(1)

Η οδηγία (ΕΕ) 2016/680 θεσπίζει τους κανόνες που διέπουν τη διαβίβαση δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές στην Ένωση προς τρίτες χώρες και διεθνείς οργανισμούς, εφόσον η εν λόγω διαβίβαση εμπίπτει στο πεδίο εφαρμογής της. Οι κανόνες για τις διεθνείς διαβιβάσεις δεδομένων από αρμόδιες αρχές καθορίζονται στο κεφάλαιο V της οδηγίας (ΕΕ) 2016/680, και ειδικότερα στα άρθρα 35 έως 40. Μολονότι η ροή δεδομένων προσωπικού χαρακτήρα προς και από χώρες εκτός της Ευρωπαϊκής Ένωσης είναι απαραίτητη για την αποτελεσματική συνεργασία στον τομέα της επιβολής του νόμου, θα πρέπει να διασφαλίζεται ότι το επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα στην Ευρωπαϊκή Ένωση δεν υπονομεύεται από τις διαβιβάσεις αυτές (2).

(2)

Σύμφωνα με το άρθρο 36 παράγραφος 3 της οδηγίας (ΕΕ) 2016/680, η Επιτροπή μπορεί να αποφασίσει, μέσω εκτελεστικής πράξης, ότι εξασφαλίζεται επαρκές επίπεδο προστασίας από τρίτη χώρα, έδαφος ή έναν ή περισσότερους συγκεκριμένους τομείς σε τρίτη χώρα ή από διεθνή οργανισμό. Υπό την προϋπόθεση αυτή, οι διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα μπορούν να πραγματοποιούνται χωρίς να απαιτείται περαιτέρω έγκριση (εκτός εάν χρειάζεται να δώσει την έγκρισή του για τη διαβίβαση άλλο κράτος μέλος από το οποίο παρελήφθησαν τα δεδομένα), όπως προβλέπεται στο άρθρο 35 παράγραφος 1 και στην αιτιολογική σκέψη 66 της οδηγίας (ΕΕ) 2016/680.

(3)

Όπως ορίζεται στο άρθρο 36 παράγραφος 2 της οδηγίας (ΕΕ) 2016/680, για την έκδοση απόφασης περί επάρκειας απαιτείται διεξοδική ανάλυση της έννομης τάξης της τρίτης χώρας. Στην εκτίμησή της, η Επιτροπή πρέπει να προσδιορίζει αν η εν λόγω τρίτη χώρα εγγυάται επίπεδο προστασίας «κατ’ ουσίαν ισοδύναμο» μ’ αυτό που προβλέπει η Ευρωπαϊκή Ένωση [αιτιολογική σκέψη 67 της οδηγίας (ΕΕ) 2016/680]. Το πρότυπο με βάση το οποίο αξιολογείται η «κατ’ ουσίαν ισοδυναμία» είναι εκείνο που καθορίζεται από τη νομοθεσία της ΕΕ, ειδικότερα από την οδηγία (ΕΕ) 2016/680, καθώς και από τη νομολογία του Δικαστηρίου της Ευρωπαϊκής Ένωσης (3). Σημαντικά από την άποψη αυτή είναι επίσης τα σημεία αναφοράς για την επάρκεια του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (4).

(4)

Όπως έχει διευκρινιστεί από το Δικαστήριο της Ευρωπαϊκής Ένωσης, αυτό δεν συνεπάγεται απαίτηση για ίδιο ακριβώς επίπεδο προστασίας (5). Ειδικότερα, τα μέσα που χρησιμοποιεί η τρίτη χώρα για την προστασία των δεδομένων προσωπικού χαρακτήρα μπορούν να διαφέρουν από αυτά που εφαρμόζονται εντός της Ευρωπαϊκής Ένωσης, εφόσον αποδεικνύονται στην πράξη αποτελεσματικά ώστε να διασφαλίζουν επαρκές επίπεδο προστασίας (6). Συνεπώς, το κριτήριο της επάρκειας δεν επιβάλλει πιστή αντιγραφή των κανόνων της Ένωσης. Το καθοριστικό στοιχείο είναι κυρίως αν, μέσω της ουσίας των δικαιωμάτων περί προστασίας της ιδιωτικής ζωής, της αποτελεσματικής εφαρμογής τους, καθώς και της δυνατότητας επιβολής και εποπτείας τους, το σύστημα της τρίτης χώρας ως σύνολο προσφέρει το απαιτούμενο επίπεδο προστασίας (7).

(5)

Η Επιτροπή έχει αναλύσει προσεκτικά τη σχετική νομοθεσία και την πρακτική του Ηνωμένου Βασιλείου. Με βάση τα πορίσματά της, όπως αναφέρονται κατωτέρω, η Επιτροπή καταλήγει στο συμπέρασμα ότι το Ηνωμένο Βασίλειο διασφαλίζει επαρκές επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα που διαβιβάζονται από αρμόδιες αρχές στην Ένωση, οι οποίες εμπίπτουν στο πεδίο εφαρμογής της οδηγίας (ΕΕ) 2016/680, σε αρμόδιες αρχές του Ηνωμένου Βασιλείου που εμπίπτουν στο πεδίο εφαρμογής του μέρους 3 του νόμου του 2018 για την προστασία των δεδομένων (Data Protection Act 2018 – DPA 2018) (8).

(6)

Η παρούσα απόφαση έχει ως αποτέλεσμα οι εν λόγω διαβιβάσεις να μπορούν να πραγματοποιούνται χωρίς να απαιτείται περαιτέρω έγκριση για περίοδο τεσσάρων ετών, η οποία υπόκειται σε πιθανή ανανέωση, και με την επιφύλαξη των προϋποθέσεων που ορίζονται στο άρθρο 35 της οδηγίας (ΕΕ) 2016/680.

(7)

Το πολίτευμα του Ηνωμένου Βασιλείου είναι κοινοβουλευτική δημοκρατία. Διαθέτει κυρίαρχο κοινοβούλιο, το οποίο είναι ανώτερο όλων των άλλων κρατικών οργάνων, εκτελεστική εξουσία η οποία προέρχεται από το κοινοβούλιο και λογοδοτεί σ’ αυτό, και ανεξάρτητη δικαστική εξουσία. Η εκτελεστική εξουσία αντλεί την εξουσία της από την ικανότητά της να διαχειρίζεται την εμπιστοσύνη της εκλεγμένης Βουλής των Κοινοτήτων και λογοδοτεί σε αμφότερα τα σώματα του Κοινοβουλίου [Βουλή των Κοινοτήτων (House of Commons) και Βουλή των Λόρδων (House of Lords)] που είναι αρμόδια για τον έλεγχο της κυβέρνησης και για τη συζήτηση και ψήφιση των νόμων. Το κοινοβούλιο του Ηνωμένου Βασιλείου έχει εκχωρήσει αρμοδιότητες στο Κοινοβούλιο της Σκωτίας, στο Κοινοβούλιο της Ουαλίας (Senedd Cymru) και στη Συνέλευση της Βόρειας Ιρλανδίας για τη θέσπιση νομοθεσίας σχετικά με ορισμένα εσωτερικά ζητήματα της Σκωτίας, της Ουαλίας και της Βόρειας Ιρλανδίας. Παρότι η προστασία των δεδομένων αποτελεί θέμα που εμπίπτει στην αποκλειστική αρμοδιότητα του Κοινοβουλίου του Ηνωμένου Βασιλείου, δηλαδή η ίδια νομοθεσία ισχύει σε ολόκληρη τη χώρα, άλλοι τομείς πολιτικής που σχετίζονται με την παρούσα απόφαση έχουν αποκεντρωθεί. Για παράδειγμα, τα συστήματα ποινικής δικαιοσύνης, συμπεριλαμβανομένης της αστυνόμευσης (δηλαδή των δραστηριοτήτων που ασκούνται από τις αστυνομικές δυνάμεις) της Σκωτίας και της Βόρειας Ιρλανδίας έχουν αποκεντρωθεί στο Κοινοβούλιο της Σκωτίας και στη Συνέλευση της Βόρειας Ιρλανδίας, αντίστοιχα (9).

(8)

Παρότι το Ηνωμένο Βασίλειο δεν διαθέτει κωδικοποιημένο σύνταγμα υπό την έννοια ενός παγιωμένου συνταγματικού εγγράφου, οι συνταγματικές του αρχές έχουν προκύψει με την πάροδο του χρόνου από τη νομολογία και από συμβάσεις. Έχει αναγνωριστεί η συνταγματική αξία ορισμένων νόμων, όπως η Magna Carta, η Διακήρυξη των Δικαιωμάτων του 1689 (Bill of Rights 1689) και ο νόμος του 1998 για τα ανθρώπινα δικαιώματα (Human Rights Act 1998). Τα θεμελιώδη δικαιώματα των προσώπων έχουν αναπτυχθεί, ως μέρος του συντάγματος, μέσω του κοινοδικαίου, των νόμων και διεθνών συνθηκών, ειδικότερα μέσω της Ευρωπαϊκής σύμβασης Δικαιωμάτων του Ανθρώπου (ΕΣΔΑ), την οποία το Ηνωμένο Βασίλειο κύρωσε το 1951. Το Ηνωμένο Βασίλειο κύρωσε επίσης τη σύμβαση του Συμβουλίου της Ευρώπης για την προστασία του ατόμου από την αυτοματοποιημένη επεξεργασία πληροφοριών προσωπικού χαρακτήρα (σύμβαση 108) το 1987 (10).

(9)

Ο νόμος του 1998 για τα ανθρώπινα δικαιώματα ενσωματώνει, στο δίκαιο του Ηνωμένου Βασιλείου, τα δικαιώματα που περιέχονται στην ΕΣΔΑ. Ο εν λόγω νόμος παρέχει σε κάθε πρόσωπο τα θεμελιώδη δικαιώματα και τις ελευθερίες που κατοχυρώνονται στα άρθρα 2 έως 12 και στο άρθρο 14 της ΕΣΔΑ και στα άρθρα 1 έως 3 του πρώτου πρωτοκόλλου της, καθώς και στο άρθρο 1 του δέκατου τρίτου πρωτοκόλλου της, σε συνδυασμό με τα άρθρα 16 έως 18 της ΕΣΔΑ. Μεταξύ αυτών περιλαμβάνεται το δικαίωμα στον σεβασμό της ιδιωτικής και οικογενειακής ζωής, το οποίο με τη σειρά του περιλαμβάνει το δικαίωμα στην προστασία των δεδομένων και το δικαίωμα στη χρηστή απονομή δικαιοσύνης (11). Συγκεκριμένα, σύμφωνα με το άρθρο 8 της ΕΣΔΑ, δεν επιτρέπεται να υπάρξει επέμβαση δημόσιας αρχής κατά την άσκηση του δικαιώματος στην ιδιωτική ζωή, εκτός εάν η επέμβαση αυτή προβλέπεται από τον νόμο και αποτελεί μέτρο το οποίο, σε μια δημοκρατική κοινωνία, είναι αναγκαίο για την εθνική ασφάλεια, τη δημόσια ασφάλεια, την οικονομική ευημερία της χώρας, την προάσπιση της τάξης και την πρόληψη ποινικών παραβάσεων, την προστασία της υγείας ή της ηθικής, ή την προστασία των δικαιωμάτων και ελευθεριών άλλων.

(10)

Σύμφωνα με τον νόμο του 1998 για τα ανθρώπινα δικαιώματα, οποιαδήποτε ενέργεια των δημόσιων αρχών πρέπει να είναι συμβατή με δικαίωμα που κατοχυρώνεται από την ΕΣΔΑ (12). Επιπλέον, η πρωτογενής και η παράγωγη νομοθεσία πρέπει να ερμηνεύονται και να εφαρμόζονται με τρόπο που συνάδει με τα δικαιώματα αυτά (13). Εφόσον ένα πρόσωπο θεωρεί ότι τα δικαιώματά του, συμπεριλαμβανομένων των δικαιωμάτων στην προστασία της ιδιωτικής ζωής και των δεδομένων, έχουν παραβιαστεί από δημόσιες αρχές, μπορεί να ζητήσει έννομη προστασία προσφεύγοντας ενώπιον των δικαστηρίων του Ηνωμένου Βασιλείου βάσει του νόμου του 1998 για τα ανθρώπινα δικαιώματα και εντέλει, αφού εξαντλήσει τα εθνικά ένδικα βοηθήματα και μέσα, να ζητήσει έννομη προστασία ενώπιον του Ευρωπαϊκού Δικαστηρίου των Δικαιωμάτων του Ανθρώπου για παραβιάσεις των δικαιωμάτων που κατοχυρώνονται στην ΕΣΔΑ.

(11)

Το Ηνωμένο Βασίλειο αποχώρησε από την Ευρωπαϊκή Ένωση στις 31 Ιανουαρίου 2020. Βάσει της συμφωνίας για την αποχώρηση του Ηνωμένου Βασιλείου της Μεγάλης Βρετανίας και της Βόρειας Ιρλανδίας από την Ευρωπαϊκή Ένωση και την Ευρωπαϊκή Κοινότητα Ατομικής Ενέργειας (14), το ενωσιακό δίκαιο συνέχισε να εφαρμόζεται στο Ηνωμένο Βασίλειο κατά τη μεταβατική περίοδο έως τις 31 Ιανουαρίου 2020. Πριν από την αποχώρηση και κατά τη διάρκεια της μεταβατικής περιόδου, το νομοθετικό πλαίσιο για την προστασία των δεδομένων προσωπικού χαρακτήρα στο Ηνωμένο Βασίλειο που διέπει την επεξεργασία των δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, περιλαμβανομένων της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της αποτροπής τους, απαρτιζόταν από τα σχετικά μέρη του νόμου του 2018 για την προστασία των δεδομένων, με τον οποίο μεταφέρθηκε στο εθνικό δίκαιο η οδηγία (ΕΕ) 2016/680.

(12)

Για να προετοιμαστεί για την αποχώρηση από την ΕΕ, η κυβέρνηση του Ηνωμένου Βασιλείου θέσπισε τον νόμο του 2018 για την αποχώρηση από την Ευρωπαϊκή Ένωση [European Union (Withdrawal) Act – EUWA] (15), στον οποίο ενσωματώνεται η άμεσα εφαρμοστέα νομοθεσία της Ένωσης στο δίκαιο του Ηνωμένου Βασιλείου και προβλέπεται ότι η λεγόμενη «εσωτερική νομοθεσία που προέρχεται από την ΕΕ» εξακολουθεί να παράγει αποτελέσματα μετά τη λήξη της μεταβατικής περιόδου. Το μέρος 3 του DPA 2018 (16) για τη μεταφορά της οδηγίας (ΕΕ) 2016/680 στο εθνικό δίκαιο αποτελεί «εσωτερική νομοθεσία που προέρχεται από την ΕΕ» στο πλαίσιο του νόμου του 2018 για την αποχώρηση από την Ευρωπαϊκή Ένωση. Σύμφωνα με τον νόμο του 2018 για την αποχώρηση από την Ευρωπαϊκή Ένωση, η μη τροποποιημένη «εσωτερική νομοθεσία που προέρχεται από την ΕΕ» πρέπει να ερμηνεύεται από τα δικαστήρια του Ηνωμένου Βασιλείου σύμφωνα με τη σχετική νομολογία του Δικαστηρίου της Ευρωπαϊκής Ένωσης (στο εξής: Δικαστήριο) και τις γενικές αρχές του δικαίου της Ένωσης όπως ίσχυαν αμέσως πριν από τη λήξη της μεταβατικής περιόδου (στο εξής: «διατηρούμενη νομολογία της ΕΕ» και «διατηρούμενες γενικές αρχές του δικαίου της ΕΕ», αντίστοιχα) (17).

(13)

Βάσει του νόμου του 2018 για την αποχώρηση από την Ευρωπαϊκή Ένωση, οι υπουργοί του Ηνωμένου Βασιλείου έχουν την εξουσία να θεσπίζουν παράγωγο δίκαιο, μέσω νομοθετικών πράξεων, ώστε να επιφέρουν τις αναγκαίες τροποποιήσεις στη διατηρούμενη νομοθεσία της ΕΕ ως συνέπεια της αποχώρησης του Ηνωμένου Βασιλείου από την Ένωση. Η εξουσία αυτή ασκήθηκε μέσω των κανονισμών του 2019 για την προστασία των δεδομένων, την ιδιωτική ζωή και τις ηλεκτρονικές επικοινωνίες (τροποποιήσεις κ.λπ.) (αποχώρηση από την ΕΕ) (κανονισμοί DPPEC) (18). Οι κανονισμοί αυτοί τροποποιούν τη νομοθεσία του Ηνωμένου Βασιλείου για την προστασία των δεδομένων, συμπεριλαμβανομένου του DPA 2018, ώστε να ανταποκρίνεται στο εθνικό πλαίσιο (19).

(14)

Κατά συνέπεια, τα νομικά πρότυπα για την επεξεργασία δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, της διερεύνησης, της ανίχνευσης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων, περιλαμβανομένων της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της αποτροπής τους στο Ηνωμένο Βασίλειο μετά τη μεταβατική περίοδο βάσει της συμφωνίας αποχώρησης θα εξακολουθήσουν να καθορίζονται στα σχετικά μέρη του DPA 2018, όπως όμως τροποποιήθηκαν με τους κανονισμούς DPPEC, ειδικότερα στο μέρος 3 του εν λόγω νόμου. Ο γενικός κανονισμός του Ηνωμένου Βασιλείου για την προστασία των δεδομένων (στο εξής: ΓΚΠΔ του Ηνωμένου Βασιλείου) δεν εφαρμόζεται σ’ αυτό το είδος επεξεργασίας.

(15)

Στο μέρος 3 του DPA 2018 προβλέπονται οι κανόνες για την επεξεργασία δεδομένων προσωπικού χαρακτήρα για σκοπούς επιβολής του ποινικού δικαίου, συμπεριλαμβανομένων των αρχών προστασίας των δεδομένων, των νόμιμων λόγων επεξεργασίας (νομιμότητα), των δικαιωμάτων των υποκειμένων των δεδομένων, των υποχρεώσεων των αρμόδιων αρχών ως υπευθύνων επεξεργασίας και των περιορισμών στις περαιτέρω διαβιβάσεις. Ταυτόχρονα, οι εφαρμοστέοι κανόνες σχετικά με την εποπτεία, την επιβολή και την έννομη προστασία που εφαρμόζονται στον τομέα της επιβολής του νόμου προβλέπονται στα μέρη 5 και 6 του DPA 2018.

(16)

Επιπλέον, δεδομένου του σχετικού ρόλου που διαδραματίζουν οι αστυνομικές δυνάμεις στον τομέα της επιβολής του νόμου, θα πρέπει να ληφθούν υπόψη οι κανόνες που διέπουν την αστυνόμευση. Καθώς η αστυνόμευση αποτελεί αποκεντρωμένο ζήτημα, υπάρχουν διάφορες νομοθετικές πράξεις, οι οποίες ωστόσο είναι συχνά παρόμοιες ως προς το περιεχόμενό τους, που εφαρμόζονται στον τομέα της αστυνόμευσης α) στην Αγγλία και την Ουαλία, β) στη Σκωτία και γ) στη Βόρεια Ιρλανδία (20). Επιπλέον, υπάρχουν διάφορα είδη εγγράφων καθοδήγησης που παρέχουν πρόσθετες διευκρινίσεις σχετικά με τον τρόπο με τον οποίο θα πρέπει να ασκούνται οι εξουσίες της αστυνομίας. Υπάρχουν τρεις βασικές μορφές καθοδήγησης της αστυνομίας: 1) θεσμοθετημένη καθοδήγηση που εκδίδεται βάσει νομοθεσίας, όπως ο κώδικας δεοντολογίας (21) και ο κώδικας ορθής πρακτικής για τη διαχείριση πληροφοριών της αστυνομίας (κώδικας ορθής πρακτικής MoPI) (22) ο οποίος έχει εκδοθεί βάσει του νόμου του 1996 για την αστυνομία (Police Act 1996) (23) ή οι κώδικες PACE (24) που έχουν εκδοθεί στο πλαίσιο του νόμου για την αστυνομία και τα αποδεικτικά στοιχεία σε ποινικές διαδικασίες (Police and Criminal Evidence Act) (25), 2) εγκεκριμένη επαγγελματική πρακτική για τη διαχείριση πληροφοριών της αστυνομίας (APP Guidance on the Management of Police Information) (26), η οποία έχει εκδοθεί από το Σώμα των Εργαζομένων στην Αστυνόμευση (College of Policing) και 3) επιχειρησιακές οδηγίες (οι οποίες δημοσιεύονται από την ίδια την αστυνομία). Το Εθνικό Συμβούλιο Αρχηγών της Αστυνομίας (National Police Chiefs Council) (συντονιστικό όργανο για το σύνολο των αστυνομικών δυνάμεων του Ηνωμένου Βασιλείου) δημοσιεύει επιχειρησιακές οδηγίες τις οποίες έχουν υιοθετήσει όλες οι αστυνομικές δυνάμεις και οι οποίες εφαρμόζονται, ως εκ τούτου, σε εθνικό επίπεδο (27). Σκοπός αυτής της καθοδήγησης είναι να διασφαλίσει τη συνέπεια μεταξύ των δυνάμεων όσον αφορά τον τρόπο διαχείρισης των πληροφοριών (28).

(17)

Ο κώδικας ορθής πρακτικής ΜοΡΙ εκδόθηκε από τον ανώτερο υπουργό το 2005, με χρήση των εξουσιών που προβλέπονται στο άρθρο 39Α του νόμου του 1996 για την αστυνομία (29). Κάθε κώδικας ορθής πρακτικής που εκδίδεται δυνάμει του νόμου για την αστυνομία πρέπει να έχει την έγκριση του ανώτερου υπουργού και υπόκειται σε διαβούλευση με την Εθνική Υπηρεσία Δίωξης του Εγκλήματος (National Crime Agency, NCA) πριν υποβληθεί στο Κοινοβούλιο. Βάσει του άρθρου 39Α παράγραφος 7 του νόμου για την αστυνομία, η αστυνομία είναι υποχρεωμένη να λαμβάνει δεόντως υπόψη τους κώδικες που εκδίδονται δυνάμει του συγκεκριμένου νόμου, και ως εκ τούτου, αναμένεται να συμμορφώνεται μ’ αυτόν (30). Επιπλέον, η μη θεσμοθετημένη καθοδήγηση [όπως το έγγραφο καθοδήγησης εγκεκριμένης επαγγελματικής πρακτικής (APP) για τη διαχείριση πληροφοριών της αστυνομίας] πρέπει να συνάδει πάντοτε με τον κώδικα ορθής πρακτικής ΜοΡΙ ο οποίος υπερισχύει (31).. Σε κάθε περίπτωση, παρότι ενδέχεται να υπάρχουν ορισμένες επιχειρησιακές καταστάσεις στις οποίες χρειάζεται οι αστυνομικοί να παρεκκλίνουν από αυτή την καθοδήγηση, υποχρεούνται παρ’ όλα αυτά να συμμορφώνονται με τις απαιτήσεις του μέρους 3 του DPA 2018 (32).

(18)

Περαιτέρω καθοδήγηση σχετικά με τη νομοθεσία για την προστασία των δεδομένων στο Ηνωμένο Βασίλειο όσον αφορά την επεξεργασία στον τομέα της επιβολής του νόμου παρέχεται από τον Επίτροπο Πληροφοριών [στο εξής: «Επίτροπος Πληροφοριών» (Information Commissioner) ή «Γραφείο Επιτρόπου Πληροφοριών» (Information Commissioner’s Office, ICO)] (33) (για περισσότερες λεπτομέρειες σχετικά με το ICO, βλέπε αιτιολογικές σκέψεις (93) έως (109)). Παρότι ο σχετικός οδηγός δεν είναι νομικά δεσμευτικός, σε μια δικαστική υπόθεση, τα δικαστήρια θα πρέπει να λαμβάνουν υπόψη τυχόν παράβασή του, καθώς έχει ερμηνευτική βαρύτητα και καταδεικνύει τον τρόπο με τον οποίο ερμηνεύεται και εφαρμόζεται η νομοθεσία από τον Επίτροπο στην πράξη (34).

(19)

Τέλος, όπως αναφέρεται στις αιτιολογικές σκέψεις (8) έως (10), οι υπηρεσίες επιβολής του νόμου του Ηνωμένου Βασιλείου πρέπει να διασφαλίζουν τη συμμόρφωση με την ΕΣΔΑ και τη σύμβαση 108.

(20)

Ως εκ τούτου, όσον αφορά τη δομή και τις κύριες συνιστώσες του, το νομικό πλαίσιο που διέπει την επεξεργασία δεδομένων από τις αρχές επιβολής του ποινικού δικαίου στο Ηνωμένο Βασίλειο, είναι σε μεγάλο βαθμό παρόμοιο με εκείνο που ισχύει στην ΕΕ. Στις ομοιότητες περιλαμβάνεται το γεγονός ότι το εν λόγω πλαίσιο δεν βασίζεται μόνο σε υποχρεώσεις που προβλέπονται στο εθνικό δίκαιο, το οποίο έχει διαμορφωθεί από το δίκαιο της ΕΕ, αλλά και σε υποχρεώσεις που κατοχυρώνονται στο διεθνές δίκαιο, ιδίως μέσω της προσχώρησης του Ηνωμένου Βασιλείου στην ΕΣΔΑ και στη σύμβαση 108, καθώς και μέσω της υπαγωγής του στη δικαιοδοσία του Ευρωπαϊκού Δικαστηρίου των Δικαιωμάτων του Ανθρώπου. Οι υποχρεώσεις αυτές που απορρέουν από νομικά δεσμευτικές διεθνείς πράξεις, κυρίως όσον αφορά την προστασία των δεδομένων προσωπικού χαρακτήρα, αποτελούν, ως εκ τούτου, ιδιαίτερα σημαντικό στοιχείο του νομικού πλαισίου που αξιολογείται στην παρούσα απόφαση.

(21)

Το καθ’ ύλην πεδίο εφαρμογής του μέρους 3 του DPA 2018 συμπίπτει με το πεδίο εφαρμογής της οδηγίας 2016/680, όπως προσδιορίζεται στο άρθρο 2 παράγραφος 2 αυτής. Το μέρος 3 εφαρμόζεται στην αυτοματοποιημένη, εν όλω ή εν μέρει, επεξεργασία δεδομένων προσωπικού χαρακτήρα από αρμόδια αρχή, καθώς και στη μη αυτοματοποιημένη επεξεργασία, από αρμόδια αρχή, δεδομένων προσωπικού χαρακτήρα που περιλαμβάνονται ή πρόκειται να περιληφθούν σε αρχείο.

(22)

Επιπλέον, προκειμένου να εμπίπτει στο πεδίο εφαρμογής του εν λόγω μέρους 3, ο υπεύθυνος επεξεργασίας πρέπει να είναι «αρμόδια αρχή» και η επεξεργασία πρέπει να διενεργείται για «σκοπό επιβολής του νόμου». Ως εκ τούτου, το καθεστώς προστασίας δεδομένων που αξιολογείται στην παρούσα απόφαση εφαρμόζεται σε όλες τις δραστηριότητες επιβολής του νόμου των εν λόγω αρμόδιων αρχών.

(23)

Η έννοια της «αρμόδιας αρχής» ορίζεται στο άρθρο 30 του DPA ως πρόσωπο που περιλαμβάνεται στο παράρτημα 7 του DPA 2018, καθώς και ως οποιοδήποτε άλλο πρόσωπο στον βαθμό που το εν λόγω πρόσωπο έχει εκ του νόμου καθήκοντα για οποιονδήποτε από τους σκοπούς επιβολής του νόμου. Οι αρμόδιες αρχές που παρατίθενται στο παράρτημα 7 δεν περιλαμβάνουν μόνο αστυνομικές δυνάμεις, αλλά και όλες τις υπουργικές κρατικές υπηρεσίες, καθώς και άλλες αρχές με ερευνητικά καθήκοντα [π.χ. ο Επίτροπος της Φορολογικής και Τελωνειακής Αρχής του Ηνωμένου Βασιλείου (Commissioner for Her Majesty’s Revenue and Customs), η Αρχή Εσόδων της Ουαλίας (Welsh Revenue Authority), η Αρχή Ανταγωνισμού και Αγορών (Competition and Markets Authority) ή το Κτηματολόγιο του Ηνωμένου Βασιλείου (Her Majesty’s Land Register) ή η Εθνική Υπηρεσία Δίωξης του Εγκλήματος], εισαγγελικές υπηρεσίες, άλλες υπηρεσίες ποινικής δικαιοσύνης και άλλοι κάτοχοι αξιωμάτων ή φορείς που ασκούν δραστηριότητες επιβολής του νόμου (35). Το μέρος 3 του DPA 2018 εφαρμόζεται επίσης στα δικαστήρια και στα δικαιοδοτικά όργανα όταν ασκούν τα δικαστικά τους καθήκοντα, με εξαίρεση το μέρος που αφορά τα δικαιώματα του υποκειμένου των δεδομένων και την εποπτεία του ICO (36). Ο κατάλογος των αρμόδιων αρχών που παρατίθεται στο παράρτημα 7 δεν είναι οριστικός και μπορεί να επικαιροποιείται από τον ανώτερο υπουργό με κανονισμούς λαμβανομένων υπόψη των αλλαγών στην οργάνωση των δημόσιων αξιωμάτων (37).

(24)

Η εν λόγω επεξεργασία πρέπει επίσης να έχει «σκοπό επιβολής του νόμου», ο οποίος ορίζεται ως η πρόληψη, διερεύνηση, ανίχνευση ή δίωξη ποινικών αδικημάτων ή η εκτέλεση ποινικών κυρώσεων, περιλαμβανομένων της προστασίας από απειλές κατά της δημόσιας ασφάλειας και της αποτροπής τους (38). Η επεξεργασία από αρμόδια αρχή δεν διέπεται από το μέρος 3 του DPA 2018, όταν δεν πραγματοποιείται για σκοπούς επιβολής του νόμου. Αυτό ισχύει, για παράδειγμα, στην περίπτωση που η Αρχή Ανταγωνισμού και Αγορών ερευνά υποθέσεις που δεν έχουν ποινικοποιηθεί (π.χ. συγχωνεύσεις μεταξύ εταιρειών). Στην περίπτωση αυτή, εφαρμόζεται ο ΓΚΠΔ του Ηνωμένου Βασιλείου, μαζί με το μέρος 2 του DPA 2018, καθώς η επεξεργασία δεδομένων προσωπικού χαρακτήρα από τις αρμόδιες αρχές πραγματοποιείται για άλλους σκοπούς, και όχι για σκοπούς επιβολής του νόμου. Προκειμένου να καθοριστεί ποιο καθεστώς προστασίας δεδομένων εφαρμόζεται (μέρος 3 ή μέρος 2 του DPA 2018) στην επεξεργασία δεδομένων προσωπικού χαρακτήρα, η αρμόδια αρχή, δηλαδή ο υπεύθυνος επεξεργασίας, πρέπει να εξετάσει αν ο «πρωταρχικός σκοπός» της εν λόγω επεξεργασίας είναι ένας από τους σκοπούς επιβολής του νόμου που προβλέπονται στον DPA 2018.

(25)

Όσον αφορά το εδαφικό πεδίο εφαρμογής του μέρους 3 του DPA 2018, το άρθρο 207 παράγραφος 2 προβλέπει ότι ο DPA εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα στο πλαίσιο των δραστηριοτήτων προσώπου που διαθέτει εγκατάσταση σε ολόκληρο το έδαφος του Ηνωμένου Βασιλείου. Μεταξύ αυτών περιλαμβάνονται οι δημόσιες αρχές των εδαφών της Αγγλίας, της Ουαλίας, της Σκωτίας και της Βόρειας Ιρλανδίας οι οποίες εμπίπτουν στο καθ’ ύλην πεδίο εφαρμογής του μέρους 3 του DPA 2018 (39).

(26)

Οι βασικές έννοιες των δεδομένων προσωπικού χαρακτήρα και της επεξεργασίας ορίζονται στο άρθρο 3 του DPA 2018 και εφαρμόζονται σε ολόκληρη την έκταση του εν λόγω νόμου. Οι ορισμοί ακολουθούν πιστά τους αντίστοιχους ορισμούς που παρατίθενται στο άρθρο 3 της οδηγίας 2016/680. Βάσει του DPA 2018, ως δεδομένα προσωπικού χαρακτήρα νοείται κάθε πληροφορία που αφορά ταυτοποιημένο ή ταυτοποιήσιμο εν ζωή πρόσωπο (40). Σύμφωνα με το άρθρο 3 παράγραφος 3 του DPA 2018, ένα πρόσωπο είναι ταυτοποιήσιμο εάν η ταυτότητά του μπορεί να εξακριβωθεί άμεσα ή έμμεσα από τις πληροφορίες, μεταξύ άλλων μέσω αναφοράς σε όνομα ή αναγνωριστικό στοιχείο ταυτότητας ή μέσω αναφοράς σε έναν ή περισσότερους παράγοντες που προσιδιάζουν στη σωματική, φυσιολογική, γενετική, ψυχολογική, οικονομική, πολιτιστική ή κοινωνική ταυτότητα του προσώπου. Η έννοια της «επεξεργασίας» ορίζεται ως πράξη ή σειρά πράξεων που πραγματοποιείται σε πληροφορίες ή σε σύνολα πληροφοριών, όπως α) η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση ή η αποθήκευση· β) η προσαρμογή ή η μεταβολή· γ) η ανάκτηση, η αναζήτηση πληροφοριών ή η χρήση· δ) η κοινολόγηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης· ε) η συσχέτιση ή ο συνδυασμός· ή στ) ο περιορισμός, η διαγραφή ή η καταστροφή. Επιπλέον, στον νόμο ορίζεται η «επεξεργασία ευαίσθητων δεδομένων» ως «α) η επεξεργασία δεδομένων προσωπικού χαρακτήρα που αποκαλύπτουν τη φυλετική ή εθνοτική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις ή τη συμμετοχή σε συνδικαλιστική οργάνωση· β) η επεξεργασία γενετικών δεδομένων ή βιομετρικών δεδομένων, με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου· γ) η επεξεργασία δεδομένων που αφορούν την υγεία· δ) η επεξεργασία δεδομένων που αφορούν τη σεξουαλική ζωή ή τον γενετήσιο προσανατολισμό ενός προσώπου» (41). Στο πλαίσιο αυτό, στο άρθρο 205 του DPA 2018 παρατίθεται ο ορισμός των «βιομετρικών δεδομένων» (42), των «δεδομένων που αφορούν την υγεία» (43) και των «γενετικών δεδομένων» (44).

(27)

Το άρθρο 32 του DPA 2018 αποσαφηνίζει τους ορισμένους του «υπεύθυνου επεξεργασίας» και του «εκτελούντος την επεξεργασία» στο πλαίσιο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα για σκοπούς επιβολής του νόμου, ακολουθώντας πιστά τους αντίστοιχους ορισμούς της οδηγίας 2016/680. Ο υπεύθυνος επεξεργασίας είναι η αρμόδια αρχή που καθορίζει τους σκοπούς και τα μέσα της επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Όταν η επεξεργασία απαιτείται από τον νόμο, ο υπεύθυνος επεξεργασίας είναι η αρμόδια αρχή στην οποία επιβάλλεται η υποχρέωση αυτή από τον εν λόγω νόμο. Ο εκτελών την επεξεργασία ορίζεται ως κάθε πρόσωπο που επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για λογαριασμό του υπευθύνου επεξεργασίας (εκτός από πρόσωπο που είναι υπάλληλος του υπευθύνου επεξεργασίας).

(28)

Σύμφωνα με το άρθρο 35 του DPA 2018, η επεξεργασία δεδομένων προσωπικού χαρακτήρα πρέπει να είναι σύννομη και δίκαιη, κατά τρόπο παρόμοιο με το άρθρο 4 παράγραφος 1 στοιχείο α) της οδηγίας (ΕΕ) 2016/680. Σύμφωνα με το άρθρο 35 παράγραφος 2 του DPA 2018, η επεξεργασία δεδομένων προσωπικού χαρακτήρα για οποιονδήποτε από τους σκοπούς επιβολής του νόμου είναι σύννομη μόνον εφόσον βασίζεται στο δίκαιο και είτε το υποκείμενο των δεδομένων έχει συναινέσει στην επεξεργασία για τον σκοπό αυτόν, είτε η επεξεργασία είναι αναγκαία για την εκτέλεση καθήκοντος που ασκείται για τον σκοπό αυτόν από αρμόδια αρχή.

(29)

Όπως ορίζεται και στο άρθρο 8 της οδηγίας (ΕΕ) 2016/680, προκειμένου να διασφαλίζεται η νομιμότητα της επεξεργασίας που εμπίπτει στο μέρος 3 του DPA 2018, η εν λόγω επεξεργασία πρέπει να «βασίζεται στο δίκαιο». «Σύννομη» είναι η επεξεργασία που επιτρέπεται είτε εκ του νόμου είτε βάσει του κοινοδικαίου είτε βάσει βασιλικών προνομίων (45).

(30)

Οι εξουσίες των αρμόδιων αρχών διέπονται κατά κανόνα από νόμους, που σημαίνει ότι τα καθήκοντα και οι εξουσίες τους καθορίζονται σαφώς σε νομοθετικές πράξεις που εγκρίνονται από το Κοινοβούλιο (46). Σε ορισμένες περιπτώσεις, η αστυνομία, καθώς και άλλες αρμόδιες αρχές που παρατίθενται στο παράρτημα 7 του DPA 2018 μπορούν να βασίζονται στο κοινοδίκαιο για την επεξεργασία δεδομένων (47). Το κοινοδίκαιο έχει οικοδομηθεί μέσω των προηγουμένων που θέτουν οι αποφάσεις των δικαστηρίων. Το κοινοδίκαιο έχει σημασία στο πλαίσιο των εξουσιών που διαθέτει η αστυνομία η οποία αντλεί από τη συγκεκριμένη πηγή δικαίου το βασικό της καθήκον να προστατεύει το κοινό μέσω της ανίχνευσης και της πρόληψης των εγκλημάτων (48). Ωστόσο, οι αστυνομικές δυνάμεις διαθέτουν εξουσίες που απορρέουν τόσο από το κοινοδίκαιο όσο και από νομοθετικές πράξεις (49) για την εκτέλεση αυτού του καθήκοντος. Όταν η αστυνομία διαθέτει εξουσία εκ του νόμου, αυτή υπερισχύει έναντι κάθε εξουσίας που απορρέει από το κοινοδίκαιο (50).

(31)

Έχει αναγνωριστεί από τα δικαστήρια ότι το εύρος των εξουσιών και υποχρεώσεων του αστυνομικού, όπως απορρέουν από το κοινοδίκαιο, περιλαμβάνει «όλα τα μέτρα που θεωρεί αναγκαία για τη διατήρηση της ειρήνης, την πρόληψη του εγκλήματος ή την προστασία της περιουσίας από ζημία λόγω εγκληματικής πράξης» (51). Οι εξουσίες που απορρέουν από το κοινοδίκαιο δεν είναι ανεπιφύλακτες. Υπόκεινται σε σειρά περιορισμών, συμπεριλαμβανομένων των ορίων που έχουν καθοριστεί από τα δικαστήρια (52) και από τη νομοθεσία, και ειδικότερα από τον νόμο του 1998 για τα ανθρώπινα δικαιώματα και τον νόμο του 2010 για την ισότητα (Equality Act 2010) (53). Επιπλέον, για τις αρμόδιες αρχές που επεξεργάζονται δεδομένα βάσει του μέρους 3 του DPA 2018, στο πλαίσιο αυτό περιλαμβάνεται και η άσκηση των εξουσιών που απορρέουν από το κοινοδίκαιο σύμφωνα με τις απαιτήσεις που ορίζονται στον DPA 2018 (54). Επίσης, κάθε απόφαση για την εκτέλεση κάθε είδους επεξεργασίας δεδομένων πρέπει να λαμβάνει υπόψη τις απαιτήσεις των εφαρμοστέων οδηγιών, όπως ο κώδικας ορθής πρακτικής ΜοΡΙ, καθώς και τις ειδικές οδηγίες για μία από τις χώρες του Ηνωμένου Βασιλείου (55). Η κυβέρνηση και η επιχειρησιακή αστυνομία εκδίδουν σειρά εγγράφων καθοδήγησης για να διασφαλίσουν ότι οι αστυνομικοί ασκούν τις αρμοδιότητές τους εντός των ορίων που θέτει το κοινοδίκαιο ή ο σχετικός νόμος (56).

(32)

Τα βασιλικά προνόμια αποτελούν μια άλλη συνιστώσα του «δικαίου» και αναφέρονται σε ορισμένες εξουσίες που έχουν ανατεθεί στο Στέμμα και μπορούν να ασκούνται από την εκτελεστική εξουσία και τα οποία δεν βασίζονται στον νόμο, αλλά απορρέουν από την κυριαρχία του μονάρχη (57). Υπάρχουν ελάχιστα παραδείγματα εξουσιών που απορρέουν από τα βασιλικά προνόμια και είναι συναφή στο πλαίσιο της επιβολής του νόμου. Περιλαμβάνουν, για παράδειγμα, το πλαίσιο αμοιβαίας δικαστικής συνδρομής που επιτρέπει την κοινοποίηση δεδομένων από ανώτερο υπουργό σε τρίτες χώρες για σκοπούς επιβολής του νόμου και η εξουσία κοινοποίησης δεδομένων μ’ αυτόν τον τρόπο δεν ορίζεται πάντα με νόμο (58). Τα βασιλικά προνόμια δεσμεύονται από τις αρχές του κοινοδικαίου (59) και υπάγονται στον νόμο, ως εκ τούτου υπόκεινται στα όρια που προβλέπονται από τον νόμο του 1998 για τα ανθρώπινα δικαιώματα και από τον DPA 2018 (60).

(33)

Όπως και στο άρθρο 8 της οδηγίας (ΕΕ) 2016/680, το καθεστώς του Ηνωμένου Βασιλείου απαιτεί από τις αρμόδιες αρχές, προκειμένου να συμμορφώνονται με την αρχή της νομιμότητας, να διασφαλίζουν ότι όταν η επεξεργασία βασίζεται στον νόμο, πρέπει να είναι επίσης «απαραίτητο» να εκτελούν το καθήκον που ασκείται για σκοπούς επιβολής του νόμου. Το ICO παρέχει καθοδήγηση σχετικά με το θέμα αυτό διευκρινίζοντας ότι «πρέπει να είναι ένας στοχευμένος και αναλογικός τρόπος για την επίτευξη του σκοπού. Η νόμιμη βάση δεν ισχύει εάν μπορείτε να επιτύχετε εύλογα τον σκοπό με άλλα λιγότερο παρεμβατικά μέσα. Δεν αρκεί το επιχείρημα ότι η επεξεργασία είναι αναγκαία επειδή έχετε επιλέξει να ασκήσετε τα καθήκοντά σας με συγκεκριμένο τρόπο. Το ερώτημα είναι αν η επεξεργασία είναι αναγκαία για τον δηλωθέντα σκοπό» (61).

(34)

Όπως αναφέρεται στην αιτιολογική σκέψη (28), το άρθρο 35 παράγραφος 2 του DPA 2018 προβλέπει τη δυνατότητα επεξεργασίας δεδομένων προσωπικού χαρακτήρα βάσει της «συγκατάθεσης» του προσώπου.

(35)

Ωστόσο, η συγκατάθεση δεν φαίνεται να αποτελεί συναφή νομική βάση για τις πράξεις επεξεργασίας που εμπίπτουν στο πεδίο της παρούσας απόφασης. Μάλιστα, οι πράξεις επεξεργασίας που καλύπτονται από την παρούσα απόφαση θα αφορούν πάντα δεδομένα που έχουν διαβιβαστεί βάσει της οδηγίας (ΕΕ) 2016/680 από αρμόδια αρχή κράτους μέλους σε αρμόδια αρχή του Ηνωμένου Βασιλείου. Ως εκ τούτου, κατά κανόνα δεν περιλαμβάνουν το είδος άμεσης αλληλεπίδρασης (συλλογή) μεταξύ δημόσιας αρχής και των υποκειμένων των δεδομένων που μπορεί να βασίζεται στη συγκατάθεση σύμφωνα με το άρθρο 35 παράγραφος 2 στοιχείο a) του DPA 2018.

(36)

Παρότι η βάση της συγκατάθεσης δεν θεωρείται, συνεπώς, συναφής για την αξιολόγηση που διενεργείται στο πλαίσιο της παρούσας απόφασης, αξίζει να σημειωθεί, χάριν πληρότητας, ότι στο πλαίσιο της επιβολής του νόμου η επεξεργασία δεν βασίζεται ποτέ αποκλειστικά στη συγκατάθεση, καθώς η αρμόδια αρχή πρέπει πάντοτε να βασίζεται σε υποκείμενη εξουσία η οποία της επιτρέπει να επεξεργάζεται τα δεδομένα (62). Πιο συγκεκριμένα, όπως προβλέπεται επίσης στην οδηγία (ΕΕ) 2016/680 (63), αυτό σημαίνει ότι η συγκατάθεση χρησιμεύει ως πρόσθετη προϋπόθεση για να καταστούν δυνατές ορισμένες περιορισμένες και συγκεκριμένες πράξεις επεξεργασίας οι οποίες σε διαφορετική περίπτωση δεν θα μπορούσαν να πραγματοποιηθούν, για παράδειγμα η συλλογή και επεξεργασία δείγματος DNA προσώπου που δεν είναι ύποπτο. Στην περίπτωση αυτή, η επεξεργασία δεν πραγματοποιείται εάν δεν παρασχεθεί συγκατάθεση ή εάν αυτή ανακληθεί (64).

(37)

Σε περιπτώσεις όπου απαιτείται η συγκατάθεση του προσώπου, η εν λόγω συγκατάθεση πρέπει να είναι αδιαμφισβήτητη και να περιλαμβάνει σαφή θετική ενέργεια (65). Οι αστυνομικές δυνάμεις υποχρεούνται να διαθέτουν δήλωση περί προστασίας της ιδιωτικότητας, η οποία περιλαμβάνει, μεταξύ άλλων, τις απαραίτητες πληροφορίες σχετικά με την έγκυρη χρήση της συγκατάθεσης. Επιπλέον, κάποιες από αυτές δημοσιεύουν πρόσθετο υλικό σχετικά με τον τρόπο με τον οποίο συμμορφώνονται με τη νομοθεσία για την προστασία των δεδομένων, συμπεριλαμβανομένου του τρόπου και του χρόνου χρήσης της συγκατάθεσης ως νομικής βάσης (66).

(38)

Θα πρέπει να προβλέπονται ειδικές εγγυήσεις για την επεξεργασία «ειδικών κατηγοριών δεδομένων». Στο πλαίσιο αυτό, όπως προβλέπεται και στο άρθρο 10 της οδηγίας (ΕΕ) 2016/680, το μέρος 3 του DPA 2018 προβλέπει ισχυρότερες εγγυήσεις για τη λεγόμενη «επεξεργασία ευαίσθητων δεδομένων» (67).

(39)

Σύμφωνα με το άρθρο 35 παράγραφος 3 του DPA 1998, τα ευαίσθητα δεδομένα μπορούν να υποβάλλονται σε επεξεργασία από αρμόδιες αρχές για σκοπούς επιβολής του νόμου μόνο σε δύο περιπτώσεις: 1) το υποκείμενο των δεδομένων έχει παράσχει τη συγκατάθεσή του για την επεξεργασία για σκοπούς επιβολής του νόμου και τη στιγμή κατά την οποία πραγματοποιείται η επεξεργασία, ο υπεύθυνος επεξεργασίας διαθέτει έγγραφο κατάλληλης πολιτικής (appropriate policy document, APD) (68)· ή 2) η επεξεργασία είναι απολύτως απαραίτητη για τον σκοπό της επιβολής του νόμου, η επεξεργασία πληροί τουλάχιστον μία από τις προϋποθέσεις του παραρτήματος 8 του DPA 2018, και τη στιγμή κατά την οποία πραγματοποιείται η επεξεργασία, ο υπεύθυνος επεξεργασίας διαθέτει έγγραφο κατάλληλης πολιτικής (69).

(40)

Όσον αφορά την πρώτη περίπτωση και όπως εξηγείται στην αιτιολογική σκέψη 38, η βάση της συγκατάθεσης δεν θεωρείται συναφής στο είδος της κατάστασης διαβίβασης που υπόκειται στην παρούσα απόφαση (70).

(41)

Όταν η επεξεργασία ευαίσθητων δεδομένων δεν βασίζεται στη συγκατάθεση, μπορεί να διεξάγεται με τη χρήση μίας από τις προϋποθέσεις που απαριθμούνται στο παράρτημα 8 του DPA 2018. Οι προϋποθέσεις αυτές αφορούν την επεξεργασία που είναι απαραίτητη για νόμιμους σκοπούς· για την απονομή δικαιοσύνης· για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλου προσώπου· για την προστασία παιδιών και προσώπων που διατρέχουν κίνδυνο· για νομικές αξιώσεις· για δικαστικές πράξεις· για την πρόληψη της απάτης· για σκοπούς αρχειοθέτησης· όταν τα δεδομένα προσωπικού χαρακτήρα έχουν προδήλως δημοσιοποιηθεί από το υποκείμενο των δεδομένων. Εκτός από την περίπτωση κατά την οποία τα δεδομένα έχουν προδήλως δημοσιοποιηθεί, όλες οι προϋποθέσεις που προβλέπονται στο παράρτημα 8 υπόκεινται σε έλεγχο «αυστηρώς αναγκαίου χαρακτήρα». Όπως διευκρινίζει το ICO, «ο αυστηρώς αναγκαίος χαρακτήρας σ’ αυτό το πλαίσιο σημαίνει ότι η επεξεργασία πρέπει να σχετίζεται με επιτακτική κοινωνική ανάγκη, και δεν είναι ευλόγως δυνατή η επίτευξή της με λιγότερο παρεμβατικά μέσα» (71). Επιπλέον, κάποιες από τις προϋποθέσεις υπόκεινται σε πρόσθετους περιορισμούς. Για παράδειγμα, για να γίνει επίκληση της προϋπόθεσης των «νόμιμων σκοπών» και της «προϋπόθεσης προστασίας» (παράρτημα 8 παράγραφος 1 και παράγραφος 4), πρέπει να πληρούται ένα πρόσθετο κριτήριο ουσιαστικού δημόσιου συμφέροντος. Επιπλέον, σε σχέση με τις προϋποθέσεις που αφορούν την προστασία του παιδιού (παράρτημα 8 παράγραφος 4), το υποκείμενο των δεδομένων πρέπει επίσης να είναι συγκεκριμένης ηλικίας και να θεωρείται ότι διατρέχει κίνδυνο. Επιπλέον, ο υπεύθυνος επεξεργασίας μπορεί να εφαρμόσει την προϋπόθεση που προβλέπεται στο παράρτημα 8 παράγραφος 4 μόνο σε ειδικές περιστάσεις (72). Ομοίως, υπάρχουν περιορισμοί για τις προϋποθέσεις των «δικαστικών πράξεων» και της «πρόληψης της απάτης» (παράρτημα 8 παράγραφοι 7 και 8, αντίστοιχα). Και οι δύο ισχύουν μόνο για συγκεκριμένους υπευθύνους επεξεργασίας. Στην περίπτωση των δικαστικών πράξεων, μόνο δικαστήριο ή άλλη δικαστική αρχή μπορεί να χρησιμοποιήσει την προϋπόθεση αυτή, ενώ στην περίπτωση της πρόληψης της απάτης μόνον οι υπεύθυνοι επεξεργασίας που είναι οργανώσεις καταπολέμησης της απάτης μπορούν να βασίζονται στην προϋπόθεση αυτή.

(42)

Τέλος, όταν η επεξεργασία βασίζεται σε μία από τις προϋποθέσεις που απαριθμούνται στο παράρτημα 8 και, αντίστοιχα, σύμφωνα με το άρθρο 42 του DPA 2018, θα πρέπει να υπάρχει «έγγραφο κατάλληλης πολιτικής» —το οποίο επεξηγεί τις διαδικασίες που ακολουθεί ο υπεύθυνος επεξεργασίας για τη διασφάλιση της συμμόρφωσης με τις αρχές προστασίας των δεδομένων και τις πολιτικές που ακολουθεί όσον αφορά τη διατήρηση και τη διαγραφή δεδομένων— ενώ εφαρμόζονται επίσης υποχρεώσεις τήρησης επαυξημένου αρχείου.

(43)

Τα δεδομένα προσωπικού χαρακτήρα πρέπει να υποβάλλονται σε επεξεργασία για συγκεκριμένο σκοπό και στη συνέχεια να χρησιμοποιούνται μόνο στο μέτρο που αυτό δεν είναι ασύμβατο με τον σκοπό της επεξεργασίας. Αυτή η αρχή προστασίας των δεδομένων κατοχυρώνεται στο άρθρο 36 του DPA 2018. Η διάταξη αυτή, όπως και το άρθρο 4 παράγραφος 1 στοιχείο β) της οδηγίας (ΕΕ) 2016/680, προβλέπει ότι α) ο σκοπός επιβολής του νόμου για τον οποίο συλλέγονται σε κάθε περίσταση τα δεδομένα προσωπικού χαρακτήρα θα πρέπει να είναι καθορισμένος, ρητός και νόμιμος, και β) τα δεδομένα προσωπικού χαρακτήρα που συλλέγονται με τον τρόπο αυτό δεν πρέπει να υποβάλλονται σε επεξεργασία κατά τρόπο ασύμβατο προς τον σκοπό για τον οποίο συλλέχθηκαν.

(44)

Όταν οι αρμόδιες αρχές επεξεργάζονται δεδομένα για σκοπούς επιβολής του νόμου, η επεξεργασία αυτή μπορεί να περιλαμβάνει σκοπούς αρχειοθέτησης, επιστημονικής ή ιστορικής έρευνας και στατιστικούς σκοπούς (73). Σ’ αυτές τις περιπτώσεις, ο DPA 2018 διευκρινίζει επίσης ότι η αρχειοθέτηση (ή η επεξεργασία για επιστημονική ή ιστορική έρευνα και στατιστικούς σκοπούς) δεν επιτρέπεται όταν πραγματοποιείται σε σχέση με αποφάσεις που λαμβάνονται για συγκεκριμένο υποκείμενο δεδομένων ή εάν αυτή ενδέχεται να του προκαλέσει σημαντική ζημία ή οδύνη (74).

(45)

Τα δεδομένα πρέπει να είναι ακριβή και, όταν χρειάζεται, να επικαιροποιούνται. Πρέπει επίσης να είναι κατάλληλα, συναφή και όχι υπερβολικά σε σχέση με τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία. Όπως και στο άρθρο 4 παράγραφος 1 στοιχεία γ), δ) και ε) της οδηγίας (ΕΕ) 2016/680, οι αρχές αυτές διασφαλίζονται στα άρθρα 37 και 38 του DPA 2018. Θα πρέπει να λαμβάνονται όλα τα εύλογα μέτρα ώστε να διασφαλίζεται ότι δεδομένα προσωπικού χαρακτήρα που είναι ανακριβή (75) διαγράφονται ή διορθώνονται χωρίς καθυστέρηση (76), λαμβανομένου υπόψη του σκοπού επιβολής του νόμου για τον οποίο υποβάλλονται σε επεξεργασία (77), καθώς και να διασφαλίζεται ότι δεδομένα προσωπικού χαρακτήρα που είναι ανακριβή, ελλιπή ή δεν είναι πλέον επικαιροποιημένα δεν διαβιβάζονται ούτε καθίστανται διαθέσιμα για κανέναν από τους σκοπούς επιβολής του νόμου (78).

(46)

Επιπλέον, όπως και στο άρθρο 7 της οδηγίας (ΕΕ) 2016/680, το καθεστώς προστασίας δεδομένων του Ηνωμένου Βασιλείου προβλέπει ότι τα δεδομένα προσωπικού χαρακτήρα που βασίζονται σε πραγματικά περιστατικά πρέπει, στο μέτρο του δυνατού, να διακρίνονται από τα δεδομένα προσωπικού χαρακτήρα που βασίζονται σε προσωπικές εκτιμήσεις (79). Κατά περίπτωση και στο μέτρο του δυνατού, πρέπει να γίνεται σαφής διάκριση μεταξύ των δεδομένων προσωπικού χαρακτήρα που αφορούν διαφορετικές κατηγορίες υποκειμένων των δεδομένων, όπως υπόπτους, πρόσωπα που έχουν καταδικαστεί για ποινικό αδίκημα, θύματα ποινικών αδικημάτων και μάρτυρες (80).

(47)

Σύμφωνα με το άρθρο 5 της οδηγίας (ΕΕ) 2016/680, τα δεδομένα θα πρέπει, καταρχήν, να διατηρούνται μόνο για χρονικό διάστημα που δεν υπερβαίνει τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία τα δεδομένα προσωπικού χαρακτήρα. Σύμφωνα με το άρθρο 39 του DPA 2018, και όπως προβλέπεται και στο άρθρο 5 της εν λόγω οδηγίας, απαγορεύεται η διατήρηση δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία για οποιονδήποτε από τους σκοπούς επιβολής του νόμου για διάστημα που υπερβαίνει το αναγκαίο σε σχέση με τον σκοπό για τον οποίο υποβάλλονται σε επεξεργασία. Το νομικό καθεστώς του Ηνωμένου Βασιλείου απαιτεί τη θέσπιση κατάλληλων προθεσμιών για την περιοδική επανεξέταση της αναγκαιότητας συνεχούς αποθήκευσης δεδομένων προσωπικού χαρακτήρα για οποιονδήποτε από τους σκοπούς επιβολής του νόμου. Στη σχετική νομοθεσία και στις οδηγίες που διέπουν τις εξουσίες και τη λειτουργία της αστυνομίας έχουν θεσπιστεί περαιτέρω κανόνες σχετικά με τις πρακτικές που αφορούν τη διατήρηση δεδομένων προσωπικού χαρακτήρα και τις εφαρμοστέες προθεσμίες. Για παράδειγμα, στην Αγγλία και την Ουαλία, ο κώδικας ορθής πρακτικής ΜοΡΙ του Σώματος των Εργαζομένων στην Αστυνόμευση, μαζί με το έγγραφο καθοδήγησης APP για τη διαχείριση πληροφοριών της αστυνομίας, παρέχουν ένα πλαίσιο για τη διασφάλιση μιας συνεπούς διαδικασίας διατήρησης, επανεξέτασης και διάθεσης βάσει κινδύνου για τη διαχείριση των επιχειρησιακών πληροφοριών αστυνόμευσης (81). Το πλαίσιο αυτό δημιουργεί σαφείς προσδοκίες σε ολόκληρη την υπηρεσία όσον αφορά τον τρόπο με τον οποίο οι πληροφορίες θα πρέπει να δημιουργούνται, να ανταλλάσσονται, να χρησιμοποιούνται και να αποτελούν αντικείμενο διαχείρισης εντός και μεταξύ των επιμέρους αστυνομικών δυνάμεων και άλλων υπηρεσιών (82). Η αστυνομία θα πρέπει να συμμορφώνεται με τον κώδικα ορθής πρακτικής και η συμμόρφωσή της επαληθεύεται από την Επιθεώρηση Αστυνομικών, Πυροσβεστικών και Διασωστικών Υπηρεσιών του Ηνωμένου Βασιλείου (83).

(48)

Η Αστυνομική Υπηρεσία της Βόρειας Ιρλανδίας (PSNI) δεν έχει εκ του νόμου υποχρέωση να τηρεί τον κώδικα ορθής πρακτικής ΜοΡΙ. Ωστόσο, το πλαίσιο MoPI που εγκρίθηκε το 2011 συμπληρώνεται με εγχειρίδιο της PSNI (84), το οποίο καθορίζει τις πολιτικές και τις διαδικασίες σχετικά με τον τρόπο εφαρμογής του κώδικα ορθής πρακτικής ΜοΡI στη Βόρεια Ιρλανδία.

(49)

Στη Σκωτία, οι αστυνομικές δυνάμεις βασίζονται στην τυποποιημένη διαδικασία λειτουργίας για τη διατήρηση αρχείων (Record Retention Standard Operating Procedure, SOP) (85) η οποία υποστηρίζει την πολιτική διαχείρισης αρχείων (Records Management Policy) (86) της Αστυνομικής Υπηρεσίας της Σκωτίας. Η SOP ορίζει ειδικούς κανόνες διατήρησης για τα αρχεία που τηρεί η αστυνομία της Σκωτίας.

(50)

Εκτός από τη γενική απαίτηση επανεξέτασης των αρχείων, η οποία ισχύει σε ολόκληρο το Ηνωμένο Βασίλειο, στους τοπικούς κανόνες παρέχονται περισσότερες λεπτομέρειες. Για παράδειγμα, όσον αφορά την Αγγλία και την Ουαλία, ο νόμος για την αστυνομία και τα αποδεικτικά στοιχεία σε ποινικές διαδικασίες, όπως τροποποιήθηκε με τον νόμο του 2012 για την προστασία των ελευθεριών (PoFA), προβλέπει τη διατήρηση δακτυλικών αποτυπωμάτων και προφίλ DNA, καθώς και ειδικό καθεστώς για τα πρόσωπα που δεν έχουν καταδικαστεί (87). Με τον PoFA δημιουργήθηκε επίσης η θέση του Επιτρόπου για τη Διατήρηση και Χρήση Βιομετρικού Υλικού (στο εξής: Επίτροπος Βιομετρικών Στοιχείων) (88). Στην επισκόπηση εικόνων κράτησης του 2017 ορίζονται ειδικοί κανόνες σχετικά με τις εικόνες κράτησης (89). Όσον αφορά τη Σκωτία, ο νόμος του 1995 για την ποινική δικονομία (Σκωτία) προβλέπει τους κανόνες για τη λήψη και τη διατήρηση δακτυλικών αποτυπωμάτων και βιολογικών δειγμάτων (90). Όπως και στην περίπτωση της Αγγλίας και της Ουαλίας, η νομοθεσία ρυθμίζει τη διατήρηση των βιομετρικών δεδομένων σε διάφορες περιπτώσεις (91).

(51)

Τα δεδομένα προσωπικού χαρακτήρα πρέπει να υποβάλλονται σε επεξεργασία κατά τρόπο που εγγυάται την ασφάλειά τους, συμπεριλαμβανομένης της προστασίας τους από μη εγκεκριμένη ή παράνομη επεξεργασία και τυχαία απώλεια, καταστροφή ή φθορά. Για τον σκοπό αυτό, οι δημόσιες αρχές πρέπει να λαμβάνουν τα κατάλληλα τεχνικά ή οργανωτικά μέτρα για την προστασία των δεδομένων προσωπικού χαρακτήρα από πιθανές απειλές. Τα μέτρα αυτά πρέπει να αξιολογούνται με βάση την πιο προηγμένη τεχνολογία και το σχετικό κόστος.

(52)

Οι αρχές αυτές αντικατοπτρίζονται στο άρθρο 40 του DPA 2018, σύμφωνα με το οποίο, όπως προβλέπεται και στο άρθρο 4 παράγραφος 1 στοιχείο στ) της οδηγίας (ΕΕ) 2016/680, τα δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία για οποιονδήποτε από τους σκοπούς επιβολής του νόμου πρέπει να υποβάλλονται σε επεξεργασία κατά τρόπο που να εγγυάται τη δέουσα ασφάλεια των δεδομένων προσωπικού χαρακτήρα, με χρήση κατάλληλων τεχνικών ή οργανωτικών μέτρων. Μεταξύ αυτών περιλαμβάνεται η προστασία των δεδομένων από μη εγκεκριμένη ή παράνομη επεξεργασία και από τυχαία απώλεια, καταστροφή ή φθορά (92). Το άρθρο 66 του DPA 2018 ορίζει περαιτέρω ότι κάθε υπεύθυνος επεξεργασίας και κάθε εκτελών την επεξεργασία πρέπει να εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα για να διασφαλίζει επίπεδο ασφάλειας κατάλληλο για τους κινδύνους που προκύπτουν από την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Σύμφωνα με τις επεξηγηματικές σημειώσεις, ο υπεύθυνος επεξεργασίας πρέπει να αξιολογεί τους κινδύνους και να εφαρμόζει κατάλληλα μέτρα ασφαλείας με βάση αυτή την αξιολόγηση, για παράδειγμα, κρυπτογράφηση ή συγκεκριμένα επίπεδα ελέγχου για το προσωπικό που επεξεργάζεται τα δεδομένα (93). Η αξιολόγηση πρέπει επίσης να λαμβάνει υπόψη, για παράδειγμα, τη φύση των δεδομένων που υποβάλλονται σε επεξεργασία και άλλους σχετικούς παράγοντες ή περιστάσεις που θα μπορούσαν να επηρεάσουν την ασφάλεια της επεξεργασίας.

(53)

Το καθεστώς που διέπει τη συμμόρφωση με τις αρχές ασφάλειας των δεδομένων είναι παρόμοιο με εκείνο που θεσπίζεται στα άρθρα 29 έως 31 της οδηγίας (ΕΕ) 2016/680. Ειδικότερα, σε περίπτωση παραβίασης δεδομένων προσωπικού χαρακτήρα για τα οποία έχει ευθύνη ο υπεύθυνος επεξεργασίας, σύμφωνα με το άρθρο 67 παράγραφος 1 του DPA 2018, ο υπεύθυνος επεξεργασίας πρέπει, χωρίς αδικαιολόγητη καθυστέρηση και στο μέτρο του εφικτού, εντός 72 ωρών από τη στιγμή που έλαβε γνώση της παραβίασης, να κοινοποιήσει την παραβίαση δεδομένων προσωπικού χαρακτήρα στον Επίτροπο Πληροφοριών (94). Η υποχρέωση κοινοποίησης δεν ισχύει όταν η παραβίαση δεδομένων προσωπικού χαρακτήρα είναι απίθανο να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των προσώπων (95). Ο υπεύθυνος επεξεργασίας πρέπει να τεκμηριώνει τα πραγματικά περιστατικά που σχετίζονται με οποιαδήποτε παραβίαση δεδομένων προσωπικού χαρακτήρα, τις επιπτώσεις της και τα διορθωτικά μέτρα που λαμβάνονται κατά τρόπο που να επιτρέπει στον Επίτροπο Πληροφοριών να επαληθεύσει τη συμμόρφωση με τον νόμο για την προστασία των δεδομένων (96). Εάν ο εκτελών την επεξεργασία αντιληφθεί παραβίαση της ασφάλειας, πρέπει να ενημερώσει τον υπεύθυνο επεξεργασίας χωρίς αδικαιολόγητη καθυστέρηση (97).

(54)

Σύμφωνα με το άρθρο 68 παράγραφος 1 του DPA 2018, εάν η παραβίαση δεδομένων προσωπικού χαρακτήρα ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες προσώπων, ο υπεύθυνος επεξεργασίας πρέπει να ενημερώσει το υποκείμενο των δεδομένων σχετικά με την παραβίαση χωρίς αδικαιολόγητη καθυστέρηση (98). Η ειδοποίηση πρέπει να περιλαμβάνει τις ίδιες πληροφορίες που περιλαμβάνει και η κοινοποίηση στον Επίτροπο Πληροφοριών, όπως περιγράφεται στην αιτιολογική σκέψη (53). Η υποχρέωση αυτή δεν ισχύει εάν ο υπεύθυνος επεξεργασίας έχει εφαρμόσει κατάλληλα τεχνικά και οργανωτικά μέτρα προστασίας, τα οποία εφαρμόστηκαν στα δεδομένα προσωπικού χαρακτήρα που επηρεάστηκαν από την παραβίαση. Δεν ισχύει επίσης εάν ο υπεύθυνος επεξεργασίας έλαβε στη συνέχεια μέτρα που διασφαλίζουν ότι δεν είναι πλέον πιθανόν να προκύψει ο υψηλός κίνδυνος για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων. Τέλος, ο υπεύθυνος επεξεργασίας δεν υποχρεούται να ενημερώσει το υποκείμενο των δεδομένων εάν αυτό θα συνεπαγόταν δυσανάλογη προσπάθεια (99). Σ’ αυτή την περίπτωση, οι πληροφορίες πρέπει να διατίθενται στο υποκείμενο των δεδομένων με άλλον εξίσου αποτελεσματικό τρόπο, για παράδειγμα μέσω δημόσιας ανακοίνωσης (100). Εάν ο υπεύθυνος επεξεργασίας δεν έχει ενημερώσει το υποκείμενο των δεδομένων για την παραβίαση, ο Επίτροπος Πληροφοριών, αφού ενημερωθεί σύμφωνα με το άρθρο 67 του DPA και αφού λάβει υπόψη την πιθανότητα η παραβίαση να οδηγήσει σε υψηλό κίνδυνο, μπορεί να απαιτήσει από τον υπεύθυνο επεξεργασίας να ενημερώσει το υποκείμενο των δεδομένων για την παραβίαση (101).

(55)

Τα υποκείμενα των δεδομένων πρέπει να ενημερώνονται για τα βασικά χαρακτηριστικά της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα τους. Αυτή η αρχή προστασίας των δεδομένων αντικατοπτρίζεται στο άρθρο 44 του DPA 2018, το οποίο, όπως και το άρθρο 13 της οδηγίας (ΕΕ) 2016/680, προβλέπει ότι ο υπεύθυνος επεξεργασίας έχει γενικό καθήκον να παρέχει στα υποκείμενα των δεδομένων πληροφορίες σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα που τα αφορούν (είτε καθιστώντας τις πληροφορίες εν γένει διαθέσιμες στο κοινό είτε με οποιονδήποτε άλλον τρόπο) (102). Οι πληροφορίες που πρέπει να διατίθενται περιλαμβάνουν α) την ταυτότητα και τα στοιχεία επικοινωνίας του υπεύθυνου επεξεργασίας· β) κατά περίπτωση, τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων· γ) τους σκοπούς για τους οποίους ο υπεύθυνος επεξεργασίας επεξεργάζεται δεδομένα προσωπικού χαρακτήρα· δ) την ύπαρξη των δικαιωμάτων των υποκειμένων των δεδομένων να υποβάλουν αίτημα στον υπεύθυνο επεξεργασίας για πρόσβαση στα δεδομένα προσωπικού χαρακτήρα, διόρθωση δεδομένων προσωπικού χαρακτήρα και διαγραφή δεδομένων προσωπικού χαρακτήρα ή για τον περιορισμό της επεξεργασίας τους· και ε) την ύπαρξη του δικαιώματος υποβολής καταγγελίας στον Επίτροπο Πληροφοριών και τα στοιχεία επικοινωνίας του Επιτρόπου (103).

(56)

Ο υπεύθυνος επεξεργασίας πρέπει επίσης, σε ορισμένες περιπτώσεις, προκειμένου να διευκολύνει την άσκηση των δικαιωμάτων του υποκειμένου των δεδομένων βάσει του DPA 2018 (για παράδειγμα, όταν τα δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία συλλέχθηκαν εν αγνοία του υποκειμένου των δεδομένων), να παρέχει στο υποκείμενο των δεδομένων πληροφορίες σχετικά α) με τη νομική βάση της επεξεργασίας· β) πληροφορίες σχετικά με το χρονικό διάστημα αποθήκευσης των δεδομένων προσωπικού χαρακτήρα ή, όταν αυτό είναι αδύνατο, σχετικά με τα κριτήρια που καθορίζουν το εν λόγω διάστημα· γ) όπου συντρέχει περίπτωση, πληροφορίες για τις κατηγορίες αποδεκτών των δεδομένων προσωπικού χαρακτήρα (μεταξύ άλλων αποδέκτες σε τρίτες χώρες ή διεθνείς οργανισμούς)· δ) περαιτέρω πληροφορίες που είναι απαραίτητες για να καταστεί δυνατή η άσκηση των δικαιωμάτων του υποκειμένου των δεδομένων σύμφωνα με το μέρος 3 του DPA 2018 (104).

(57)

Τα υποκείμενα των δεδομένων πρέπει να διαθέτουν ορισμένα εκτελεστά δικαιώματα. Το μέρος 3 κεφάλαιο 3 του DPA 2018 παρέχει στα φυσικά πρόσωπα δικαιώματα πρόσβασης, διόρθωσης και διαγραφής, καθώς και περιορισμού (105), τα οποία είναι συγκρίσιμα με εκείνα που προβλέπονται στο κεφάλαιο 3της οδηγίας (ΕΕ) 2016/680.

(58)

Το δικαίωμα πρόσβασης καθορίζεται στο άρθρο 45 του DPA 2018. Πρώτον, ένα πρόσωπο δικαιούται να λάβει επιβεβαίωση από τον υπεύθυνο επεξεργασίας για το αν τα δεδομένα προσωπικού χαρακτήρα που το αφορούν υποβάλλονται σε επεξεργασία ή όχι (106). Δεύτερον, όταν τα δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία, το υποκείμενο των δεδομένων έχει δικαίωμα πρόσβασης στα εν λόγω δεδομένα καθώς και δικαίωμα να λάβει τις ακόλουθες πληροφορίες σχετικά με την επεξεργασία: α) τους σκοπούς και τις νομικές βάσεις της επεξεργασίας· β) τις κατηγορίες των σχετικών δεδομένων· γ) τον αποδέκτη στον οποίο έχουν κοινολογηθεί τα δεδομένα· δ) το χρονικό διάστημα αποθήκευσης των δεδομένων προσωπικού χαρακτήρα· ε) την ύπαρξη δικαιώματος του υποκειμένου των δεδομένων για διόρθωση και διαγραφή δεδομένων προσωπικού χαρακτήρα· στ) το δικαίωμα υποβολής καταγγελίας· και ζ) οποιαδήποτε πληροφορία σχετικά με την προέλευση των εν λόγω δεδομένων προσωπικού χαρακτήρα (107).

(59)

Σύμφωνα με το άρθρο 46 του DPA 2018, το υποκείμενο των δεδομένων έχει το δικαίωμα να απαιτήσει από τον υπεύθυνο επεξεργασίας να διορθώσει ανακριβή δεδομένα προσωπικού χαρακτήρα που το αφορούν. Ο υπεύθυνος επεξεργασίας πρέπει να διορθώσει (ή σε περίπτωση που τα δεδομένα είναι ανακριβή επειδή είναι ελλιπή, να συμπληρώσει) τα δεδομένα χωρίς αδικαιολόγητη καθυστέρηση. Εάν τα δεδομένα προσωπικού χαρακτήρα πρέπει να διατηρηθούν για αποδεικτικούς σκοπούς, ο υπεύθυνος επεξεργασίας πρέπει (αντί να διορθώνει τα δεδομένα προσωπικού χαρακτήρα) να περιορίζει την επεξεργασία τους (108).

(60)

Το άρθρο 47 του DPA 2018 παρέχει στα φυσικά πρόσωπα το δικαίωμα διαγραφής και περιορισμού της επεξεργασίας. Ο υπεύθυνος επεξεργασίας πρέπει (109) να διαγράφει τα δεδομένα προσωπικού χαρακτήρα χωρίς αδικαιολόγητη καθυστέρηση όταν η επεξεργασία των δεδομένων προσωπικού χαρακτήρα θα παρέβαινε οποιαδήποτε από τις αρχές προστασίας των δεδομένων, τους νομικούς λόγους της επεξεργασίας ή τις εγγυήσεις που σχετίζονται με την αρχειοθέτηση και την επεξεργασία ευαίσθητων δεδομένων. Ο υπεύθυνος επεξεργασίας πρέπει επίσης να διαγράψει τα δεδομένα εάν υπέχει σχετική νομική υποχρέωση. Εάν τα δεδομένα προσωπικού χαρακτήρα πρέπει να διατηρηθούν για αποδεικτικούς σκοπούς, ο υπεύθυνος επεξεργασίας πρέπει να περιορίζει την επεξεργασία των δεδομένων προσωπικού χαρακτήρα (αντί να τα διαγράφει) (110). Ο υπεύθυνος επεξεργασίας πρέπει να περιορίζει την επεξεργασία των δεδομένων προσωπικού χαρακτήρα εάν το υποκείμενο των δεδομένων αμφισβητεί την ακρίβεια των δεδομένων προσωπικού χαρακτήρα, αλλά δεν είναι δυνατόν να εξακριβωθεί αν αυτά είναι ακριβή ή όχι (111).

(61)

Όταν το υποκείμενο των δεδομένων ζητεί τη διόρθωση ή τη διαγραφή δεδομένων προσωπικού χαρακτήρα ή τον περιορισμό της επεξεργασίας τους, ο υπεύθυνος επεξεργασίας πρέπει να ενημερώνει γραπτώς το υποκείμενο των δεδομένων σχετικά με το αν το αίτημα έγινε δεκτό και σε περίπτωση που αυτό απορρίπτεται, να ενημερώνει το υποκείμενο των δεδομένων για τους λόγους της απόρριψης και για τα διαθέσιμα ένδικα μέσα (δικαίωμα του υποκειμένου των δεδομένων να υποβάλει αίτημα στον Επίτροπο Πληροφοριών για τη διερεύνηση της νομιμότητας του περιορισμού, δικαίωμα υποβολής καταγγελίας στον Επίτροπο Πληροφοριών και δικαίωμα υποβολής αίτησης σε δικαστήριο για έκδοση εντολής συμμόρφωσης) (112).

(62)

Όταν ο υπεύθυνος επεξεργασίας διορθώνει δεδομένα προσωπικού χαρακτήρα που έχει λάβει από άλλη αρμόδια αρχή, πρέπει να ενημερώνει την άλλη αρχή (113). Όταν ο υπεύθυνος επεξεργασίας διορθώνει, διαγράφει ή περιορίζει την επεξεργασία δεδομένων προσωπικού χαρακτήρα τα οποία έχουν κοινολογηθεί από τον υπεύθυνο επεξεργασίας, πρέπει να ενημερώνει τους αποδέκτες, οι οποίοι με τη σειρά τους πρέπει να διορθώσουν, να διαγράψουν ή να περιορίσουν την επεξεργασία των δεδομένων προσωπικού χαρακτήρα (στο μέτρο που φέρουν ευθύνη γι’ αυτά) (114).

(63)

Επιπλέον, το υποκείμενο των δεδομένων έχει το δικαίωμα να ενημερώνεται χωρίς αδικαιολόγητη καθυστέρηση από τον υπεύθυνο επεξεργασίας σχετικά με παραβίαση δεδομένων προσωπικού χαρακτήρα, όταν αυτή ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες προσώπων (115).

(64)

Όσον αφορά όλα τα δικαιώματα του υποκειμένου των δεδομένων και όπως προβλέπεται και στο άρθρο 12 της οδηγίας (ΕΕ) 2016/680, ο υπεύθυνος επεξεργασίας έχει την υποχρέωση να διασφαλίζει ότι παρέχει στο υποκείμενο των δεδομένων κάθε πληροφορία σε συνοπτική, κατανοητή και ευκόλως προσβάσιμη μορφή (116) και, όπου είναι δυνατόν, με την ίδια μορφή που υποβλήθηκε η αίτηση (117). Ο υπεύθυνος επεξεργασίας πρέπει να συμμορφώνεται με το αίτημα του υποκειμένου των δεδομένων χωρίς αδικαιολόγητη καθυστέρηση ή σε κάθε περίπτωση, καταρχήν, πριν από τη λήξη της προθεσμίας ενός μηνός από την υποβολή του αιτήματος (118). Όταν ο υπεύθυνος επεξεργασίας έχει εύλογες αμφιβολίες σχετικά με την ταυτότητα ενός προσώπου, μπορεί να ζητήσει πρόσθετες πληροφορίες και να καθυστερήσει τη διεκπεραίωση του αιτήματος έως ότου εξακριβωθεί η ταυτότητα του εν λόγω προσώπου. Ο υπεύθυνος επεξεργασίας μπορεί να απαιτήσει την καταβολή εύλογου τέλους ή να αρνηθεί να απαντήσει στο αίτημα όταν κρίνει ότι το αίτημα είναι προδήλως αβάσιμο (119). Το ICO έχει παράσχει καθοδήγηση σχετικά με το πότε ένα αίτημα θεωρείται προδήλως αβάσιμο ή υπερβολικό και πότε μπορεί να ζητηθεί η καταβολή τέλους (120).

(65)

Επιπλέον, σύμφωνα με το άρθρο 53 παράγραφος 4 του DPA 2018, ο ανώτερος υπουργός μπορεί να ορίσει το ανώτατο ποσό του τέλους, βάσει κανονισμών.

(66)

Η αρμόδια αρχή μπορεί, υπό ορισμένες προϋποθέσεις, να περιορίσει ορισμένα δικαιώματα του υποκειμένου των δεδομένων: Το δικαίωμα πρόσβασης (121), πληροφόρησης (122), ενημέρωσης σχετικά με παραβίαση δεδομένων προσωπικού χαρακτήρα (123) και ενημέρωσης σχετικά με τον λόγο απόρριψης αιτήματος διόρθωσης ή διαγραφής (124). Αντίστοιχα με το καθεστώς που περιλαμβάνεται στο κεφάλαιο III της οδηγίας (ΕΕ) 2016/680, η αρμόδια αρχή μπορεί να εφαρμόσει τον περιορισμό όταν, δεδομένων των θεμελιωδών δικαιωμάτων και των έννομων συμφερόντων του υποκειμένου των δεδομένων, αυτός είναι αναγκαίος και αναλογικός για: α) την αποφυγή της παρακώλυσης επίσημης ή νομικής έρευνας, ανάκρισης ή διαδικασίας· β) την αποφυγή της παρεμπόδισης της πρόληψης, της ανίχνευσης, της διερεύνησης ή της δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων· γ) την προστασία της δημόσιας ασφάλειας· δ) την προστασία της εθνικής ασφάλειας· ε) την προστασία των δικαιωμάτων και των ελευθεριών τρίτων.

(67)

Το ICO έχει παράσχει καθοδήγηση σχετικά με την εφαρμογή αυτών των περιορισμών. Σύμφωνα με την καθοδήγηση αυτή, οι υπεύθυνοι επεξεργασίας πρέπει να διενεργούν ανάλυση κατά περίπτωση για να σταθμίζουν τα δικαιώματα του προσώπου έναντι της ζημίας που θα προκαλούσε η κοινολόγηση των δεδομένων. Συγκεκριμένα, πρέπει να αιτιολογούν κάθε περιορισμό που εφαρμόζεται ως αναγκαίος και αναλογικός και μπορούν να περιορίζουν τα προβλεπόμενα μόνο εάν θα θίγονταν οι προαναφερθέντες σκοποί (125).

(68)

Υπάρχουν επίσης ορισμένα άλλα έγγραφα καθοδήγησης που εκδίδονται από τις αρμόδιες αρχές και παρέχουν αναλυτικές πληροφορίες σχετικά με όλες τις πτυχές της νομοθεσίας για την προστασία των δεδομένων, μεταξύ άλλων σχετικά με την εφαρμογή περιορισμών στα δικαιώματα των υποκειμένων των δεδομένων (126). Για παράδειγμα, σε σχέση με το άρθρο 45 παράγραφος 4, το εγχειρίδιο προστασίας δεδομένων του Εθνικού Συμβουλίου Αρχηγών της Αστυνομίας αναφέρει ότι: «Είναι σημαντικό να σημειωθεί ότι οι περιορισμοί μπορούν να εφαρμόζονται μόνο στον βαθμό που είναι αναγκαίο και μπορούν να εφαρμόζονται μόνο για όσο διάστημα είναι αναγκαίο. Κατά συνέπεια, δεν επιτρέπεται η γενική εφαρμογή του περιορισμού σε όλα τα δεδομένα προσωπικού χαρακτήρα του αιτούντος ή η μόνιμη εφαρμογή του περιορισμού. Όσον αφορά τη δεύτερη περίπτωση, συχνά τα δεδομένα προσωπικού χαρακτήρα που συλλέγονται εν αγνοία του υποκειμένου των δεδομένων που είναι ύποπτο στο πλαίσιο έρευνας πρέπει να προστατεύονται αρχικά από την κοινολόγησή τους σ’ αυτό, ώστε να αποφευχθεί το ενδεχόμενο να θιγεί η έρευνα όσο βρίσκεται σε εξέλιξη, αλλά σε μεταγενέστερη ημερομηνία η κοινολόγηση δεν θα δημιουργούσε πρόβλημα εάν τα δεδομένα προσωπικού χαρακτήρα είχαν κοινολογηθεί στο πρόσωπο κατά τη διάρκεια της ανάκρισης. Οι αστυνομικές δυνάμεις πρέπει να θεσπίζουν διαδικασίες που διασφαλίζουν ότι οι περιορισμοί εφαρμόζονται μόνο στον βαθμό που απαιτείται και ισχύουν μόνο για την αναγκαία διάρκεια» (127). Ο οδηγός αυτός παρέχει επίσης παραδείγματα περιπτώσεων στις οποίες είναι πιθανή η εφαρμογή καθενός από τους περιορισμούς (128).

(69)

Επιπλέον, όσον αφορά τη δυνατότητα περιορισμού οποιουδήποτε από τα προαναφερόμενα δικαιώματα για την προστασία της «εθνικής ασφάλειας», ο υπεύθυνος επεξεργασίας μπορεί να υποβάλει αίτηση για πιστοποιητικό υπογεγραμμένο από υπουργό ή από τον Γενικό Εισαγγελέα (ή τον Γενικό Εισαγγελέα της Σκωτίας ) που πιστοποιεί ότι ο περιορισμός των εν λόγω δικαιωμάτων αποτελεί αναγκαίο και αναλογικό μέτρο για την προστασία της εθνικής ασφάλειας (129). Η κυβέρνηση του Ηνωμένου Βασιλείου έχει εκδώσει οδηγίες σχετικά με τα πιστοποιητικά εθνικής ασφάλειας δυνάμει του DPA 2018 στις οποίες επισημαίνεται κυρίως ότι κάθε περιορισμός των δικαιωμάτων των υποκειμένων των δεδομένων για τη διαφύλαξη της εθνικής ασφάλειας πρέπει να είναι αναλογικός και αναγκαίος (130) (για περισσότερες λεπτομέρειες σχετικά με τα πιστοποιητικά εθνικής ασφάλειας, βλέπε αιτιολογικές σκέψεις (131) έως (134)).

(70)

Επιπλέον, όταν εφαρμόζεται περιορισμός σε δικαίωμα υποκειμένου των δεδομένων, η αρμόδια αρχή πρέπει να ενημερώνει το υποκείμενο των δεδομένων χωρίς αδικαιολόγητη καθυστέρηση ότι τα δικαιώματά του έχουν περιοριστεί, σχετικά με τους λόγους του περιορισμού και τα διαθέσιμα ένδικα μέσα, εκτός εάν η παροχή των εν λόγω πληροφοριών θα υπονόμευε τον λόγο εφαρμογής του περιορισμού (131). Ως περαιτέρω διασφάλιση κατά της κατάχρησης των περιορισμών, ο υπεύθυνος επεξεργασίας πρέπει να καταγράφει τους λόγους περιορισμού της πληροφόρησης και να θέτει το αρχείο στη διάθεση του Επιτρόπου Πληροφοριών εφόσον του ζητηθεί (132).

(71)

Εάν ο υπεύθυνος επεξεργασίας αρνηθεί να παράσχει πρόσθετες πληροφορίες σχετικά με τη διαφάνεια, ή αρνηθεί την πρόσβαση, ή απορρίψει αίτημα διόρθωσης, διαγραφής ή περιορισμού της επεξεργασίας, το πρόσωπο μπορεί να ζητήσει από τον Επίτροπο Πληροφοριών να διερευνήσει αν ο υπεύθυνος επεξεργασίας προέβη σε νόμιμη χρήση του περιορισμού (133). Το ενδιαφερόμενο πρόσωπο μπορεί επίσης να υποβάλει καταγγελία στον Επίτροπο Πληροφοριών ή να υποβάλει αίτηση σε δικαστήριο ώστε να διατάξει τον υπεύθυνο επεξεργασίας να συμμορφωθεί με το αίτημα (134).

(72)

Τα άρθρα 49 και 50 του DPA 2018 καλύπτουν αντίστοιχα τα δικαιώματα που σχετίζονται την αυτοματοποιημένη λήψη αποφάσεων και τις εγγυήσεις που πρέπει να εφαρμόζονται (135). Όπως και βάσει του άρθρου 11 της οδηγίας (ΕΕ) 2016/680, ο υπεύθυνος επεξεργασίας μπορεί να λάβει σημαντική απόφαση βασιζόμενος αποκλειστικά στην αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα μόνον εφόσον αυτή απαιτείται ή επιτρέπεται από τον νόμο (136). Η απόφαση είναι σημαντική εάν παράγει δυσμενή έννομα αποτελέσματα για το υποκείμενο των δεδομένων ή επηρεάζει σε σημαντικό βαθμό το υποκείμενο των δεδομένων (137).

(73)

Όταν ο υπεύθυνος επεξεργασίας υποχρεούται ή εξουσιοδοτείται από τον νόμο να λάβει σημαντική απόφαση, το άρθρο 50 του DPA 2018 ορίζει τις εγγυήσεις που θα ισχύουν για μια τέτοια απόφαση (η οποία ορίζεται ως «σημαντική απόφαση που πληροί τις προϋποθέσεις»). Ο υπεύθυνος επεξεργασίας πρέπει, αμέσως μόλις αυτό είναι ευλόγως εφικτό, να γνωστοποιήσει στο υποκείμενο των δεδομένων ότι ελήφθη η σχετική απόφαση. Στη συνέχεια, το υποκείμενο των δεδομένων μπορεί, εντός ενός μηνός, να ζητήσει από τον υπεύθυνο επεξεργασίας να επανεξετάσει την απόφαση ή να λάβει νέα απόφαση που δεν βασίζεται αποκλειστικά σε αυτοματοποιημένη επεξεργασία. Ο υπεύθυνος επεξεργασίας πρέπει να εξετάσει το αίτημα και να ενημερώσει το υποκείμενο των δεδομένων για το αποτέλεσμα της εξέτασης αυτής. Ο DPA 2018 παρέχει στον ανώτερο υπουργό την εξουσία να θεσπίζει κανονισμούς για πρόσθετες εγγυήσεις (138). Δεν έχουν εκδοθεί ακόμη τέτοιοι κανονισμοί.

(74)

Το επίπεδο προστασίας που παρέχεται στα δεδομένα προσωπικού χαρακτήρα που διαβιβάζονται από αρχή επιβολής του νόμου κράτους μέλους σε αρχή επιβολής του νόμου του Ηνωμένου Βασιλείου δεν πρέπει να υποβαθμίζεται από την περαιτέρω διαβίβαση των εν λόγω δεδομένων σε αποδέκτες σε τρίτη χώρα. Αυτές οι «περαιτέρω διαβιβάσεις», οι οποίες από τη σκοπιά αρχής επιβολής του νόμου του Ηνωμένου Βασιλείου συνιστούν διεθνείς διαβιβάσεις από το Ηνωμένο Βασίλειο, θα πρέπει να επιτρέπονται μόνον όταν ο περαιτέρω αποδέκτης εκτός του Ηνωμένου Βασιλείου υπόκειται επίσης σε κανόνες που διασφαλίζουν ανάλογο επίπεδο προστασίας με εκείνο που εγγυάται η έννομη τάξη του Ηνωμένου Βασιλείου.

(75)

Το καθεστώς του Ηνωμένου Βασιλείου σχετικά με τις διεθνείς διαβιβάσεις ρυθμίζεται από το μέρος 3 κεφάλαιο 5 του DPA 2018 (139) και αντικατοπτρίζει την προσέγγιση που ακολουθείται στο κεφάλαιο V της οδηγίας (ΕΕ) 2016/680. Ειδικότερα, για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτη χώρα, η αρμόδια αρχή πρέπει να πληροί τρεις προϋποθέσεις: α) η διαβίβαση πρέπει να είναι αναγκαία για σκοπούς επιβολής του νόμου· β) η διαβίβαση πρέπει να βασίζεται: i) σε κανονισμό περί επάρκειας όσον αφορά την τρίτη χώρα, ii) εάν δεν βασίζεται σε κανονισμό περί επάρκειας, στην ύπαρξη κατάλληλων εγγυήσεων, ή iii) εάν δεν βασίζεται σε απόφαση περί επάρκειας ή σε κατάλληλες εγγυήσεις, πρέπει να βασίζεται σε ειδικές περιστάσεις· και γ) ο αποδέκτης της διαβίβασης πρέπει να είναι: i) οικεία αρχή (δηλαδή το ισοδύναμο αρμόδιας αρχής) σε τρίτη χώρα· ii) «σχετικός διεθνής οργανισμός», π.χ. διεθνής φορέας που εκτελεί καθήκοντα που αντιστοιχούν σε οποιονδήποτε από τους σκοπούς επιβολής του νόμου· ή iii) πρόσωπο που δεν είναι οικεία αρχή, αλλά μόνον όταν η διαβίβαση είναι απολύτως αναγκαία για την εκπλήρωση ενός από τους σκοπούς επιβολής του νόμου· δεν υπάρχουν θεμελιώδη δικαιώματα και ελευθερίες του σχετικού υποκειμένου των δεδομένων που να υπερισχύουν του δημόσιου συμφέροντος το οποίο απαιτεί τη διαβίβαση· η διαβίβαση των δεδομένων προσωπικού χαρακτήρα σε οικεία αρχή στην τρίτη χώρα θα ήταν αναποτελεσματική ή ακατάλληλη· και ο αποδέκτης είναι ενήμερος για τους σκοπούς για τους οποίους τα δεδομένα μπορεί να υποβληθούν σε επεξεργασία (140).

(76)

Ο ανώτερος υπουργός εκδίδει κανονισμούς περί επάρκειας όσον αφορά τρίτη χώρα, έδαφος ή τομέα εντός τρίτης χώρας, διεθνή οργανισμό, ή περιγραφή (141) της εν λόγω χώρας, εδάφους, τομέα ή οργανισμού. Όσον αφορά το πρότυπο που πρέπει να τηρείται, ο ανώτερος υπουργός πρέπει να αξιολογεί αν το εν λόγω έδαφος/τομέας/οργανισμός διασφαλίζει επαρκές επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα. Το άρθρο 74A παράγραφος 4 του DPA 2018 ορίζει ότι, για τον σκοπό αυτόν, ο ανώτερος υπουργός πρέπει να εξετάζει ορισμένα στοιχεία που αποτυπώνουν εκείνα που απαριθμούνται στο άρθρο 36 της οδηγίας (ΕΕ) 2016/680 (142). Στο πλαίσιο αυτό, από τη λήξη της μεταβατικής περιόδου, το μέρος 3 του DPA 2018 αποτελεί «εσωτερική νομοθεσία που προέρχεται από την ΕΕ» η οποία, όπως εξηγείται, θα ερμηνεύεται από τα δικαστήρια του Ηνωμένου Βασιλείου σύμφωνα με τη σχετική νομολογία του Δικαστηρίου της ΕΕ η οποία χρονολογείται πριν από την αποχώρηση του Ηνωμένου Βασιλείου από την Ένωση, και τις γενικές αρχές του ενωσιακού δικαίου, όπως ίσχυαν αμέσως πριν από τη λήξη της μεταβατικής περιόδου. Μεταξύ αυτών, περιλαμβάνεται το πρότυπο της «κατ’ ουσίαν ισοδυναμίας» που θα εφαρμόζεται ως εκ τούτου στις εκτιμήσεις επάρκειας που διενεργούνται από τις αρχές του Ηνωμένου Βασιλείου.

(77)

Όσον αφορά τη διαδικασία, οι κανονισμοί υπόκεινται στις «γενικές» διαδικαστικές απαιτήσεις που προβλέπονται στο άρθρο 182 του DPA 2018. Στο πλαίσιο της διαδικασίας αυτής, ο ανώτερος υπουργός πρέπει να συμβουλεύεται τον Επίτροπο Πληροφοριών όταν προτείνει τη θέσπιση μελλοντικών κανονισμών του Ηνωμένου Βασιλείου περί επάρκειας (143). Μόλις εγκριθούν από τον ανώτερο υπουργό, οι εν λόγω κανονισμοί υποβάλλονται στο Κοινοβούλιο και υπόκεινται στη διαδικασία «αρνητικής απόφασης», σύμφωνα με την οποία αμφότερα τα σώματα του Κοινοβουλίου μπορούν να εξετάσουν ενδελεχώς τον κανονισμό και έχουν τη δυνατότητα να εγκρίνουν πρόταση ακύρωσής του εντός προθεσμίας 40 ημερών (144).

(78)

Σύμφωνα με το άρθρο 74B παράγραφος 1 του DPA 2018, οι κανονισμοί περί επάρκειας πρέπει να επανεξετάζονται ανά διαστήματα τα οποία να μην υπερβαίνουν τα τέσσερα έτη και ο ανώτερος υπουργός πρέπει, σε συνεχή βάση, να παρακολουθεί τις εξελίξεις σε τρίτες χώρες και διεθνείς οργανισμούς οι οποίες θα μπορούσαν να επηρεάσουν τις αποφάσεις για τη θέσπιση κανονισμών περί επάρκειας ή για την τροποποίηση ή την ανάκληση των εν λόγω κανονισμών. Όταν ανώτερος ο υπουργός διαπιστώνει ότι μια συγκεκριμένη χώρα ή ένας οργανισμός δεν εξασφαλίζει πλέον επαρκές επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα, πρέπει, στον βαθμό που είναι αναγκαίο, να τροποποιεί ή να ανακαλεί τους κανονισμούς και να αρχίζει διαβουλεύσεις με την οικεία τρίτη χώρα ή τον οικείο διεθνή οργανισμό για να διορθώσει την έλλειψη επαρκούς επιπέδου προστασίας.

(79)

Όπως προβλέπεται και στο άρθρο 37 της οδηγίας (ΕΕ) 2016/680, ελλείψει κανονισμού περί επάρκειας, η διαβίβαση δεδομένων προσωπικού χαρακτήρα στο πλαίσιο του τομέα της επιβολής του νόμου θα ήταν δυνατή όταν υφίστανται κατάλληλες εγγυήσεις. Οι εν λόγω εγγυήσεις διασφαλίζονται είτε μέσω α) νομικά δεσμευτικής πράξης που περιέχει κατάλληλες εγγυήσεις για την προστασία των δεδομένων προσωπικού χαρακτήρα· είτε μέσω β) εκτίμησης που διενεργείται από τον υπεύθυνο επεξεργασίας ο οποίος, αφού αξιολογήσει όλες τις περιστάσεις που περιβάλλουν τη διαβίβαση, καταλήγει στο συμπέρασμα ότι υφίστανται οι κατάλληλες εγγυήσεις για την προστασία των δεδομένων (145). Επιπλέον, όταν οι διαβιβάσεις βασίζονται σε κατάλληλες εγγυήσεις, ο DPA 2018 προβλέπει ότι, πέραν του συνήθους εποπτικού ρόλου του ICO, οι αρμόδιες αρχές πρέπει να παρέχουν συγκεκριμένες πληροφορίες σχετικά με τις διαβιβάσεις στο ICO (146).

(80)

Εάν η διαβίβαση δεν βασίζεται σε απόφαση περί επάρκειας ή σε κατάλληλες εγγυήσεις, μπορεί να πραγματοποιηθεί μόνο σε ορισμένες, συγκεκριμένες περιστάσεις, οι οποίες αναφέρονται ως «ειδικές περιστάσεις» (147). Αυτό συμβαίνει όταν η διαβίβαση είναι αναγκαία: α) για την προστασία των ζωτικών συμφερόντων του υποκειμένου των δεδομένων ή άλλου προσώπου· β) για την προστασία έννομων συμφερόντων του υποκειμένου των δεδομένων· γ) για την αποτροπή άμεσης και σοβαρής απειλής για τη δημόσια ασφάλεια κράτους μέλους ή τρίτης χώρας· δ) σε μεμονωμένες περιπτώσεις για τους σκοπούς επιβολής του νόμου· ή ε) σε μεμονωμένες περιπτώσεις για νόμιμο σκοπό (όπως στο πλαίσιο νομικών διαδικασιών ή για τη λήψη νομικών συμβουλών) (148). Επισημαίνεται ότι τα στοιχεία δ) και ε) δεν εφαρμόζονται εάν τα δικαιώματα και οι ελευθερίες του υποκειμένου των δεδομένων υπερισχύουν του δημόσιου συμφέροντος της διαβίβασης (149). Αυτό το σύνολο περιστάσεων αντιστοιχεί στις ειδικές καταστάσεις και προϋποθέσεις που χαρακτηρίζονται ως «παρεκκλίσεις» βάσει του άρθρου 38 της οδηγίας (ΕΕ) 2016/680.

(81)

Υπό τις περιστάσεις αυτές, η ημερομηνία, η ώρα και η αιτιολόγηση της διαβίβασης, το όνομα και κάθε άλλη σχετική πληροφορία για τον αποδέκτη, καθώς και η περιγραφή των διαβιβαζόμενων δεδομένων προσωπικού χαρακτήρα πρέπει να τεκμηριώνονται και να παρέχονται στον Επίτροπο Πληροφοριών κατόπιν αιτήματος (150).

(82)

Το άρθρο 78 του DPA 2018 ρυθμίζει την περίπτωση των «μεταγενέστερων διαβιβάσεων», συγκεκριμένα όταν δεδομένα προσωπικού χαρακτήρα που έχουν διαβιβαστεί από το Ηνωμένο Βασίλειο σε τρίτη χώρα διαβιβάζονται στη συνέχεια σε άλλη τρίτη χώρα ή σε διεθνή οργανισμό. Σύμφωνα με το άρθρο 78 παράγραφος 1, ο διαβιβάζων υπεύθυνος επεξεργασίας του Ηνωμένου Βασιλείου πρέπει να θέσει ως προϋπόθεση της διαβίβασης ότι τα δεδομένα δεν πρέπει να διαβιβαστούν περαιτέρω σε τρίτη χώρα χωρίς την έγκριση του διαβιβάζοντος υπευθύνου επεξεργασίας. Επιπλέον, σύμφωνα με το άρθρο 78 παράγραφος 3 και όπως προβλέπεται στο άρθρο 35 παράγραφος 1 στοιχείο ε) της οδηγίας (ΕΕ) 2016/680, σε περίπτωση που απαιτείται τέτοια άδεια, ισχύουν ορισμένες ουσιαστικές απαιτήσεις. Ειδικότερα, όταν αποφασίζει αν θα εγκρίνει ή όχι τη διαβίβαση, η αρμόδια αρχή πρέπει να διασφαλίζει ότι η περαιτέρω διαβίβαση είναι αναγκαία για σκοπούς επιβολής του νόμου και θα πρέπει να εξετάζει, μεταξύ άλλων παραγόντων, α) τη σοβαρότητα των περιστάσεων που οδήγησαν στην αίτηση έγκρισης, β) τον σκοπό για τον οποίο διαβιβάστηκαν αρχικά τα δεδομένα προσωπικού χαρακτήρα και γ) τα πρότυπα για την προστασία των δεδομένων προσωπικού χαρακτήρα που ισχύουν στην τρίτη χώρα ή στον διεθνή οργανισμό στην οποία/στον οποίο θα διαβιβαστούν τα δεδομένα προσωπικού χαρακτήρα.

(83)

Επιπλέον, όταν τα δεδομένα που υπόκεινται σε περαιτέρω διαβίβαση από το Ηνωμένο Βασίλειο διαβιβάστηκαν αρχικά από την Ευρωπαϊκή Ένωση, ισχύουν πρόσθετες εγγυήσεις.

(84)

Πρώτον, το άρθρο 73 παράγραφος 1 στοιχείο b) του DPA 2018 –όπως και το άρθρο 35 παράγραφος 1 στοιχείο γ) της οδηγίας (ΕΕ) 2016/680– προβλέπει ότι σε περίπτωση που τα δεδομένα προσωπικού χαρακτήρα αρχικά διαβιβάστηκαν ή διατέθηκαν με άλλον τρόπο στον υπεύθυνο επεξεργασίας ή σε άλλη αρμόδια αρχή από κράτος μέλος, το εν λόγω κράτος μέλος, ή οποιοδήποτε πρόσωπο εγκατεστημένο στο εν λόγω κράτος μέλος το οποίο είναι αρμόδια αρχή για τους σκοπούς της οδηγίας (ΕΕ) 2016/680, πρέπει να έχει επιτρέψει τη διαβίβαση σύμφωνα με το δίκαιο του κράτους μέλους.

(85)

Ωστόσο, όπως και στο άρθρο 35 παράγραφος 2, της οδηγίας (ΕΕ) 2016/680, η σχετική έγκριση δεν απαιτείται όταν α) η διαβίβαση είναι αναγκαία για την αποτροπή άμεσης και σοβαρής απειλής είτε για τη δημόσια ασφάλεια κράτους μέλους ή τρίτης χώρας είτε για τα ουσιώδη συμφέροντα κράτους μέλους και β) η έγκριση δεν μπορεί να ληφθεί εγκαίρως. Στην περίπτωση αυτή, η αρχή του κράτους μέλους που θα ήταν υπεύθυνη να αποφασίσει αν θα εγκρίνει τη διαβίβαση πρέπει να ενημερώνεται χωρίς καθυστέρηση (151).

(86)

Δεύτερον, η ίδια προσέγγιση ισχύει και στην περίπτωση δεδομένων που αρχικά διαβιβάστηκαν από την Ευρωπαϊκή Ένωση στο Ηνωμένο Βασίλειο και στη συνέχεια διαβιβάζονται περαιτέρω από το Ηνωμένο Βασίλειο σε τρίτη χώρα η οποία στη συνέχεια τα διαβιβάζει περαιτέρω σε τρίτη χώρα. Στην περίπτωση αυτή, σύμφωνα με το άρθρο 78 παράγραφος 4, η αρμόδια αρχή του Ηνωμένου Βασιλείου δεν μπορεί να χορηγήσει την άδειά της στην τελευταία διαβίβαση, σύμφωνα με το άρθρο 78 παράγραφος 1, εκτός εάν το «κράτος μέλος [το οποίο διαβίβασε αρχικά τα εν λόγω δεδομένα], ή οποιοδήποτε πρόσωπο με έδρα στο εν λόγω κράτος μέλος το οποίο είναι αρμόδια αρχή για τους σκοπούς της οδηγίας για την προστασία των δεδομένων στο πλαίσιο της επιβολής του νόμου, έχει επιτρέψει τη διαβίβαση σύμφωνα με το δίκαιο του κράτους μέλους». Οι εγγυήσεις αυτές είναι σημαντικές, καθώς επιτρέπουν στις αρχές των κρατών μελών να διασφαλίζουν τη συνέχεια της προστασίας, σε συμμόρφωση με την ενωσιακή νομοθεσία για την προστασία των δεδομένων, σε όλο το μήκος της «αλυσίδας διαβίβασης».

(87)

Το νέο αυτό πλαίσιο για τις διεθνείς διαβιβάσεις τέθηκε σε εφαρμογή κατά τη λήξη της μεταβατικής περιόδου (152). Ωστόσο, σύμφωνα με τις παραγράφους 10-12 του παραρτήματος 21 (που θεσπίστηκαν με τους κανονισμούς DPPEC) προβλέπεται ότι, από τη λήξη της μεταβατικής περιόδου, ορισμένες διαβιβάσεις δεδομένων προσωπικού χαρακτήρα αντιμετωπίζονται ωσάν να βασίζονται σε κανονισμούς περί επάρκειας. Οι εν λόγω διαβιβάσεις περιλαμβάνουν διαβιβάσεις σε κράτος μέλος, σε κράτος της ΕΖΕΣ, τρίτη χώρα που αποτελεί αντικείμενο ενωσιακής απόφασης επάρκειας κατά τη λήξη της μεταβατικής περιόδου και το έδαφος του Γιβραλτάρ. Κατά συνέπεια, οι διαβιβάσεις προς τις χώρες αυτές μπορούν να συνεχιστούν όπως και πριν από την αποχώρηση του Ηνωμένου Βασιλείου από την Ένωση. Μετά τη λήξη της μεταβατικής περιόδου, ο ανώτερος υπουργός πρέπει να προβεί σε επανεξέταση των διαπιστώσεων επάρκειας εντός περιόδου τεσσάρων ετών, δηλαδή έως το τέλος Δεκεμβρίου του 2024. Σύμφωνα με την εξήγηση που έδωσαν οι αρχές του Ηνωμένου Βασιλείου, μολονότι ο ανώτερος υπουργός πρέπει να προβεί στην εν λόγω επανεξέταση έως το τέλος Δεκεμβρίου του 2024, οι μεταβατικές διατάξεις δεν περιλαμβάνουν διάταξη «λήξης ισχύος» και οι σχετικές μεταβατικές διατάξεις δεν θα παύσουν αυτομάτως να παράγουν αποτελέσματα εάν η επανεξέταση δεν ολοκληρωθεί έως το τέλος Δεκεμβρίου του 2024.

(88)

Βάσει της αρχής της λογοδοσίας, οι δημόσιες αρχές που υποβάλλουν σε επεξεργασία δεδομένα πρέπει να θεσπίζουν τα κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να συμμορφώνονται ουσιαστικά με τις υποχρεώσεις τους όσον αφορά την προστασία των δεδομένων και να είναι σε θέση να αποδεικνύουν τη συμμόρφωσή τους, ειδικά στην αρμόδια εποπτική αρχή.

(89)

Η αρχή αυτή αντικατοπτρίζεται στο άρθρο 56 του DPA 2018, ο οποίος θεσπίζει γενική υποχρέωση λογοδοσίας για τον υπεύθυνο επεξεργασίας, δηλαδή την υποχρέωσή του να εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα ώστε να διασφαλίζει, και να είναι σε θέση να αποδεικνύει, ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα συμμορφώνεται με τις απαιτήσεις του μέρους 3 του DPA 2018. Τα μέτρα που εφαρμόζονται πρέπει να επανεξετάζονται και να επικαιροποιούνται όπου είναι αναγκαίο και, όταν δικαιολογούνται σε σχέση με την επεξεργασία, πρέπει να περιλαμβάνουν κατάλληλες πολιτικές για την προστασία των δεδομένων.

(90)

Σύμφωνα με το κεφάλαιο IV της οδηγίας (ΕΕ) 2016/680, τα άρθρα 55-71 του DPA 2018 προβλέπουν διαφορετικούς μηχανισμούς για τη διασφάλιση της λογοδοσίας και την παροχή δυνατότητας στους υπευθύνους επεξεργασίας και στους εκτελούντες την επεξεργασία να αποδεικνύουν τη συμμόρφωση. Ειδικότερα, οι υπεύθυνοι επεξεργασίας υποχρεούνται να εφαρμόζουν μέτρα προστασίας των δεδομένων από τον σχεδιασμό και εξ ορισμού, δηλαδή να διασφαλίζουν ότι οι αρχές προστασίας των δεδομένων εφαρμόζονται αποτελεσματικά, και υποχρεούνται να τηρούν αρχεία όλων των κατηγοριών δραστηριοτήτων επεξεργασίας για τις οποίες φέρει την ευθύνη ο υπεύθυνος επεξεργασίας (συμπεριλαμβανομένων των πληροφοριών σχετικά με την ταυτότητα του υπευθύνου επεξεργασίας, τα στοιχεία επικοινωνίας του υπευθύνου προστασίας δεδομένων, τους σκοπούς της επεξεργασίας, τις κατηγορίες αποδεκτών των κοινολογήσεων και περιγραφή των κατηγοριών των υποκειμένων των δεδομένων και των δεδομένων προσωπικού χαρακτήρα) και να τηρούν τα αρχεία αυτά στη διάθεση του Επιτρόπου Πληροφοριών κατόπιν αιτήματος. Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία πρέπει επίσης να τηρούν αρχεία καταχώρισης για ορισμένες πράξεις επεξεργασίας και να τα θέτουν στη διάθεση του Επιτρόπου Πληροφοριών (153). Οι υπεύθυνοι επεξεργασίας υποχρεούνται επίσης ρητά να συνεργάζονται με τον Επίτροπο Πληροφοριών κατά την εκτέλεση των καθηκόντων του.

(91)

Ο DPA 2018 προβλέπει επίσης πρόσθετες απαιτήσεις για την επεξεργασία που ενδέχεται να έχει ως αποτέλεσμα μεγάλο κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Σ’ αυτές περιλαμβάνεται η υποχρέωση διενέργειας εκτιμήσεων επιπτώσεων σχετικά με την προστασία των δεδομένων και διαβούλευσης με τον Επίτροπο Πληροφοριών πριν από την επεξεργασία, εάν η εν λόγω εκτίμηση υποδεικνύει ότι η επεξεργασία θα είχε ως αποτέλεσμα υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες φυσικών προσώπων (ελλείψει μέτρων για τον μετριασμό του κινδύνου).

(92)

Επιπλέον, οι υπεύθυνοι επεξεργασίας πρέπει να διορίζουν υπεύθυνο προστασίας δεδομένων, εκτός εάν ο υπεύθυνος επεξεργασίας είναι δικαστήριο ή άλλη δικαστική αρχή που ενεργεί στο πλαίσιο της δικαιοδοτικής του/της αρμοδιότητας (154). Ο υπεύθυνος επεξεργασίας πρέπει να διασφαλίζει ότι ο υπεύθυνος προστασίας δεδομένων συμμετέχει σε όλα τα ζητήματα που αφορούν την προστασία των δεδομένων προσωπικού χαρακτήρα, να διαθέτει τους απαραίτητους πόρους και πρόσβαση σε δεδομένα προσωπικού χαρακτήρα και σε πράξεις επεξεργασίας, και να μπορεί να εκτελεί ανεξάρτητα τα καθήκοντά του. Τα καθήκοντα του υπευθύνου προστασίας δεδομένων ορίζονται στο άρθρο 71 του DPA 2018, συμπεριλαμβανομένης της παροχής πληροφοριών και συμβουλών, της παρακολούθησης της συμμόρφωσης, καθώς και της συνεργασίας με τον Επίτροπο Πληροφοριών και του ρόλου του ως σημείου επαφής μαζί του. Κατά την εκτέλεση των καθηκόντων του, ο υπεύθυνος προστασίας δεδομένων πρέπει να λαμβάνει υπόψη τον κίνδυνο που συνδέεται με τις πράξεις επεξεργασίας, συνεκτιμώντας τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας.

(93)

Για να είναι εγγυημένη η διασφάλιση επαρκούς επιπέδου προστασίας των δεδομένων και στην πράξη, είναι αναγκαία η ίδρυση ανεξάρτητης εποπτικής αρχής στην οποία ανατίθενται εξουσίες παρακολούθησης και επιβολής της συμμόρφωσης με τους κανόνες προστασίας των δεδομένων. Η αρχή αυτή πρέπει να λειτουργεί με πλήρη ανεξαρτησία και αμεροληψία κατά την εκτέλεση των καθηκόντων και την άσκηση των εξουσιών της.

(94)

Στο Ηνωμένο Βασίλειο, ο Επίτροπος Πληροφοριών διενεργεί την εποπτεία και την επιβολή της συμμόρφωσης με τον ΓΚΠΔ του Ηνωμένου Βασιλείου και τον DPA 2018 (155). Ο Επίτροπος Πληροφοριών εποπτεύει επίσης την επεξεργασία δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές η οποία εμπίπτει στο πεδίο εφαρμογής του μέρους 3 του DPA 2018 (156). Ο Επίτροπος Πληροφοριών είναι ειδικής μορφής νομικό πρόσωπο (Corporation Sole): χωριστή νομική οντότητα που συνίσταται σε ένα και μόνο πρόσωπο. Ο Επίτροπος Πληροφοριών υποστηρίζεται στο έργο του από γραφείο. Στις 31 Μαρτίου 2020 το Γραφείο του Επιτρόπου Πληροφοριών είχε 768 μόνιμους υπαλλήλους ως προσωπικό (157). Το υπουργείο που χρηματοδοτεί τον Επίτροπο Πληροφοριών είναι το υπουργείο Ψηφιακής Πολιτικής, Πολιτισμού, Μέσων Μαζικής Ενημέρωσης και Αθλητισμού (158).

(95)

Η ανεξαρτησία του Επιτρόπου κατοχυρώνεται ρητά στο άρθρο 52 του ΓΚΠΔ του Ηνωμένου Βασιλείου, το οποίο αντικατοπτρίζει τις απαιτήσεις που ορίζονται στο άρθρο 52 παράγραφοι 1 έως 3 του κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (159). Ο Επίτροπος πρέπει να εκτελεί τα καθήκοντά του και να ασκεί τις εξουσίες του με πλήρη ανεξαρτησία σύμφωνα με τον ΓΚΠΔ του Ηνωμένου Βασιλείου, χωρίς εξωτερικές επιρροές, είτε άμεσες είτε έμμεσες, σε σχέση με τα εν λόγω καθήκοντα και εξουσίες, και να μην ζητεί ούτε να λαμβάνει οδηγίες από κανέναν. Ο Επίτροπος πρέπει επίσης να απέχει από κάθε πράξη ασυμβίβαστη προς τα καθήκοντά του και, κατά τη διάρκεια της θητείας του, να μην ασκεί κανένα ασυμβίβαστο επάγγελμα, επικερδές ή μη.

(96)

Οι προϋποθέσεις για τον διορισμό και την παύση του Επιτρόπου Πληροφοριών καθορίζονται στο παράρτημα 12 του DPA 2018. Ο Επίτροπος Πληροφοριών διορίζεται από τη Βασίλισσα μετά από σύσταση της κυβέρνησης βάσει δίκαιου και ανοικτού διαγωνισμού. Ο υποψήφιος πρέπει να διαθέτει τα κατάλληλα προσόντα, δεξιότητες και ικανότητες. Σύμφωνα με τον κώδικα διακυβέρνησης για τους δημόσιους διορισμούς (160), συμβουλευτική επιτροπή αξιολόγησης καταρτίζει κατάλογο με τους υποψήφιους που μπορούν να διοριστούν. Πριν από την οριστικοποίηση της απόφασης του ανώτερου υπουργού Ψηφιακής Πολιτικής, Πολιτισμού, Μέσων Ενημέρωσης και Αθλητισμού, η αρμόδια ειδική επιτροπή (Select Committee) του Κοινοβουλίου πρέπει να διενεργεί έλεγχο πριν από τον διορισμό. Η θέση της επιτροπής δημοσιοποιείται (161).

(97)

Ο Επίτροπος Πληροφοριών ασκεί θητεία έως επτά ετών. Ο Επίτροπος Πληροφοριών μπορεί να παυθεί από τα καθήκοντά του από την Αυτής Μεγαλειότητα μετά από αναγγελία και των δύο σωμάτων του Κοινοβουλίου (162). Δεν μπορεί να υποβληθεί αίτηση παύσης του επιτρόπου Πληροφοριών σε κανένα από τα δύο σώματα του Κοινοβουλίου, εκτός εάν ο υπουργός έχει υποβάλει έκθεση στο σχετικό σώμα στην οποία αναφέρεται ότι είναι πεπεισμένος ότι ο επίτροπος Πληροφοριών είναι ένοχος σοβαρού παραπτώματος και/ή ότι ο επίτροπος δεν πληροί πλέον τις προϋποθέσεις που απαιτούνται για την άσκηση των καθηκόντων του (163).

(98)

Η χρηματοδότηση του επιτρόπου Πληροφοριών προέρχεται από τρεις πηγές: i) τα τέλη προστασίας δεδομένων που καταβάλλουν οι υπεύθυνοι επεξεργασίας, τα οποία καθορίζονται από κανονισμούς του υπουργού (164) και ανέρχονται στο 85-90 % του ετήσιου προϋπολογισμού του Γραφείου (165)· ii) την επιχορήγηση που μπορεί να καταβάλει η κυβέρνηση στον επίτροπο Πληροφοριών και η οποία χρησιμοποιείται κυρίως για τη χρηματοδότηση των λειτουργικών δαπανών του επιτρόπου Πληροφοριών όσον αφορά καθήκοντα που δεν σχετίζονται με την προστασία των δεδομένων (166)· iii) τα τέλη που χρεώνονται για υπηρεσίες (167). Επί του παρόντος, δεν χρεώνονται τα εν λόγω τέλη.

(99)

Τα γενικά καθήκοντα του Επιτρόπου Πληροφοριών σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα που εμπίπτει στο πεδίο εφαρμογής του μέρους 3 του DPA 2018 καθορίζονται στο παράρτημα 13 του εν λόγω νόμου. Στα καθήκοντα περιλαμβάνονται η παρακολούθηση και η επιβολή του μέρους 3 του DPA 2018, η προώθηση της ευαισθητοποίησης του κοινού, η παροχή συμβουλών στο Κοινοβούλιο, στην κυβέρνηση και σε άλλα όργανα όσον αφορά νομοθετικά και διοικητικά μέτρα, η προώθηση της ευαισθητοποίησης των υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία σχετικά με τις υποχρεώσεις τους, η παροχή πληροφοριών στο υποκείμενο των δεδομένων σχετικά με την άσκηση των δικαιωμάτων του και η διεξαγωγή ερευνών. Για τη διατήρηση της ανεξαρτησίας της δικαστικής εξουσίας, ο Επίτροπος Πληροφοριών δεν έχει την εξουσία να ασκεί τα καθήκοντά του σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα από πρόσωπο ή δικαστήριο ή δικαιοδοτικό όργανο που ενεργεί στο πλαίσιο της δικαιοδοτικής του αρμοδιότητας. Ωστόσο, η εποπτεία της δικαστικής εξουσίας εξασφαλίζεται από εξειδικευμένα όργανα, τα οποία εξετάζονται κατωτέρω.

(100)

Ο Επίτροπος διαθέτει γενικές ερευνητικές, διορθωτικές, αδειοδοτικές και συμβουλευτικές εξουσίες σε σχέση με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα η οποία διέπεται από το μέρος 3 του DPA 2018. Ο Επίτροπος έχει την εξουσία να ενημερώνει τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία για εικαζόμενη παράβαση του μέρους 3, να απευθύνει προειδοποιήσεις σε υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία ότι σκοπούμενες πράξεις επεξεργασίας είναι πιθανόν να παραβαίνουν τις διατάξεις του μέρους 3 και να απευθύνει επιπλήξεις σε υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία όταν πράξεις επεξεργασίας έχουν παραβεί διατάξεις του μέρους 3. Επιπροσθέτως, ο Επίτροπος, με δική του πρωτοβουλία ή κατόπιν αιτήματος, δύναται να εκδίδει γνωμοδοτήσεις προς το Κοινοβούλιο, την κυβέρνηση ή άλλα όργανα και οργανισμούς του Ηνωμένου Βασιλείου, καθώς και προς το κοινό, για κάθε θέμα το οποίο σχετίζεται με την προστασία των δεδομένων προσωπικού χαρακτήρα (168).

(101)

Επιπλέον, ο Επίτροπος έχει την εξουσία:

(102)

Η πολιτική ρυθμιστικής δράσης του ICO καθορίζει τις περιστάσεις υπό τις οποίες ο Επίτροπος θα εκδίδει, αντίστοιχα, ειδοποίηση παροχής πληροφοριών, διενέργειας αξιολόγησης, επιβολής μέτρων και επιβολής κυρώσεων (173). Η ειδοποίηση επιβολής μέτρων μπορεί να επιβάλλει απαιτήσεις τις οποίες ο Επίτροπος θεωρεί κατάλληλες για τους σκοπούς της επανόρθωσης της μη συμμόρφωσης. Η ειδοποίηση επιβολής κυρώσεων απαιτεί από το πρόσωπο να καταβάλει στον Επίτροπο Πληροφοριών το ποσό που καθορίζεται στην ειδοποίηση. Ειδοποίηση επιβολής κυρώσεων μπορεί να εκδοθεί σε περίπτωση μη συμμόρφωσης με ορισμένες διατάξεις του DPA 2018 (174) ή να απευθυνθεί σε υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία που δεν συμμορφώθηκε με ειδοποίηση παροχής πληροφοριών, ειδοποίηση διενέργειας αξιολόγησης ή ειδοποίηση επιβολής μέτρων.

(103)

Ειδικότερα, προκειμένου να καθοριστεί αν ο Επίτροπος Πληροφοριών θα απευθύνει ειδοποίηση επιβολής κυρώσεων σε υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία αλλά και για να καθοριστεί το ύψος της ποινής, ο Επίτροπος Πληροφοριών πρέπει να λαμβάνει υπόψη τα θέματα που απαριθμούνται στο άρθρο 155 παράγραφος 3 του DPA 2018, μεταξύ άλλων τη φύση και τη σοβαρότητα της μη συμμόρφωσης, τον εκ προθέσεως ή εξ αμελείας χαρακτήρα της μη συμμόρφωσης, τυχόν ενέργειες στις οποίες προέβη ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία για τον μετριασμό της ζημίας που υπέστησαν τα υποκείμενα των δεδομένων, τον βαθμό ευθύνης του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία (λαμβανομένων υπόψη των τεχνικών και οργανωτικών μέτρων που εφαρμόζει ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία), τυχόν σχετικές προηγούμενες περιπτώσεις μη συμμόρφωσης του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία· τις κατηγορίες δεδομένων προσωπικού χαρακτήρα που επηρεάζονται από τη μη συμμόρφωση και το αν η κύρωση θα ήταν αποτελεσματική, αναλογική και αποτρεπτική.

(104)

Το μέγιστο ποσό της ποινής που μπορεί να επιβληθεί μέσω ειδοποίησης επιβολής κυρώσεων είναι α) 17 500 000 λίρες στερλίνες (GBP) όσον αφορά τη μη συμμόρφωση με τις αρχές προστασίας των δεδομένων (άρθρα 35, 36, 37, 38 παράγραφος 1, 39 παράγραφος 1 και άρθρο 40 του DPA 2018), τις υποχρεώσεις διαφάνειας και τα ατομικά δικαιώματα (άρθρα 44, 45, 46, 47, 48, 49, 52 και 53 του DPA 2018), καθώς και τις αρχές για τις διεθνείς διαβιβάσεις δεδομένων προσωπικού χαρακτήρα (άρθρα 73, 75, 76, 77 ή 78 του DPA 2018)· και β) σε άλλη περίπτωση, 8 700 000 GBP (175). Όσον αφορά μη συμμόρφωση με ειδοποίηση παροχής πληροφοριών, ειδοποίηση διενέργειας αξιολόγησης ή ειδοποίηση επιβολής μέτρων, το μέγιστο ποσό της ποινής που μπορεί να επιβληθεί μέσω ειδοποίησης επιβολής κυρώσεων ανέρχεται σε 17 500 000 GBP.

(105)

Σύμφωνα με τις τελευταίες ετήσιες εκθέσεις της (2018-2019 (176), 2019-2020 (177)), η Επίτροπος Πληροφοριών έχει διεξαγάγει σειρά ερευνών όσον αφορά την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τις αρχές επιβολής του ποινικού δικαίου. Για παράδειγμα, η Επίτροπος διεξήγαγε έρευνα και δημοσίευσε γνώμη τον Οκτώβριο του 2019 σχετικά με τη χρήση της τεχνολογίας αναγνώρισης προσώπου από τις αρχές επιβολής του νόμου σε δημόσιους χώρους. Η έρευνα επικεντρώθηκε ειδικότερα στη χρήση των δυνατοτήτων ζωντανής αναγνώρισης προσώπου από την αστυνομία της Νότιας Ουαλίας και τη Μητροπολιτική Αστυνομία (Metropolitan Police Service, MPS). Επιπλέον, η Επίτροπος διερεύνησε τον «Κατάλογο συμμοριών» (Gangs matrix) (178) της MPS και διαπίστωσε σειρά σοβαρών παραβάσεων της νομοθεσίας για την προστασία των δεδομένων που ήταν πιθανό να υπονομεύσουν την εμπιστοσύνη του κοινού στο εν λόγω εργαλείο και τη χρήση των δεδομένων.

(106)

Τον Νοέμβριο του 2018 η νυν επίτροπος Πληροφοριών εξέδωσε ειδοποίηση επιβολής μέτρων και, στη συνέχεια, η MPS έλαβε τα απαιτούμενα μέτρα για την αύξηση της ασφάλειας και της λογοδοσίας, αλλά και για τη διασφάλιση της αναλογικής χρήσης των δεδομένων.

(107)

Άλλο παράδειγμα πρόσφατης επιβολής είναι το πρόστιμο των 325 000 GBP που επέβαλε η νυν επίτροπος τον Μάιο του 2018 σε βάρος της Εισαγγελικής Αρχής του Στέμματος, για την απώλεια μη κρυπτογραφημένων DVD που περιείχαν ηχογραφήσεις καταθέσεων στην αστυνομία. Επιπλέον, η νυν επίτροπος Πληροφοριών διεξήγαγε έρευνες για ευρύτερα θέματα, όπως για παράδειγμα, κατά το πρώτο εξάμηνο του 2020, έρευνα σχετικά με τη χρήση της εξαγωγής δεδομένων από κινητά τηλέφωνα στο πλαίσιο της αστυνόμευσης και την επεξεργασία δεδομένων θυμάτων από την αστυνομία.

(108)

Εκτός από τις εν λόγω εξουσίες επιβολής του επιτρόπου Πληροφοριών, ορισμένες παραβάσεις της νομοθεσίας για την προστασία των δεδομένων συνιστούν αδικήματα και ενδέχεται, ως εκ τούτου, να υπόκεινται σε ποινικές κυρώσεις (άρθρο 196 του DPA 2018). Αυτό ισχύει, για παράδειγμα, για τη λήψη ή την κοινολόγηση δεδομένων προσωπικού χαρακτήρα χωρίς τη συγκατάθεση του υπευθύνου επεξεργασίας και για την παροχή της κοινολόγησης δεδομένων προσωπικού χαρακτήρα σε άλλο πρόσωπο χωρίς τη συγκατάθεση του υπευθύνου επεξεργασίας (179)· για την επαναταυτοποίηση πληροφοριών που αποτελούν αποταυτοποιημένα δεδομένα προσωπικού χαρακτήρα χωρίς τη συγκατάθεση του υπεύθυνου για την αποταυτοποίηση των δεδομένων προσωπικού χαρακτήρα υπευθύνου επεξεργασίας (180)· για τη με πρόθεση παρακώλυση της άσκησης των εξουσιών του Επιτρόπου όσον αφορά την επιθεώρηση δεδομένων προσωπικού χαρακτήρα σύμφωνα με διεθνείς υποχρεώσεις (181), την υποβολή ψευδών δηλώσεων σε απάντηση σε ειδοποίηση παροχής πληροφοριών ή την καταστροφή πληροφοριών σε σχέση με ειδοποιήσεις παροχής πληροφοριών και διενέργειας αξιολόγησης (182).

(109)

Ο Επίτροπος Πληροφοριών έχει επίσης καθήκον, σύμφωνα με το άρθρο 139 του DPA 2018, να υποβάλλει σε κάθε σώμα του Κοινοβουλίου γενική έκθεση σχετικά με την άσκηση των καθηκόντων του βάσει του νόμου (183).

(110)

Η εποπτεία της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα δικαστήρια και το δικαστικό σώμα είναι διττή. Όταν ένας κάτοχος δικαστικού αξιώματος ή ένα δικαστήριο δεν ενεργεί στο πλαίσιο της δικαιοδοτικής του αρμοδιότητας, η εποπτεία διασφαλίζεται από τον Επίτροπο Πληροφοριών. Όταν ο υπεύθυνος επεξεργασίας ενεργεί στο πλαίσιο της δικαιοδοτικής του αρμοδιότητας, το ICO δεν μπορεί να ασκεί τα εποπτικά του καθήκοντα (184) και η εποπτεία διενεργείται από ειδικούς φορείς. Αυτό αντικατοπτρίζει την προσέγγιση που ακολουθείται στο άρθρο 32 της οδηγίας (ΕΕ) 2016/680.

(111)

Ειδικότερα, στη δεύτερη περίπτωση, όσον αφορά τα δικαστήρια της Αγγλίας και της Ουαλίας και τα πρωτοδικεία διοικητικών διαφορών (First-tier Tribunals) και τα εφετεία διοικητικών διαφορών (Upper Tribunals) της Αγγλίας και της Ουαλίας, η εν λόγω εποπτεία παρέχεται από την Ειδική Ομάδα Προστασίας Δικαστικών Δεδομένων (Judicial Data Protection Panel) (185). Επιπλέον, ο λόρδος αρχιδικαστής (Lord Chief Justice) και o ανώτατος πρόεδρος των ειδικών δικαιοδοτικών οργάνων (Senior President of Tribunals) εξέδωσαν δήλωση περί προστασίας της ιδιωτικότητας (186), στην οποία περιγράφεται ο τρόπος με τον οποίο τα δικαστήρια της Αγγλίας και της Ουαλίας επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα για την άσκηση δικαστικών καθηκόντων. Παρόμοια δήλωση έχει εκδοθεί από το δικαστικό σώμα της Βόρειας Ιρλανδίας (187) και της Σκωτίας (188).

(112)

Επιπλέον, στη Βόρεια Ιρλανδία, ο λόρδος αρχιδικαστής της Βόρειας Ιρλανδίας έχει διορίσει δικαστή του Ανώτερου Δικαστηρίου (High Court) ως δικαστή εποπτείας δεδομένων (Data Supervisory Judge, DSJ) (189). Έχει επίσης εκδώσει οδηγίες προς το δικαστικό σώμα της Βόρειας Ιρλανδίας σχετικά με τις ενέργειες που πρέπει να πραγματοποιούνται σε περίπτωση απώλειας ή δυνητικής απώλειας δεδομένων και τη διαδικασία αντιμετώπισης τυχόν ζητημάτων που προκύπτουν συναφώς (190).

(113)

Στη Σκωτία, ο Λόρδος πρόεδρος (Lord President) έχει διορίσει έναν δικαστή εποπτείας δεδομένων για τη διερεύνηση τυχόν καταγγελιών για λόγους προστασίας των δεδομένων. Ο εν λόγω διορισμός προβλέπεται από τους κανόνες για τις δικαστικές καταγγελίες, που αντικατοπτρίζουν εκείνους που θεσπίστηκαν για την Αγγλία και την Ουαλία (191).

(114)

Τέλος, στο Ανώτατο Δικαστήριο (Supreme Court), διορίζεται ένας από τους δικαστές του Ανώτατου Δικαστηρίου για την εποπτεία της προστασίας των δεδομένων.

(115)

Για να διασφαλίζεται επαρκής προστασία και ειδικότερα η επιβολή των ατομικών δικαιωμάτων, το υποκείμενο των δεδομένων πρέπει να έχει στη διάθεσή του αποτελεσματικά μέσα διοικητικής και δικαστικής προσφυγής, συμπεριλαμβανομένης της αποζημίωσης.

(116)

Πρώτον, το υποκείμενο των δεδομένων έχει το δικαίωμα να υποβάλει καταγγελία στον Επίτροπο Πληροφοριών εάν θεωρεί ότι έχει υπάρξει παράβαση του μέρους 3 του DPA 2018, σε σχέση με δεδομένα προσωπικού χαρακτήρα που το αφορούν (192). Όπως περιγράφεται στις αιτιολογικές σκέψεις (100) και (109), ο Επίτροπος Πληροφοριών έχει την εξουσία να αξιολογεί τη συμμόρφωση του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία με τον DPA 2018, να τους υποχρεώνει να λαμβάνουν αναγκαία μέτρα σε περίπτωση μη συμμόρφωσης ή να απέχουν από τη λήψη μέτρων και να επιβάλλει πρόστιμα.

(117)

Δεύτερον, ο DPA 2018 παρέχει δικαίωμα προσφυγής κατά του Επιτρόπου Πληροφοριών. Εάν ο Επίτροπος δεν «προωθήσει» (193) τη διεκπεραίωση καταγγελίας που έχει υποβληθεί από το υποκείμενο των δεδομένων, ο καταγγέλλων έχει δικαίωμα δικαστικής προσφυγής, καθώς μπορεί να υποβάλει αίτηση σε πρωτοδικείο διοικητικών διαφορών (194) για να διατάξει τον Επίτροπο να λάβει τα κατάλληλα μέτρα ώστε να απαντήσει στην καταγγελία ή να ενημερώσει τον καταγγέλλοντα σχετικά με την πρόοδο της καταγγελίας (195). Επιπλέον, κάθε πρόσωπο το οποίο λαμβάνει από τον Επίτροπο οποιαδήποτε από τις ανωτέρω ειδοποιήσεις (παροχής πληροφοριών, διενέργειας αξιολόγησης, επιβολής μέτρων ή επιβολής κυρώσεων) μπορεί να προσφύγει ενώπιον πρωτοδικείου διοικητικών διαφορών. Εάν το δικαστήριο κρίνει ότι η απόφαση του Επιτρόπου δεν είναι σύμφωνη με τον νόμο ή ότι ο Επίτροπος Πληροφοριών θα έπρεπε να είχε ασκήσει τη διακριτική του ευχέρεια με διαφορετικό τρόπο, το δικαστήριο πρέπει να κάνει δεκτή την προσφυγή ή να αντικαταστήσει την ειδοποίηση με άλλη ειδοποίηση ή απόφαση που θα μπορούσε να είχε απευθύνει ή να είχε εκδώσει ο Επίτροπος Πληροφοριών (196).

(118)

Τρίτον, τα φυσικά πρόσωπα μπορούν να ασκήσουν δικαστική προσφυγή κατά υπευθύνων επεξεργασίας και εκτελούντων την επεξεργασία προσφεύγοντας απευθείας ενώπιον των δικαστηρίων σύμφωνα με το άρθρο 167 του DPA 2018. Εάν, κατόπιν αίτησης του υποκειμένου των δεδομένων, το δικαστήριο κρίνει ότι υπήρξε παραβίαση των δικαιωμάτων του εν λόγω υποκειμένου των δεδομένων βάσει της νομοθεσίας για την προστασία των δεδομένων, το δικαστήριο μπορεί να διατάξει τον υπεύθυνο επεξεργασίας, ή τον εκτελούντα την επεξεργασία που ενεργεί για λογαριασμό του εν λόγω υπευθύνου επεξεργασίας, να λάβει τα μέτρα που προσδιορίζονται στη διαταγή ή να μην προβεί στη λήψη των μέτρων που προσδιορίζονται στη διαταγή. Επιπλέον, σύμφωνα με το άρθρο 169 του DPA 2018, κάθε πρόσωπο που υφίσταται ζημία λόγω παραβίασης απαίτησης της νομοθεσίας για την προστασία των δεδομένων (συμπεριλαμβανομένου του μέρους 3 του DPA 2018), εκτός από τον ΓΚΠΔ του Ηνωμένου Βασιλείου, δικαιούται αποζημίωση για τη ζημία αυτή από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία, εκτός εάν ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία αποδείξει ότι ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία δεν ευθύνεται με κανέναν τρόπο για το γεγονός που προκάλεσε τη ζημία. Η ζημία περιλαμβάνει τόσο την οικονομική ζημία όσο και τη μη οικονομική ζημία, όπως την πρόκληση οδύνης.

(119)

Τέταρτον, εφόσον οποιοδήποτε πρόσωπο θεωρεί ότι τα δικαιώματά του, συμπεριλαμβανομένων των δικαιωμάτων στην προστασία της ιδιωτικότητας και των δεδομένων, έχουν παραβιαστεί από δημόσιες αρχές, μπορεί να προσφύγει ενώπιον των δικαστηρίων του Ηνωμένου Βασιλείου βάσει του νόμου του 1998 για τα ανθρώπινα δικαιώματα. Οι υπεύθυνοι επεξεργασίας δυνάμει του μέρους 3 του DPA 2018, δηλαδή οι αρμόδιες αρχές, είναι πάντοτε δημόσιες αρχές κατά την έννοια του νόμου του 1998 για τα ανθρώπινα δικαιώματα. Ένα φυσικό πρόσωπο που ισχυρίζεται ότι μια δημόσια αρχή ενήργησε (ή προτίθεται να ενεργήσει) κατά τρόπο ασυμβίβαστο με δικαίωμα της σύμβασης, και κατά συνέπεια παράνομο δυνάμει του άρθρου 6 παράγραφος 1 του νόμου του 1998 για τα ανθρώπινα δικαιώματα, μπορεί να ασκήσει προσφυγή κατά της αρχής ενώπιον του αρμόδιου δικαστηρίου ή δικαιοδοτικού οργάνου, ή να επικαλεστεί τα σχετικά δικαιώματα σε οποιαδήποτε δικαστική διαδικασία, εφόσον είναι (ή θα ήταν) θύμα της παράνομης πράξης (197).

(120)

Εάν το δικαστήριο διαπιστώσει ότι οποιαδήποτε πράξη δημόσιας αρχής είναι παράνομη, μπορεί να χορηγήσει τη σχετική επανόρθωση ή αποκατάσταση, ή να εκδώσει τη διαταγή, στο πλαίσιο των αρμοδιοτήτων του, που κρίνει δίκαιη και κατάλληλη (198). Το δικαστήριο μπορεί επίσης να κηρύξει διάταξη πρωτογενούς δικαίου ασυμβίβαστη με δικαίωμα που διασφαλίζεται από την ΕΣΔΑ.

(121)

Τέλος, αφού εξαντλήσει τα εθνικά ένδικα μέσα, ένα πρόσωπο μπορεί να προσφύγει ενώπιον του Ευρωπαϊκού Δικαστηρίου των Δικαιωμάτων του Ανθρώπου για παραβιάσεις των δικαιωμάτων που κατοχυρώνονται στην ΕΣΔΑ.

(122)

Το δίκαιο του Ηνωμένου Βασιλείου επιτρέπει την κοινοποίηση δεδομένων από αρχή επιβολής του νόμου σε άλλες αρχές του Ηνωμένου Βασιλείου για σκοπούς διαφορετικούς από εκείνους για τους οποίους συλλέχθηκαν αρχικά (η λεγόμενη «περαιτέρω κοινοποίηση») υπό ορισμένες προϋποθέσεις.

(123)

Όπως προβλέπεται και στο άρθρο 4 παράγραφος 2 της οδηγίας (ΕΕ) 2016/680, το άρθρο 36 παράγραφος 3 του DPA 2018 επιτρέπει την περαιτέρω επεξεργασία των δεδομένων προσωπικού χαρακτήρα που συλλέχθηκαν από αρμόδια αρχή για σκοπούς επιβολής του νόμου (είτε από τον αρχικό υπεύθυνο επεξεργασίας είτε από άλλον υπεύθυνο επεξεργασίας) για οποιονδήποτε άλλο σκοπό επιβολής του νόμου, υπό την προϋπόθεση ότι ο υπεύθυνος επεξεργασίας είναι εκ του νόμου εξουσιοδοτημένος να επεξεργάζεται δεδομένα για τον εν λόγω άλλο σκοπό και ότι η επεξεργασία είναι αναγκαία και αναλογική (199). Στην περίπτωση αυτή, όλες οι εγγυήσεις που προβλέπονται στο μέρος 3 του DPA 2018 και οι οποίες αναλύονται ανωτέρω έχουν εφαρμογή στην επεξεργασία που διενεργείται από την αποδέκτρια αρχή.

(124)

Στην έννομη τάξη του Ηνωμένου Βασιλείου, η περαιτέρω κοινοποίηση επιτρέπεται ρητά από διάφορους νόμους. Ειδικότερα, i) ο νόμος του 2017 για την ψηφιακή οικονομία (Digital Economy Act 2017) επιτρέπει την ανταλλαγή δεδομένων μεταξύ δημόσιων αρχών για διάφορους σκοπούς, για παράδειγμα στην περίπτωση απάτης σε βάρος του δημόσιου τομέα η οποία συνεπάγεται ζημία ή κίνδυνο ζημίας για δημόσιες αρχές (200) ή σε περίπτωση χρέους προς δημόσια αρχή ή προς το Στέμμα (201)· ii) ο νόμος του 2013 για τη δίωξη του εγκλήματος και τα δικαστήρια επιτρέπει την κοινοποίηση πληροφοριών στην Εθνική Υπηρεσία Δίωξης του Εγκλήματος (NCA) (202) με σκοπό την καταπολέμηση, τη διερεύνηση και τη δίωξη του σοβαρού και οργανωμένου εγκλήματος· iii) ο νόμος του 2007 για τη δίωξη σοβαρών εγκλημάτων (Serious Crime Act 2007) επιτρέπει στις δημόσιες αρχές να κοινολογούν πληροφορίες σε οργανισμούς καταπολέμησης της απάτης με σκοπό την πρόληψη της απάτης (203).

(125)

Οι νόμοι αυτοί προβλέπουν ρητά ότι η κοινοποίηση πληροφοριών θα πρέπει να πραγματοποιείται σύμφωνα με τους κανόνες που καθορίζονται στον DPA 2018. Επιπλέον, το Σώμα των Εργαζομένων στην Αστυνόμευση έχει εκδώσει εγκεκριμένη επαγγελματική πρακτική σχετικά με την κοινοποίηση πληροφοριών (204) προκειμένου να συνδράμει την αστυνομία στη συμμόρφωση με τις υποχρεώσεις της όσον αφορά την προστασία δεδομένων βάσει του ΓΚΠΔ του Ηνωμένου Βασιλείου, του νόμου για την προστασία των δεδομένων και του νόμου του 1998 για τα ανθρώπινα δικαιώματα. Η συμμόρφωση της κοινοποίησης με το ισχύον νομικό πλαίσιο για την προστασία των δεδομένων μπορεί να υπόκειται, φυσικά, σε δικαστικό έλεγχο (205).

(126)

Επιπλέον, όπως προβλέπεται και στο άρθρο 9 της οδηγίας (ΕΕ) 2016/680, ο DPA 2018 προβλέπει ότι τα δεδομένα προσωπικού χαρακτήρα που συλλέγονται για οποιονδήποτε σκοπό επιβολής του νόμου μπορούν να υποβάλλονται σε επεξεργασία για σκοπό που δεν ανάγεται στην επιβολή του νόμου, αν η επεξεργασία επιτρέπεται από τον νόμο (206). Αυτού του είδους η κοινοποίηση καλύπτει δύο σενάρια: 1) την περίπτωση στην οποία μια αρχή επιβολής του ποινικού δικαίου κοινοποιεί δεδομένα σε αρχή επιβολής του νόμου σε τομείς πέραν του ποινικού δικαίου η οποία δεν είναι υπηρεσία πληροφοριών (όπως π.χ. οικονομική ή φορολογική αρχή, αρχή ανταγωνισμού, υπηρεσία κοινωνικής μέριμνας για τους νέους)· 2) την περίπτωση στην οποία μια αρχή επιβολής του ποινικού δικαίου κοινοποιεί δεδομένα σε υπηρεσία πληροφοριών. Στο πρώτο σενάριο, η επεξεργασία δεδομένων προσωπικού χαρακτήρα εμπίπτει στο πεδίο εφαρμογής του ΓΚΠΔ του Ηνωμένου Βασιλείου, καθώς και στο μέρος 2 του DPA 2018. Όπως προσδιορίζεται στην απόφαση που εκδόθηκε δυνάμει του κανονισμού (ΕΕ) 2016/679, οι εγγυήσεις που προβλέπονται από τον ΓΚΠΔ του Ηνωμένου Βασιλείου και το μέρος 2 του DPA 2018 παρέχουν επίπεδο προστασίας το οποίο είναι κατ’ ουσίαν ισοδύναμο με εκείνο που παρέχεται εντός της Ένωσης (207).

(127)

Στο δεύτερο σενάριο, όσον αφορά την κοινοποίηση δεδομένων που συλλέγονται από αρχή επιβολής του ποινικού δικαίου σε υπηρεσία πληροφοριών για σκοπούς εθνικής ασφάλειας, η νομική βάση που επιτρέπει την εν λόγω κοινοποίηση είναι ο νόμος του 2008 για την καταπολέμηση της τρομοκρατίας (Counter Terrorism Act, CTA 2008) (208). Σύμφωνα με τον CTA 2008, κάθε πρόσωπο μπορεί να παρέχει πληροφορίες σε οποιαδήποτε από τις υπηρεσίες πληροφοριών με σκοπό την εκπλήρωση οποιουδήποτε από τα καθήκοντα της εν λόγω υπηρεσίας, συμπεριλαμβανομένης της «εθνικής ασφάλειας».

(128)

Όσον αφορά τις προϋποθέσεις υπό τις οποίες μπορούν να κοινοποιούνται δεδομένα για σκοπούς εθνικής ασφάλειας, ο νόμος για τις υπηρεσίες πληροφοριών (Intelligence Services Act) και ο νόμος για την Υπηρεσία Ασφάλειας (Security Service Act) περιορίζουν τη δυνατότητα των υπηρεσιών πληροφοριών να λαμβάνουν δεδομένα σε ό,τι είναι αναγκαίο για την εκπλήρωση των εκ του νόμου καθηκόντων τους. Οι αρμόδιες αρχές που εμπίπτουν στο πεδίο εφαρμογής του μέρους 3 του DPA 2018 και επιδιώκουν την κοινοποίηση δεδομένων στις υπηρεσίες πληροφοριών θα πρέπει να εξετάσουν διάφορους παράγοντες/περιορισμούς επιπλέον των εκ του νόμου καθηκόντων των υπηρεσιών τα οποία καθορίζονται στον νόμο για τις υπηρεσίες πληροφοριών και στον νόμο για την Υπηρεσία Ασφάλειας (209). Το άρθρο 20 του CTA 2008 ορίζει σαφώς ότι κάθε κοινοποίηση δεδομένων που πραγματοποιείται σύμφωνα με το άρθρο 19 του CTA 2008 πρέπει να συμμορφώνεται με τη νομοθεσία για την προστασία των δεδομένων· αυτό σημαίνει ότι ισχύουν όλοι οι περιορισμοί και οι απαιτήσεις του DPA 2018. Επιπλέον, οι αρχές επιβολής του νόμου και οι υπηρεσίες πληροφοριών είναι δημόσιες αρχές για τους σκοπούς του νόμου του 1998 για τα ανθρώπινα δικαιώματα και, ως εκ τούτου, πρέπει να διασφαλίζουν ότι ενεργούν σύμφωνα με τα δικαιώματα που κατοχυρώνονται στην ΕΣΔΑ, συμπεριλαμβανομένου του άρθρου 8. Με άλλα λόγια, οι απαιτήσεις αυτές σημαίνουν ότι κάθε ανταλλαγή δεδομένων μεταξύ των υπηρεσιών επιβολής του νόμου και των υπηρεσιών πληροφοριών συμμορφώνεται με τη νομοθεσία για την προστασία των δεδομένων και την ΕΣΔΑ.

(129)

Η επεξεργασία —από τις υπηρεσίες πληροφοριών— των δεδομένων προσωπικού χαρακτήρα που λαμβάνονται ή αποκτώνται από τις αρχές επιβολής του νόμου για σκοπούς εθνικής ασφάλειας υπόκειται σε ορισμένες προϋποθέσεις και εγγυήσεις (210). Το μέρος 4 του DPA 2018 εφαρμόζεται σε κάθε επεξεργασία που πραγματοποιείται από τις υπηρεσίες πληροφοριών ή για λογαριασμό τους. Καθορίζει τις βασικές αρχές προστασίας των δεδομένων (νομιμότητα, αντικειμενικότητα και διαφάνεια (211)· περιορισμός του σκοπού (212)· ελαχιστοποίηση των δεδομένων (213)· ακρίβεια (214)· περιορισμός περιόδου αποθήκευσης (215) και ασφάλεια (216)), επιβάλλει προϋποθέσεις για την επεξεργασία δεδομένων ειδικών κατηγοριών (217), προβλέπει τα δικαιώματα του υποκειμένου των δεδομένων (218), απαιτεί την προστασία δεδομένων από τον σχεδιασμό και εξ ορισμού (219) και ρυθμίζει τις διεθνείς διαβιβάσεις των δεδομένων προσωπικού χαρακτήρα (220).

(130)

Ταυτόχρονα, το άρθρο 110 του DPA 2018 προβλέπει εξαίρεση από την εφαρμογή συγκεκριμένων διατάξεων του μέρους 4 του DPA 2018, όταν η εξαίρεση αυτή απαιτείται για τη διαφύλαξη της εθνικής ασφάλειας. Το άρθρο 110 παράγραφος 2 του DPA 2018 απαριθμεί τις διατάξεις από την εφαρμογή των οποίων επιτρέπεται εξαίρεση. Περιλαμβάνει τις αρχές προστασίας των δεδομένων (εκτός από την αρχή της νομιμότητας), τα δικαιώματα του υποκειμένου των δεδομένων, την υποχρέωση ενημέρωσης του Επιτρόπου Πληροφοριών σχετικά με παραβίαση δεδομένων, τις εξουσίες επιθεώρησης του Επιτρόπου Πληροφοριών σύμφωνα με τις διεθνείς υποχρεώσεις, ορισμένες από τις εξουσίες επιβολής του Επιτρόπου Πληροφοριών, τις διατάξεις που καθιστούν ορισμένες παραβιάσεις της προστασίας δεδομένων ποινικό αδίκημα, καθώς και τις διατάξεις που αφορούν ειδικούς σκοπούς επεξεργασίας, όπως δημοσιογραφικούς, ακαδημαϊκούς ή καλλιτεχνικούς σκοπούς. Η εξαίρεση αυτή μπορεί να βασίζεται σε κατά περίπτωση ανάλυση (221). Όπως εξήγησαν οι αρχές του Ηνωμένου Βασιλείου και επιβεβαιώνεται από τη νομολογία των δικαστηρίων του Ηνωμένου Βασιλείου, «ο υπεύθυνος επεξεργασίας πρέπει να εξετάζει τις πραγματικές συνέπειες για την εθνική ασφάλεια ή άμυνα εάν χρειαζόταν να συμμορφωθεί με τη συγκεκριμένη διάταξη περί προστασίας των δεδομένων και εάν θα μπορούσε ευλόγως να συμμορφωθεί με τον συνήθη κανόνα χωρίς να θίγεται η εθνική ασφάλεια ή άμυνα» (222). Το αν η εξαίρεση έχει χρησιμοποιηθεί κατάλληλα ή όχι υπόκειται στην εποπτεία του ICO (223).

(131)

Επιπλέον, όσον αφορά τη δυνατότητα περιορισμού οποιουδήποτε από τα προαναφερόμενα δικαιώματα για την προστασία της «εθνικής ασφάλειας», το άρθρο 79 του DPA 2018 προβλέπει ότι ο υπεύθυνος επεξεργασίας μπορεί να υποβάλει αίτηση για πιστοποιητικό υπογεγραμμένο από υπουργό ή από τον γενικό εισαγγελέα, το οποίο να πιστοποιεί ότι ο περιορισμός των εν λόγω δικαιωμάτων αποτελεί, ή σε οποιαδήποτε στιγμή αποτέλεσε, αναγκαίο και αναλογικό μέτρο για την προστασία της εθνικής ασφάλειας (224). Η κυβέρνηση του Ηνωμένου Βασιλείου έχει εκδώσει οδηγίες σχετικά με τα πιστοποιητικά εθνικής ασφάλειας στο πλαίσιο του DPA 2018, στις οποίες επισημαίνεται κυρίως ότι κάθε περιορισμός των δικαιωμάτων των υποκειμένων των δεδομένων για τη διαφύλαξη της εθνικής ασφάλειας πρέπει να είναι αναλογικός και αναγκαίος (225). Όλα τα πιστοποιητικά εθνικής ασφάλειας πρέπει να δημοσιεύονται στον δικτυακό τόπο του ICO (226).

(132)

Το πιστοποιητικό θα πρέπει να έχει καθορισμένη διάρκεια που να μην υπερβαίνει τα πέντε έτη, ώστε να επανεξετάζεται τακτικά από τον υπουργό (227). Το πιστοποιητικό προσδιορίζει τα δεδομένα προσωπικού χαρακτήρα ή τις κατηγορίες δεδομένων προσωπικού χαρακτήρα που υπόκεινται στην εξαίρεση, καθώς και τις διατάξεις του DPA 2018 στις οποίες εφαρμόζεται η εξαίρεση (228).

(133)

Είναι σημαντικό να σημειωθεί ότι τα πιστοποιητικά εθνικής ασφάλειας δεν παρέχουν πρόσθετο λόγο για τον περιορισμό των δικαιωμάτων προστασίας των δεδομένων για λόγους εθνικής ασφάλειας. Με άλλα λόγια, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία μπορεί να βασίζεται σε πιστοποιητικό μόνον εφόσον έχει καταλήξει στο συμπέρασμα ότι είναι αναγκαίο να βασιστεί στην εξαίρεση της εθνικής ασφάλειας, η οποία πρέπει να εφαρμόζεται κατά περίπτωση. Ακόμη και αν ένα πιστοποιητικό εθνικής ασφάλειας εφαρμόζεται στο υπό εξέταση ζήτημα, το ICO μπορεί να διερευνήσει αν η επίκληση της εξαίρεσης της εθνικής ασφάλειας ήταν δικαιολογημένη σε συγκεκριμένη υπόθεση (229).

(134)

Κάθε πρόσωπο που θίγεται άμεσα από την έκδοση του πιστοποιητικού μπορεί να προσφύγει στο εφετείο διοικητικών διαφορών (230) κατά του πιστοποιητικού (231) ή, όταν το πιστοποιητικό προσδιορίζει δεδομένα μέσω γενικής περιγραφής, να αμφισβητήσει την εφαρμογή του πιστοποιητικού σε συγκεκριμένα δεδομένα (232).

(135)

Το δικαστήριο επανεξετάζει την απόφαση έκδοσης πιστοποιητικού και αποφασίζει αν υπήρχαν βάσιμοι λόγοι για την έκδοση του πιστοποιητικού (233). Μπορεί να εξετάζει ευρύ φάσμα θεμάτων, συμπεριλαμβανομένης της αναγκαιότητας, της αναλογικότητας και της νομιμότητας, λαμβάνοντας υπόψη τον αντίκτυπο στα δικαιώματα των υποκειμένων των δεδομένων και σταθμίζοντας την ανάγκη διαφύλαξης της εθνικής ασφάλειας. Ως εκ τούτου, το δικαστήριο μπορεί να αποφασίσει ότι το πιστοποιητικό δεν εφαρμόζεται σε συγκεκριμένα δεδομένα προσωπικού χαρακτήρα που αποτελούν το αντικείμενο της προσφυγής (234).

(136)

Ένα διαφορετικό σύνολο πιθανών περιορισμών αφορά εκείνους που εφαρμόζονται, σύμφωνα με το παράρτημα 11 του DPA 2018, σε ορισμένες διατάξεις του μέρους 4 του DPA 2018 (235) για τη διασφάλιση άλλων σημαντικών σκοπών γενικού δημόσιου συμφέροντος ή προστατευόμενων συμφερόντων, όπως, για παράδειγμα, τα κοινοβουλευτικά προνόμια, το δικηγορικό απόρρητο, η διεξαγωγή δικαστικών διαδικασιών ή το αξιόμαχο των ενόπλων δυνάμεων. Η εξαίρεση από την εφαρμογή των διατάξεων αυτών προβλέπεται είτε για ορισμένες κατηγορίες πληροφοριών («βάσει κατηγορίας») είτε στον βαθμό που η εφαρμογή των εν λόγω διατάξεων είναι πιθανό να θίξει το προστατευόμενο συμφέρον («βάσει ζημίας») (236). Επίκληση εξαιρέσεων βάσει ζημίας είναι δυνατή μόνον εφόσον η εφαρμογή της παρατιθέμενης διάταξης για την προστασία των δεδομένων είναι πιθανό να θίξει το συγκεκριμένο συμφέρον. Ως εκ τούτου, η χρήση εξαίρεσης πρέπει πάντοτε να αιτιολογείται με αναφορά στη σχετική ζημία που θα ήταν πιθανό να προκύψει στη συγκεκριμένη περίπτωση. Η επίκληση εξαιρέσεων βάσει κατηγοριών μπορεί να πραγματοποιηθεί μόνο σε σχέση με τη συγκεκριμένη, στενά καθορισμένη κατηγορία πληροφοριών για την οποία χορηγείται η εξαίρεση. Οι εξαιρέσεις αυτές είναι παρόμοιες —ως προς τον σκοπό και τις επιπτώσεις τους— με αρκετές από τις εξαιρέσεις του ΓΚΠΔ του Ηνωμένου Βασιλείου (σύμφωνα με το παράρτημα 2 του DPA 2018), οι οποίες, με τη σειρά τους, αντικατοπτρίζουν εκείνες που προβλέπονται στο άρθρο 23 του ΓΚΠΔ.

(137)

Από τα ανωτέρω συνάγεται ότι ο περιορισμός και οι προϋποθέσεις ισχύουν βάσει των εφαρμοστέων νομικών διατάξεων του Ηνωμένου Βασιλείου, όπως ερμηνεύονται επίσης από τα δικαστήρια και το Γραφείο Επιτρόπου Πληροφοριών, ώστε να διασφαλίζεται ότι η εν λόγω εξαίρεση και οι εν λόγω περιορισμοί παραμένουν εντός των ορίων της αναγκαιότητας και της αναλογικότητας για την προστασία της εθνικής ασφάλειας.

(138)

Η επεξεργασία δεδομένων προσωπικού χαρακτήρα που διενεργείται από τις υπηρεσίες πληροφοριών δυνάμει του μέρους 4 του DPA 2018 τελεί υπό την εποπτεία του Επιτρόπου Πληροφοριών (237).

(139)

Τα γενικά καθήκοντα του Επιτρόπου Πληροφοριών σε σχέση με την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τις υπηρεσίες πληροφοριών δυνάμει του μέρους 4 του DPA 2018 καθορίζονται στο παράρτημα 13 του εν λόγω νόμου. Στα καθήκοντα περιλαμβάνονται, μεταξύ άλλων, ειδικότερα, η παρακολούθηση και η επιβολή του μέρους 4 του DPA 2018, η προώθηση της ευαισθητοποίησης του κοινού, η παροχή συμβουλών στο Κοινοβούλιο, στην κυβέρνηση και σε άλλα όργανα όσον αφορά νομοθετικά και διοικητικά μέτρα, η προώθηση της ευαισθητοποίησης των υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία σχετικά με τις υποχρεώσεις τους, η παροχή πληροφοριών στο υποκείμενο των δεδομένων σχετικά με την άσκηση των δικαιωμάτων του και η διεξαγωγή ερευνών.

(140)

Όπως και για το μέρος 3 του DPA 2018, ο Επίτροπος έχει την εξουσία να ενημερώνει τους υπευθύνους επεξεργασίας σχετικά με εικαζόμενη παράβαση και να εκδίδει προειδοποιήσεις επισημαίνοντας ότι μια πράξη επεξεργασίας είναι πιθανόν να παραβαίνει τους κανόνες, καθώς και να απευθύνει επίπληξη σε περίπτωση που επιβεβαιωθεί η παράβαση. Μπορεί επίσης να εκδίδει ειδοποιήσεις επιβολής μέτρων και ειδοποιήσεις επιβολής κυρώσεων για παραβάσεις ορισμένων διατάξεων του νόμου (238). Ωστόσο, σε αντίθεση με όσα ισχύουν για άλλα μέρη του DPA 2018, ο Επίτροπος δεν μπορεί να απευθύνει ειδοποίηση διενέργειας αξιολόγησης σε φορέα εθνικής ασφάλειας (239).

(141)

Επιπλέον, το άρθρο 110 του DPA 2018 προβλέπει εξαίρεση σε σχέση με την άσκηση ορισμένων εξουσιών του Επιτρόπου, όταν αυτό απαιτείται για τους σκοπούς της διαφύλαξης της εθνικής ασφάλειας. Αυτό περιλαμβάνει την εξουσία του Επιτρόπου να εκδίδει (οποιουδήποτε είδους) ειδοποιήσεις δυνάμει του DPA (ειδοποιήσεις παροχής πληροφοριών, διενέργειας αξιολόγησης, επιβολής μέτρων και επιβολής κυρώσεων), την εξουσία διενέργειας επιθεωρήσεων σύμφωνα με τις διεθνείς υποχρεώσεις, τις εξουσίες εισόδου και διενέργειας επιθεώρησης και τους κανόνες που αφορούν τα ποινικά αδικήματα (240). Όπως εξηγείται στην αιτιολογική σκέψη (136), οι εξαιρέσεις αυτές θα εφαρμόζονται μόνον εφόσον είναι αναγκαίες και αναλογικές και μόνο κατά περίπτωση. Η εφαρμογή αυτών των εξαιρέσεων μπορεί να υπόκειται σε δικαστικό έλεγχο (241).

(142)

Το ICO και οι υπηρεσίες πληροφοριών του Ηνωμένου Βασιλείου έχουν υπογράψει μνημόνιο συμφωνίας (242) με το οποίο θεσπίζεται πλαίσιο συνεργασίας για διάφορα θέματα, συμπεριλαμβανομένων των γνωστοποιήσεων παραβιάσεων δεδομένων και του χειρισμού των καταγγελιών των υποκειμένων των δεδομένων. Ειδικότερα, το εν λόγω μνημόνιο συμφωνίας προβλέπει ότι το ICO, μόλις λάβει καταγγελία, θα αξιολογεί αν έχει γίνει κατάλληλη επίκληση οποιασδήποτε εξαίρεσης εθνικής ασφάλειας. Οι απαντήσεις σε ερωτήματα που υποβάλλονται από το ICO στο πλαίσιο της εξέτασης μεμονωμένων καταγγελιών πρέπει να παρέχονται εντός 20 εργάσιμων ημερών με βάση τις σχετικές οδηγίες της κυβέρνησης του Ηνωμένου Βασιλείου σχετικά με τα πιστοποιητικά εθνικής ασφάλειας δυνάμει του νόμου για την προστασία των δεδομένων (UK Government Guidance on National Security Certificates under the Data Protection Act), με χρήση κατάλληλων ασφαλών διαύλων εάν πρόκειται για διαβαθμισμένες πληροφορίες. Από τον Απρίλιο του 2018 έως σήμερα, το ICO έχει λάβει 21 καταγγελίες προσώπων οι οποίες αφορούσαν τις υπηρεσίες πληροφοριών. Όλες οι καταγγελίες εξετάστηκαν και το αποτέλεσμα κοινοποιήθηκε στο υποκείμενο των δεδομένων (243).

(143)

Επιπλέον, η Επιτροπή Πληροφοριών και Ασφάλειας (Intelligence and Security Committee, ISC) ασκεί την κοινοβουλευτική εποπτεία της επεξεργασίας δεδομένων από τις υπηρεσίες πληροφοριών. Η εν λόγω επιτροπή αντλεί τη νομική της βάση από τον νόμο του 2013 για τη δικαιοσύνη και την ασφάλεια (Justice and Security Act, JSA 2013) (244). Με τον νόμο αυτό συστάθηκε η ISC ως επιτροπή του Κοινοβουλίου του Ηνωμένου Βασιλείου. Η ISC αποτελείται από μέλη που ανήκουν σε οποιοδήποτε από τα δύο σώματα του Κοινοβουλίου και διορίζονται από τον πρωθυπουργό αφού ζητηθεί η γνώμη του αρχηγού της αντιπολίτευσης (245). Η ISC υποχρεούται να υποβάλλει στο Κοινοβούλιο ετήσια έκθεση σχετικά με την εκτέλεση των καθηκόντων της, καθώς και άλλες εκθέσεις που θεωρεί σκόπιμο να υποβληθούν (246).

(144)

Από το 2013 έχουν ανατεθεί στην ISC ευρύτερες εξουσίες, συμπεριλαμβανομένης της εποπτείας των επιχειρησιακών δραστηριοτήτων των υπηρεσιών ασφάλειας. Σύμφωνα με το άρθρο 2 του JSA 2013, η ISC έχει καθήκον να επιβλέπει τις δαπάνες, τη διοίκηση, την πολιτική και τις επιχειρήσεις των υπηρεσιών εθνικής ασφάλειας. Ο JSA 2013 ορίζει ότι η ISC έχει τη δυνατότητα να διεξάγει έρευνες επί επιχειρησιακών θεμάτων, όταν δεν σχετίζονται με επιχειρήσεις που βρίσκονται σε εξέλιξη (247). Το μνημόνιο συμφωνίας το οποίο υπογράφηκε μεταξύ του πρωθυπουργού και της ISC (248) προσδιορίζει λεπτομερώς τα στοιχεία που πρέπει να λαμβάνονται υπόψη όταν εξετάζεται αν μια δραστηριότητα δεν αποτελεί μέρος μιας επιχείρησης που βρίσκεται σε εξέλιξη (249). Ο πρωθυπουργός μπορεί επίσης να ζητήσει από την ISC να διερευνήσει επιχειρήσεις που βρίσκονται σε εξέλιξη και να εξετάσει πληροφορίες που παρέχονται οικειοθελώς από τις υπηρεσίες.

(145)

Σύμφωνα με το παράρτημα 1 του JSA 2013, η Επιτροπή Πληροφοριών και Ασφάλειας μπορεί να ζητήσει από τους επικεφαλής οποιασδήποτε από τις τρεις υπηρεσίες πληροφοριών να αποκαλύψουν οποιαδήποτε πληροφορία. Η υπηρεσία πρέπει να παράσχει τις πληροφορίες αυτές, εκτός αν ο υπουργός ασκήσει το δικαίωμα αρνησικυρίας (250). Οι αρχές του Ηνωμένου Βασιλείου εξήγησαν ότι στην πράξη είναι ελάχιστες οι πληροφορίες που δεν παρέχονται στην ISC (251).

(146)

Όσον αφορά τα μέσα προσφυγής, καταρχάς, σύμφωνα με το άρθρο 165 παράγραφος 2 του DPA 2018, το υποκείμενο των δεδομένων μπορεί να υποβάλει καταγγελία στο ICO εάν πιστεύει ότι, σε σχέση με δεδομένα προσωπικού χαρακτήρα που το αφορούν, υφίσταται παράβαση του μέρους 4 του DPA 2018, συμπεριλαμβανομένης τυχόν καταχρηστικής χρήσης των παρεκκλίσεων και περιορισμών εθνικής ασφάλειας.

(147)

Επιπλέον, σύμφωνα με το μέρος 4 του DPA 2018, κάθε πρόσωπο έχει το δικαίωμα να υποβάλει αίτηση στο Ανώτερο Δικαστήριο (High Court ή Court of Session στη Σκωτία) για την έκδοση διαταγής με την οποία ζητείται από τον υπεύθυνο επεξεργασίας να συμμορφωθεί με τα δικαιώματα πρόσβασης στα δεδομένα (252), αντίταξης στην επεξεργασία (253) και διόρθωσης ή διαγραφής.

(148)

Τα φυσικά πρόσωπα δικαιούνται επίσης να ζητήσουν αποζημίωση για τη ζημία που υπέστησαν λόγω παράβασης απαίτησης του μέρους 4 του DPA 2018 από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία (254). Η ζημία περιλαμβάνει τόσο την οικονομική ζημία όσο και τη μη οικονομική ζημία, όπως την πρόκληση οδύνης (255).

(149)

Τέλος, ένα φυσικό πρόσωπο μπορεί να υποβάλει καταγγελία στο Ειδικό Δικαιοδοτικό Όργανο Ελέγχου των Ερευνητικών Εξουσιών (Investigatory Powers Tribunal, IPT) για οποιαδήποτε συμπεριφορά εκ μέρους ή για λογαριασμό των υπηρεσιών πληροφοριών του Ηνωμένου Βασιλείου (256). Το Ειδικό Δικαιοδοτικό Όργανο Ελέγχου των Ερευνητικών Εξουσιών (IPT) ιδρύθηκε με τον νόμο του 2000 για τη ρύθμιση των ερευνητικών εξουσιών για την Αγγλία, την Ουαλία και τη Βόρεια Ιρλανδία και τον νόμο του 2000 για τη ρύθμιση των ερευνητικών εξουσιών (Σκωτία) για τη Σκωτία (RIPA 2000) και είναι ανεξάρτητο από την εκτελεστική εξουσία (257). Σύμφωνα με το άρθρο 65 του RIPA 2000, τα μέλη του IPT διορίζονται από την Αυτής Μεγαλειότητα για πενταετή θητεία.

(150)

Τα μέλη του IPT μπορούν να παυθούν από τα καθήκοντά τους από την Αυτής Μεγαλειότητα κατόπιν αναγγελίας (258) αμφότερων των σωμάτων του Κοινοβουλίου (259).

(151)

Για την άσκηση προσφυγής ενώπιον του IPT («απαίτηση ενεργητικής νομιμοποίησης»), σύμφωνα με το άρθρο 65 του RIPA 2000, το πρόσωπο πρέπει να έχει την πεποίθηση i) ότι η συμπεριφορά της υπηρεσίας πληροφοριών έλαβε χώρα σε σχέση με το εν λόγω πρόσωπο, με οποιοδήποτε περιουσιακό του στοιχείο, με οποιαδήποτε επικοινωνία που εστάλη από ή προς το εν λόγω πρόσωπο ή προοριζόταν γι’ αυτό, ή με τη χρήση οποιασδήποτε ταχυδρομικής υπηρεσίας, τηλεπικοινωνιακής υπηρεσίας ή συστήματος τηλεπικοινωνιών (260), και ii) ότι η συμπεριφορά έλαβε χώρα σε «περιστάσεις δεκτικές προσφυγής» (261) ή «ασκήθηκε από ή για λογαριασμό των υπηρεσιών πληροφοριών (262)». Δεδομένου ότι, ειδικότερα, αυτό το κριτήριο της «πεποίθησης» έχει ερμηνευθεί αρκετά ευρέως (263), η άσκηση προσφυγής ενώπιον του IPT υπόκειται σε σχετικά χαμηλές απαιτήσεις όσον αφορά την ενεργητική νομιμοποίηση.

(152)

Όταν το IPT εξετάζει καταγγελία που έχει υποβληθεί ενώπιόν του, έχει καθήκον να διερευνήσει αν τα πρόσωπα κατά των οποίων προβάλλεται οποιοσδήποτε ισχυρισμός στο πλαίσιο της καταγγελίας έχουν εμπλακεί σε συμπεριφορά που αφορά τον καταγγέλλοντα, καθώς και να ερευνήσει την αρχή η οποία φέρεται να έχει εμπλακεί στις παραβάσεις και αν η προβαλλόμενη συμπεριφορά έλαβε χώρα (264). Όταν το IPT επιλαμβάνεται μιας υπόθεσης, οφείλει να εφαρμόζει στη διαδικασία τις ίδιες αρχές με εκείνες που θα εφαρμόζονταν από δικαστήριο επί αίτησης δικαστικού ελέγχου (265).

(153)

Το IPT πρέπει να ενημερώνει τον καταγγέλλοντα αν έχει εκδοθεί απόφαση υπέρ του ή όχι (266). Σύμφωνα με το άρθρο 67 παράγραφοι 6 και 7 του RIPA 2000, το IPT έχει την εξουσία να διατάσσει προσωρινά μέτρα και να επιδικάζει οποιαδήποτε αποζημίωση ή να εκδίδει οποιαδήποτε άλλη απόφαση κρίνει κατάλληλη (267). Σύμφωνα με το άρθρο 67A του RIPA 2000, είναι δυνατή η άσκηση προσφυγής κατά απόφασης του IPT, με την επιφύλαξη άδειας που χορηγείται από το εν λόγω όργανο ή το αρμόδιο εφετείο.

(154)

Ειδικότερα, τα φυσικά πρόσωπα μπορούν να ασκήσουν αγωγή —και να επιτύχουν επανόρθωση— ενώπιον του IPT σε περίπτωση που θεωρούν ότι μια δημόσια αρχή έχει ενεργήσει (ή προτίθεται να ενεργήσει) κατά τρόπο ασυμβίβαστο με τα δικαιώματα δυνάμει της ΕΣΔΑ, συμπεριλαμβανομένου του δικαιώματος στην προστασία της ιδιωτικής ζωής και των δεδομένων και, ως εκ τούτου, παράνομο βάσει του άρθρου 6 παράγραφος 1 του νόμου του 1998 για τα ανθρώπινα δικαιώματα. Στο IPT έχει απονεμηθεί αποκλειστική αρμοδιότητα για όλες τις αξιώσεις βάσει του νόμου για τα ανθρώπινα δικαιώματα σε σχέση με τις υπηρεσίες πληροφοριών. Αυτό σημαίνει ότι, όπως επισήμανε το Ανώτερο Δικαστήριο, «το αν υπήρξε παράβαση του νόμου για τα ανθρώπινα δικαιώματα βάσει των πραγματικών περιστατικών μιας συγκεκριμένης υπόθεσης είναι κάτι που μπορεί καταρχήν να προβληθεί και να κριθεί από ανεξάρτητο δικαστήριο, το οποίο μπορεί να έχει πρόσβαση σε όλο το σχετικό υλικό, συμπεριλαμβανομένου του απόρρητου υλικού. […] Στο πλαίσιο αυτό, έχουμε επίσης κατά νου ότι υπάρχει πλέον η δυνατότητα προσφυγής κατά του ίδιου του IPT ενώπιον του αρμόδιου εφετείου (για την Αγγλία και την Ουαλία, αυτό είναι το Court of Appeal)· και ότι το Ανώτατο Δικαστήριο αποφάνθηκε πρόσφατα ότι το IPT υπόκειται καταρχήν σε δικαστικό έλεγχο: βλέπε R (Privacy International) κατά Investigatory Powers Tribunal [2019] UKSC 22· [2019] 2 WLR 1219» (268). Εάν το IPT διαπιστώσει ότι οποιαδήποτε πράξη δημόσιας αρχής είναι παράνομη, μπορεί να χορηγήσει τη σχετική επανόρθωση ή αποκατάσταση, ή να εκδώσει διαταγή, στο πλαίσιο των αρμοδιοτήτων του όπως κρίνει δίκαιο και κατάλληλο (269).

(155)

Αφού εξαντλήσει τα εθνικά ένδικα μέσα, ένα πρόσωπο μπορεί να προσφύγει ενώπιον του Ευρωπαϊκού Δικαστηρίου των Δικαιωμάτων του Ανθρώπου για παραβιάσεις των δικαιωμάτων που κατοχυρώνονται στην ΕΣΔΑ, συμπεριλαμβανομένου του δικαιώματος στην προστασία της ιδιωτικής ζωής και των δεδομένων.

(156)

Από τα ανωτέρω συνάγεται ότι η κοινοποίηση δεδομένων που διαβιβάζονται δυνάμει της παρούσας απόφασης από τις αρχές επιβολής του ποινικού δικαίου του Ηνωμένου Βασιλείου σε άλλες δημόσιες αρχές, συμπεριλαμβανομένων των υπηρεσιών πληροφοριών, πλαισιώνεται από περιορισμούς και όρους που διασφαλίζουν ότι η εν λόγω περαιτέρω κοινοποίηση θα είναι αναγκαία και αναλογική και θα υπόκειται σε ειδικές εγγυήσεις προστασίας των δεδομένων δυνάμει του DPA 2018. Επιπλέον, η επεξεργασία δεδομένων από τις οικείες δημόσιες αρχές εποπτεύεται από ανεξάρτητους φορείς και τα θιγόμενα πρόσωπα έχουν πρόσβαση σε αποτελεσματικά ένδικα μέσα.

(157)

Η Επιτροπή θεωρεί ότι το μέρος 3 του DPA 2018 εξασφαλίζει επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα που διαβιβάζονται για σκοπούς επιβολής του ποινικού δικαίου από αρμόδιες αρχές της Ένωσης σε αρμόδιες αρχές του Ηνωμένου Βασιλείου, το οποίο είναι κατ’ ουσίαν ισοδύναμο με εκείνο που εγγυάται η οδηγία (ΕΕ) 2016/680.

(158)

Επιπλέον, η Επιτροπή θεωρεί ότι, συνολικά, οι εποπτικοί μηχανισμοί και τα μέσα προσφυγής που προβλέπονται στη νομοθεσία του Ηνωμένου Βασιλείου επιτρέπουν τον εντοπισμό και την πραγματική τιμωρία των παραβάσεων και προσφέρουν μέσα ένδικης προστασίας στα υποκείμενα των δεδομένων προκειμένου να επιτυγχάνουν την πρόσβαση στα δεδομένα προσωπικού χαρακτήρα που τα αφορούν και, τελικώς, τη διόρθωση ή τη διαγραφή των εν λόγω δεδομένων.

(159)

Τέλος, βάσει των διαθέσιμων πληροφοριών σχετικά με την έννομη τάξη του Ηνωμένου Βασιλείου, η Επιτροπή θεωρεί ότι οποιαδήποτε επέμβαση στα θεμελιώδη δικαιώματα των φυσικών προσώπων των οποίων τα δεδομένα προσωπικού χαρακτήρα διαβιβάζονται από την Ευρωπαϊκή Ένωση στο Ηνωμένο Βασίλειο από δημόσιες αρχές του Ηνωμένου Βασιλείου για σκοπούς δημόσιου συμφέροντος, μεταξύ άλλων και στο πλαίσιο της κοινοποίησης δεδομένων προσωπικού χαρακτήρα μεταξύ αρχών επιβολής του νόμου και άλλων δημόσιων αρχών, όπως φορέων εθνικής ασφάλειας, θα περιορίζεται στο απολύτως αναγκαίο για την επίτευξη του εν λόγω νόμιμου σκοπού, και ότι υφίσταται αποτελεσματική νομική προστασία κατά της επέμβασης αυτού του είδους.

(160)

Ως εκ τούτου, θα πρέπει να αποφασιστεί ότι το Ηνωμένο Βασίλειο εξασφαλίζει επαρκές επίπεδο προστασίας κατά την έννοια του άρθρου 36 παράγραφος 2 της οδηγίας (ΕΕ) 2016/680, ερμηνευόμενου υπό το πρίσμα του Χάρτη των Θεμελιωδών Δικαιωμάτων.

(161)

Το συμπέρασμα αυτό βασίζεται τόσο στο σχετικό εσωτερικό καθεστώς του Ηνωμένου Βασιλείου όσο και στις διεθνείς δεσμεύσεις του, ειδικότερα τις δεσμεύσεις για την τήρηση της Ευρωπαϊκής σύμβασης Δικαιωμάτων του Ανθρώπου και την υπαγωγή του στη δικαιοδοσία του Ευρωπαϊκού Δικαστηρίου των Δικαιωμάτων του Ανθρώπου. Ως εκ τούτου, η συνεχής τήρηση των εν λόγω διεθνών υποχρεώσεων αποτελεί ιδιαίτερα σημαντικό στοιχείο της αξιολόγησης στην οποία βασίζεται η παρούσα απόφαση.

(162)

Τα κράτη μέλη και τα όργανά τους υποχρεούνται να λαμβάνουν τα αναγκαία μέτρα προκειμένου να συμμορφώνονται με τις νομοθετικές πράξεις των θεσμικών οργάνων της Ένωσης, καθώς αυτές θεωρείται ότι είναι σύννομες και, ως εκ τούτου, παράγουν έννομα αποτελέσματα έως ότου λήξουν, ανακληθούν, ακυρωθούν μετά από αγωγή ακύρωσης ή κηρυχθούν άκυρες μετά από υποβολή προδικαστικού ερωτήματος ή άσκηση αγωγής με αιτιολογία τον παράνομο χαρακτήρα.

(163)

Κατά συνέπεια, η απόφαση περί επάρκειας που εκδίδεται από την Επιτροπή δυνάμει του άρθρου 36 παράγραφος 3 της οδηγίας (ΕΕ) 2016/680 είναι δεσμευτική για όλα τα όργανα των κρατών μελών στα οποία απευθύνεται η εν λόγω απόφαση, συμπεριλαμβανομένων των ανεξάρτητων εποπτικών αρχών τους. Ιδίως, κατά τη διάρκεια της περιόδου εφαρμογής της παρούσας απόφασης, οι διαβιβάσεις από υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία στην Ευρωπαϊκή Ένωση προς υπευθύνους επεξεργασίας ή εκτελούντες την επεξεργασία στο Ηνωμένο Βασίλειο μπορούν να πραγματοποιούνται χωρίς να απαιτείται περαιτέρω άδεια.

(164)

Ταυτόχρονα, θα πρέπει να υπενθυμιστεί ότι, σύμφωνα με το άρθρο 47 παράγραφος 5 της οδηγίας (ΕΕ) 2016/680, και όπως εξήγησε το Δικαστήριο στην απόφαση Schrems, όταν μια εθνική αρχή προστασίας των δεδομένων αμφισβητεί, μεταξύ άλλων κατόπιν καταγγελίας, τη συμβατότητα μιας απόφασης περί επάρκειας την οποία έχει εκδώσει η Επιτροπή με τα θεμελιώδη δικαιώματα του προσώπου στην προστασία της ιδιωτικής ζωής και των δεδομένων, το εθνικό δίκαιο πρέπει να της παρέχει μέσα ένδικης προστασίας ώστε να μπορεί να προβάλει τις αιτιάσεις αυτές ενώπιον εθνικού δικαστηρίου, το οποίο μπορεί να χρειαστεί να υποβάλει προδικαστικό ερώτημα στο Δικαστήριο (270).

(165)

Σύμφωνα με το άρθρο 36 παράγραφος 4 της οδηγίας (ΕΕ) 2016/680, η Επιτροπή πρέπει να παρακολουθεί, σε συνεχή βάση, τις σχετικές εξελίξεις στο Ηνωμένο Βασίλειο μετά την έκδοση της παρούσας απόφασης, προκειμένου να αξιολογεί αν εξακολουθεί να διασφαλίζει κατ’ ουσίαν ισοδύναμο επίπεδο προστασίας. Η εν λόγω παρακολούθηση είναι ιδιαίτερα σημαντική στην προκειμένη περίπτωση, καθώς το Ηνωμένο Βασίλειο θα διαχειρίζεται, θα εφαρμόζει και θα επιβάλλει ένα νέο καθεστώς προστασίας των δεδομένων το οποίο δεν θα υπόκειται πλέον στο δίκαιο της Ένωσης και το οποίο ενδέχεται να εξελιχθεί. Στο πλαίσιο αυτό, θα δοθεί ιδιαίτερη προσοχή στην εφαρμογή στην πράξη των κανόνων του Ηνωμένου Βασιλείου σχετικά με τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες, μεταξύ άλλων μέσω της σύναψης διεθνών συμφωνιών, και στον αντίκτυπο που μπορεί να έχει στο επίπεδο προστασίας που παρέχεται στα δεδομένα που διαβιβάζονται δυνάμει της παρούσας απόφασης· καθώς και για την αποτελεσματικότητα της άσκησης των ατομικών δικαιωμάτων στους τομείς που καλύπτονται από την παρούσα απόφαση. Μεταξύ άλλων στοιχείων, οι εξελίξεις στη νομολογία και η εποπτεία από το ICO και άλλους ανεξάρτητους φορείς θα τροφοδοτούν την παρακολούθηση της Επιτροπής.

(166)

Με σκοπό να διευκολυνθεί η παρακολούθηση, οι αρχές του Ηνωμένου Βασιλείου θα πρέπει να ενημερώνουν την Επιτροπή αμέσως και σε τακτική βάση για κάθε ουσιώδη μεταβολή στην έννομη τάξη του Ηνωμένου Βασιλείου που έχει αντίκτυπο στο νομικό πλαίσιο που αποτελεί το αντικείμενο της παρούσας απόφασης, καθώς και για κάθε εξέλιξη των πρακτικών που σχετίζονται με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα οι οποίες αξιολογούνται στην παρούσα απόφαση, ιδίως αναφορικά με τα στοιχεία που αναφέρονται στην αιτιολογική σκέψη (165).

(167)

Επιπροσθέτως, για να μπορεί η Επιτροπή να εκτελέσει με αποτελεσματικότητα το καθήκον της παρακολούθησης, τα κράτη μέλη θα πρέπει να ενημερώνουν την Επιτροπή για κάθε συναφή δράση των εθνικών αρχών προστασίας δεδομένων, ιδίως σε σχέση με ερωτήσεις ή καταγγελίες από υποκείμενα δεδομένων της ΕΕ σχετικά με τη διαβίβαση δεδομένων προσωπικού χαρακτήρα από την Ένωση σε αρμόδιες αρχές στο Ηνωμένο Βασίλειο. Η Επιτροπή θα πρέπει επίσης να λαμβάνει γνώση οποιασδήποτε ένδειξης ότι οι ενέργειες των δημόσιων αρχών του Ηνωμένου Βασιλείου που είναι αρμόδιες για την πρόληψη, τη διερεύνηση, την ανίχνευση ή τη δίωξη ποινικών αδικημάτων, συμπεριλαμβανομένων των εποπτικών φορέων, δεν διασφαλίζουν το απαιτούμενο επίπεδο προστασίας.

(168)

Σε περίπτωση που οι διαθέσιμες πληροφορίες, ειδικότερα οι πληροφορίες που προκύπτουν από την παρακολούθηση της παρούσας απόφασης ή που παρέχονται από τις αρχές του Ηνωμένου Βασιλείου ή των κρατών μελών, αποκαλύπτουν ότι το επίπεδο προστασίας που παρέχει το Ηνωμένο Βασίλειο ενδέχεται να μην είναι πλέον επαρκές, η Επιτροπή θα πρέπει να ενημερώσει σχετικά τις αρμόδιες αρχές του Ηνωμένου Βασιλείου και να ζητήσει τη λήψη κατάλληλων μέτρων εντός καθορισμένου χρονικού διαστήματος που δεν επιτρέπεται να υπερβαίνει τους τρεις μήνες. Εφόσον είναι αναγκαίο, η περίοδος αυτή μπορεί να παραταθεί για συγκεκριμένο χρονικό διάστημα, λαμβανομένης υπόψη της φύσης του επίμαχου ζητήματος και/ή των μέτρων που πρέπει να ληφθούν.

(169)

Εάν, κατά τη λήξη της εν λόγω καθορισμένης προθεσμίας, οι αρμόδιες αρχές του Ηνωμένου Βασιλείου δεν λάβουν τα εν λόγω μέτρα ή δεν αποδείξουν με άλλον τρόπο ικανοποιητικά ότι η παρούσα απόφαση εξακολουθεί να βασίζεται σε επαρκές επίπεδο προστασίας, η Επιτροπή θα κινήσει τη διαδικασία που αναφέρεται στο άρθρο 58 παράγραφος 2 της οδηγίας (ΕΕ) 2016/680 με σκοπό τη μερική ή πλήρη αναστολή ή κατάργηση της παρούσας απόφασης.

(170)

Εναλλακτικά, η Επιτροπή θα κινήσει την εν λόγω διαδικασία για την τροποποίηση της απόφασης, ιδίως με την υποβολή των διαβιβάσεων δεδομένων σε πρόσθετες προϋποθέσεις ή τον περιορισμό του πεδίου εφαρμογής της διαπίστωσης επάρκειας μόνο στις διαβιβάσεις δεδομένων για τις οποίες εξακολουθεί να διασφαλίζεται επαρκές επίπεδο προστασίας.

(171)

Όταν συντρέχουν δεόντως αιτιολογημένοι επιτακτικοί λόγοι επείγουσας ανάγκης, η Επιτροπή θα κάνει χρήση της δυνατότητας να εκδώσει, σύμφωνα με τη διαδικασία που αναφέρεται στο άρθρο 58 παράγραφος 3 της οδηγίας (ΕΕ) 2016/680, εκτελεστικές πράξεις άμεσης εφαρμογής για την αναστολή, την κατάργηση ή την τροποποίηση της απόφασης.

(172)

Θα πρέπει να ληφθεί υπόψη ότι, με τη λήξη της μεταβατικής περιόδου που προβλέπεται από τη συμφωνία αποχώρησης και μόλις παύσει να ισχύει η μεταβατική διάταξη του άρθρου 782 της συμφωνίας εμπορίου και συνεργασίας ΕΕ–Ηνωμένου Βασιλείου, το Ηνωμένο Βασίλειο θα διαχειρίζεται, θα εφαρμόζει και θα επιβάλλει ένα νέο καθεστώς προστασίας δεδομένων αντί εκείνου που ίσχυε όταν δεσμευόταν από το δίκαιο της Ευρωπαϊκής Ένωσης. Αυτό μπορεί να περιλαμβάνει κυρίως τροποποιήσεις ή αλλαγές στο πλαίσιο προστασίας δεδομένων το οποίο αξιολογείται στην παρούσα απόφαση, καθώς και άλλες σχετικές εξελίξεις.

(173)

Ως εκ τούτου, είναι σκόπιμο να προβλεφθεί ότι η παρούσα απόφαση θα εφαρμόζεται για περίοδο τεσσάρων ετών από την έναρξη ισχύος της.

(174)

Σε περίπτωση, ιδίως, που οι πληροφορίες που προκύπτουν από την παρακολούθηση της παρούσας απόφασης αποκαλύψουν ότι οι διαπιστώσεις σχετικά με την επάρκεια του επιπέδου προστασίας που εξασφαλίζεται στο Ηνωμένο Βασίλειο εξακολουθούν να είναι αντικειμενικά και νομικά αιτιολογημένες, η Επιτροπή θα πρέπει, το αργότερο έξι μήνες πριν από τη λήξη ισχύος της παρούσας απόφασης, να κινήσει τη διαδικασία τροποποίησης της παρούσας απόφασης επεκτείνοντας, καταρχήν, το χρονικό πεδίο εφαρμογής της για πρόσθετη περίοδο τεσσάρων ετών. Κάθε τέτοια εκτελεστική πράξη που τροποποιεί την παρούσα απόφαση πρέπει να εκδίδεται σύμφωνα με τη διαδικασία που αναφέρεται στο άρθρο 58 παράγραφος 2 της οδηγίας (ΕΕ) 2016/680.

(175)

Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων δημοσίευσε τη γνώμη του (271), η οποία ελήφθη υπόψη κατά την εκπόνηση της παρούσας απόφασης.

(176)

Τα μέτρα που προβλέπονται στην παρούσα απόφαση είναι σύμφωνα με τη γνώμη της επιτροπής που έχει συσταθεί βάσει του άρθρου 58 της οδηγίας (ΕΕ) 2016/680.

(177)

Σύμφωνα με το άρθρο 6α του πρωτοκόλλου αριθ. 21 για τη θέση του Ηνωμένου Βασιλείου και της Ιρλανδίας όσον αφορά τον χώρο ελευθερίας, ασφάλειας και δικαιοσύνης, το οποίο προσαρτάται στη ΣΕΕ και στη ΣΛΕΕ, η Ιρλανδία δεν δεσμεύεται από τους κανόνες που θεσπίζονται στην οδηγία (ΕΕ) 2016/680 και, ως εκ τούτου, από την παρούσα εκτελεστική απόφαση, σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τα κράτη μέλη κατά την άσκηση δραστηριοτήτων που εμπίπτουν στο πεδίο εφαρμογής του τρίτου μέρους τίτλος V κεφάλαια 4 ή 5 της ΣΛΕΕ, εφόσον η Ιρλανδία δεν δεσμεύεται από τους κανόνες οι οποίοι διέπουν μορφές δικαστικής συνεργασίας σε ποινικές υποθέσεις ή αστυνομικής συνεργασίας στο πλαίσιο των οποίων πρέπει να τηρούνται οι διατάξεις οι οποίες θεσπίζονται βάσει του άρθρου 16 της ΣΛΕΕ. Επιπλέον, δυνάμει της εκτελεστικής απόφασης (ΕΕ) 2020/1745 του Συμβουλίου (272), η οδηγία (ΕΕ) 2016/680 θα τεθεί σε ισχύ και θα εφαρμόζεται σε προσωρινή βάση στην Ιρλανδία από την 1η Ιανουαρίου 2021. Ως εκ τούτου, η Ιρλανδία δεσμεύεται από την παρούσα εκτελεστική απόφαση, υπό τις ίδιες προϋποθέσεις που ισχύουν για την εφαρμογή της οδηγίας (ΕΕ) 2016/680 στην Ιρλανδία, όπως ορίζεται στην εκτελεστική απόφαση (ΕΕ) 2020/1745 όσον αφορά το κεκτημένο του Σένγκεν στο οποίο συμμετέχει.

(178)

Σύμφωνα με τα άρθρα 2 και 2α του πρωτοκόλλου αριθ. 22 σχετικά με τη θέση της Δανίας, το οποίο προσαρτάται στη Συνθήκη για την Ευρωπαϊκή Ένωση και στη Συνθήκη για τη λειτουργία της Ευρωπαϊκής Ένωσης, η Δανία δεν δεσμεύεται από τους κανόνες που θεσπίζονται στην οδηγία (ΕΕ) 2016/680 και, ως εκ τούτου, από την παρούσα εκτελεστική απόφαση, ούτε υπόκειται στην εφαρμογή τους σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα από τα κράτη μέλη κατά την άσκηση δραστηριοτήτων που εμπίπτουν στο πεδίο εφαρμογής του τρίτου μέρους τίτλος V κεφάλαια 4 ή 5 της ΣΛΕΕ. Ωστόσο, επειδή η οδηγία (ΕΕ) 2016/680 βασίζεται στο κεκτημένο του Σένγκεν, η Δανία κοινοποίησε στις 26 Οκτωβρίου 2016, σύμφωνα με το άρθρο 4 του εν λόγω πρωτοκόλλου, την απόφασή της να εφαρμόζει την οδηγία (ΕΕ) 2016/680. Ως εκ τούτου, η Δανία δεσμεύεται, βάσει του διεθνούς δικαίου, να εφαρμόζει την παρούσα εκτελεστική απόφαση.

(179)

Όσον αφορά την Ισλανδία και τη Νορβηγία, η παρούσα εκτελεστική απόφαση συνιστά ανάπτυξη των διατάξεων του κεκτημένου του Σένγκεν, όπως προβλέπεται από τη συμφωνία που έχει συναφθεί από το Συμβούλιο της Ευρωπαϊκής Ένωσης και από τη Δημοκρατία της Ισλανδίας και το Βασίλειο της Νορβηγίας σχετικά με τη σύνδεση των δύο αυτών κρατών προς τη θέση σε ισχύ, την εφαρμογή και την ανάπτυξη του κεκτημένου του Σένγκεν (273).

(180)

Όσον αφορά την Ελβετία, η παρούσα εκτελεστική απόφαση συνιστά ανάπτυξη των διατάξεων του κεκτημένου του Σένγκεν όπως προβλέπεται από τη συμφωνία μεταξύ της Ευρωπαϊκής Ένωσης, της Ευρωπαϊκής Κοινότητας και της Ελβετικής Συνομοσπονδίας σχετικά με τη σύνδεση της Ελβετικής Συνομοσπονδίας προς τη θέση σε ισχύ, την εφαρμογή και την ανάπτυξη του κεκτημένου του Σένγκεν (274).

(181)

Όσον αφορά το Λιχτενστάιν, η παρούσα εκτελεστική απόφαση αποτελεί ανάπτυξη των διατάξεων του κεκτημένου του Σένγκεν, όπως προβλέπεται από το πρωτόκολλο μεταξύ της Ευρωπαϊκής Ένωσης, της Ευρωπαϊκής Κοινότητας, της Ελβετικής Συνομοσπονδίας και του Πριγκιπάτου του Λιχτενστάιν για την προσχώρηση του Πριγκιπάτου του Λιχτενστάιν στη συμφωνία μεταξύ της Ευρωπαϊκής Ένωσης, της Ευρωπαϊκής Κοινότητας και της Ελβετικής Συνομοσπονδίας σχετικά με τη σύνδεση της Ελβετικής Συνομοσπονδίας προς τη θέση σε ισχύ, την εφαρμογή και την ανάπτυξη του κεκτημένου του Σένγκεν (275),