do Spojeného království, ze strany orgánů veřejné moci Spojeného království pro účely veřejného zájmu, zejména pro účely vymáhání práva a národní bezpečnosti, bude omezen na rozsah nezbytný pro dosažení daného oprávněného cíle a že existuje účinná právní ochrana před takovým zásahem.

(276)

S ohledem na zjištění tohoto rozhodnutí by proto mělo být rozhodnuto, že Spojené království zajišťuje odpovídající úroveň ochrany ve smyslu článku 45 nařízení (EU) 2016/679 vykládaného ve světle Listiny základních práv Evropské unie.

(277)

Tento závěr se opírá o příslušný vnitrostátní režim i mezinárodní závazky Spojeného království, zejména o dodržování Evropské úmluvy o lidských právech a podrobení se soudní pravomoci Evropského soudu pro lidská práva. Pokračující dodržování těchto mezinárodních závazků je proto obzvláště důležitým prvkem posouzení, na němž se zakládá toto rozhodnutí.

(278)

Členské státy a jejich orgány musí přijmout opatření nezbytná k dosažení souladu s akty orgánů Unie, neboť jim v zásadě svědčí presumpce legality, a tudíž zakládají právní účinky tak dlouho, dokud nejsou vzaty zpět, zrušeny v rámci žaloby na neplatnost nebo prohlášeny za neplatné v návaznosti na žádost o rozhodnutí o předběžné otázce nebo na námitku protiprávnosti.

(279)

V důsledku toho je rozhodnutí Komise o odpovídající ochraně podle čl. 45 odst. 3 nařízení (EU) 2016/679 závazné pro všechny orgány členských států, kterým je určeno, a to i pro nezávislé dozorové úřady. Během období použitelnosti tohoto rozhodnutí může zejména docházet k předáním od správce nebo zpracovatele v Evropské unii správcům nebo zpracovatelům ve Spojeném království, aniž by bylo nutné získat další povolení.

(280)

Je třeba připomenout, že podle čl. 58 odst. 5 nařízení (EU) 2016/679 a podle vysvětlení Soudního dvora v rozsudku ve věci Schrems (507), jestliže vnitrostátní orgán pro ochranu údajů zpochybňuje, a to i na základě stížnosti, slučitelnost rozhodnutí Komise o odpovídající ochraně se základními právy fyzické osoby na soukromí a ochranu údajů, musí mu vnitrostátní právo poskytnout procesní prostředek, který mu umožní uplatnit tyto výtky před vnitrostátním soudem, který může být povinen předložit Soudnímu dvoru žádost o rozhodnutí o předběžné otázce (508).

(281)

Podle čl. 45 odst. 4 nařízení (EU) 2016/679 musí Komise po přijetí tohoto rozhodnutí průběžně sledovat příslušný vývoj ve Spojeném království, aby mohla posoudit, zda stále zajišťuje v zásadě rovnocennou úroveň ochrany. Takové sledování je v tomto případě obzvláště důležité, neboť Spojené království bude spravovat, uplatňovat a vymáhat nový režim ochrany údajů, který již nebude podléhat právu Evropské unie a který se může vyvíjet. V tomto ohledu bude zvláštní pozornost věnována uplatňování pravidel Spojeného království pro předávání osobních údajů do třetích zemí v praxi a možnému dopadu tohoto uplatňování na úroveň ochrany poskytovanou údajům předávaným podle tohoto rozhodnutí; účinnosti výkonu individuálních práv včetně případného příslušného vývoje v oblasti práva a praxe, pokud jde o výjimky z těchto práv nebo omezení těchto práv (zejména výjimky týkající se zachování účinné kontroly imigrace); jakož i dodržování omezení a záruk týkajících se přístupu vlády. V rámci sledování ze strany Komise bude kromě jiných prvků zohledňován vývoj judikatury a dohledu ze strany Úřadu komisaře pro informace a ostatních nezávislých subjektů.

(282)

Aby toto sledování usnadnily, měly by orgány Spojeného království neprodleně informovat Komisi o jakékoli podstatné změně právního řádu Spojeného království, která má dopad na právní rámec, který je předmětem tohoto rozhodnutí, jakož i o vývoji postupů souvisejících se zpracováním osobních údajů, které jsou posuzovány v tomto rozhodnutí, a to jak z hlediska zpracování osobních údajů správci a zpracovateli podle britského nařízení GDPR, tak z hlediska omezení a záruk použitelných na přístup orgánů veřejné moci k osobním údajům. Tyto informace by měly zahrnovat vývoj týkající se prvků uvedených ve 281. bodě odůvodnění.

(283)

Aby Komise navíc mohla účinně plnit svou kontrolní funkci, měly by ji členské státy informovat o veškerých příslušných krocích vnitrostátních úřadů pro ochranu údajů, zejména v souvislosti s dotazy nebo stížnostmi subjektů údajů z EU týkajícími se předávání osobních údajů z Unie správcům nebo zpracovatelům ve Spojeném království. Komise by rovněž měla být informována o jakýchkoli známkách toho, že kroky orgánů veřejné moci Spojeného království odpovědných za prevenci, vyšetřování, odhalování nebo stíhání trestných činů nebo za národní bezpečnost, včetně jakýchkoli dozorových úřadů, nezajišťují požadovanou úroveň ochrany.

(284)

Pokud z dostupných informací, zejména z informací vyplývajících ze sledování tohoto rozhodnutí nebo poskytnutých orgány Spojeného království nebo členských států, vyplyne, že úroveň ochrany poskytované Spojeným královstvím již nemusí být odpovídající, měla by Komise neprodleně informovat příslušné orgány Spojeného království a požadovat, aby byla ve stanovené lhůtě, která nesmí přesáhnout dobu tří měsíců, přijata vhodná opatření. V případě potřeby lze tuto lhůtu prodloužit o určitou dobu s přihlédnutím k povaze dané záležitosti a/nebo daných opatření, která mají být přijata. Takovýto postup by byl zahájen například v případech, kdy by se další předávání, včetně předávání na základě nových předpisů o přiměřené ochraně přijatých ministrem nebo mezinárodních dohod uzavřených Spojeným královstvím, již neuskutečňovalo v rámci záruk zajišťujících kontinuitu ochrany ve smyslu článku 44 nařízení (EU) 2016/679.

(285)

Pokud po uplynutí stanovené lhůty příslušné orgány Spojeného království tato opatření nepřijmou nebo jiným způsobem uspokojivě neprokážou, že toto rozhodnutí je nadále založeno na odpovídající úrovni ochrany, zahájí Komise postup podle čl. 93 odst. 2 nařízení (EU) 2016/679 s cílem částečně nebo úplně zrušit toho rozhodnutí nebo pozastavit jeho platnost.

(286)

Alternativně Komise tento postup zahájí s cílem změnit toto rozhodnutí, zejména tím, že se na předávání údajů budou vztahovat další podmínky, nebo že se omezí oblasti působnosti zjištění o odpovídající úrovni ochrany jen na předávání údajů, u nichž je odpovídající úroveň ochrany nadále zaručena.

(287)

V závažných, naléhavých a řádně odůvodněných případech Komise využije možnost postupem podle čl. 93 odst. 3 nařízení (EU) 2016/679 přijmout okamžitě použitelné prováděcí akty, kterými se rozhodnutí zruší, změní nebo se dočasně pozastaví jeho platnost.

(288)

Komise musí vzít v úvahu, že až skončí přechodné období stanovené v dohodě o vystoupení a jakmile přestane platit prozatímní ustanovení podle článku 782 dohody o obchodu a spolupráci mezi EU a Spojeným královstvím, bude Spojené království spravovat, uplatňovat a vymáhat nový režim ochrany údajů oproti režimu existujícímu v době, kdy bylo vázáno právem EU. To může zejména znamenat úpravy nebo změny rámce ochrany údajů posuzovaného v tomto rozhodnutí, jakož i další relevantní vývoj.

(289)

Je proto vhodné stanovit, že toto rozhodnutí bude použitelné po dobu čtyř let ode dne svého vstupu v platnost.

(290)

Pokud zejména z informací získaných při sledování tohoto rozhodnutí vyplyne, že zjištění týkající se odpovídající úrovně ochrany zajištěné ve Spojeném království jsou stále věcně a právně odůvodněná, měla by Komise nejpozději šest měsíců před koncem platnosti tohoto rozhodnutí zahájit postup pro změnu tohoto rozhodnutí prodloužením jeho časové působnosti v zásadě o další čtyřleté období. Jakýkoli takový prováděcí akt, kterým se mění toto rozhodnutí, se přijímá postupem podle čl. 93 odst. 2 nařízení (EU) 2016/679.

(291)

Evropský sbor pro ochranu osobních údajů zveřejnil své stanovisko (509), které bylo při přípravě tohoto rozhodnutí zohledněno.

(292)

Opatření stanovená tímto rozhodnutím jsou v souladu se stanoviskem výboru zřízeného podle článku 93 nařízení (EU) 2016/679,