(1)

U Direktivi (EU) 2016/680 utvrđuju se pravila za prijenos osobnih podataka od strane nadležnih tijela iz Unije trećim zemljama i međunarodnim organizacijama u mjeri u kojoj su takvi prijenosi obuhvaćeni područjem primjene te direktive. Pravila o međunarodnim prijenosima podataka od strane nadležnih tijela utvrđena su u poglavlju V. Direktive (EU) 2016/680, točnije u člancima od 35. do 40. Iako je protok osobnih podataka u zemlje izvan Europske unije i iz njih važan za učinkovitu suradnju u području kaznenog progona, mora se jamčiti da se takvim prijenosima ne narušava razina zaštite osobnih podataka u Europskoj uniji (2).

(2)

U skladu s člankom 36. stavkom 3. Direktive (EU) 2016/680 Komisija može putem provedbenog akta odlučiti da treća zemlja, područje, ili jedan ili više određenih sektora unutar treće zemlje, ili međunarodna organizacija osigurava primjerenu razinu zaštite. Pod tim uvjetom prijenosi osobnih podataka trećoj zemlji mogu se obavljati bez potrebe za dobivanjem bilo kakvog daljnjeg odobrenja (osim ako druga država članica iz koje su podaci dobiveni mora dati svoje odobrenje za prijenos), kako je predviđeno u članku 35. stavku 1. i uvodnoj izjavi 66. Direktive (EU) 2016/680.

(3)

Kako je navedeno u članku 36. stavku 2. Direktive (EU) 2016/680, donošenje odluke o primjerenosti mora se temeljiti na sveobuhvatnoj analizi pravnog poretka treće zemlje. Komisija u svojoj procjeni mora utvrditi jamči li predmetna treća zemlja razinu zaštite koja je „u osnovi istovjetna” onoj koja je osigurana u Europskoj uniji (uvodna izjava 67. Direktive (EU) 2016/680). Je li zaštita „u osnovi istovjetna” procjenjuje se prema standardu utvrđenom u zakonodavstvu EU-a, ponajprije Direktivi (EU) 2016/680, te u sudskoj praksi Suda Europske unije (3). U tom je pogledu važan i referentni dokument o primjerenosti koji je izdao Europski odbor za zaštitu podataka (4).

(4)

Kako je pojasnio Sud Europske unije, to ne zahtijeva utvrđivanje potpuno istovjetne razine zaštite (5). Naime, pravna sredstva kojima se predmetna treća zemlja koristi za zaštitu osobnih podataka mogu se razlikovati od onih koja se primjenjuju u Europskoj uniji, pod uvjetom da se u praksi pokažu djelotvornima za osiguravanje primjerene razine zaštite (6). Prema tome, standard primjerenosti ne podrazumijeva doslovno ponavljanje pravila Unije. Umjesto toga ispituje se pruža li predmetni strani sustav kao cjelina potrebnu razinu zaštite podataka (7) sadržajem prava na privatnost i njihovom djelotvornom provedbom, nadzorom i ostvarivanjem.

(5)

Komisija je pažljivo analizirala relevantno pravo i praksu Ujedinjene Kraljevine. Na temelju svojih nalaza, navedenih u nastavku, Komisija zaključuje da Ujedinjena Kraljevina osigurava primjerenu razinu zaštite osobnih podataka koje nadležna tijela iz Unije obuhvaćena područjem primjene Direktive (EU) 2016/680 prenose nadležnim tijelima u Ujedinjenoj Kraljevini koja su obuhvaćena područjem primjene dijela 3. Zakona o zaštiti podataka iz 2018. (DPA iz 2018.) (8).

(6)

Ova Odluka znači da se takvi prijenosi mogu obavljati bez potrebe za dobivanjem bilo kakvog daljnjeg odobrenja u razdoblju od četiri godine, što podliježe mogućem obnavljanju, i ne dovodeći u pitanje uvjete iz članka 35. Direktive (EU) 2016/680.

(7)

Ujedinjena Kraljevina je parlamentarna demokracija. Ima suvereni parlament, koji je nadređen svim ostalim vladinim institucijama, izvršnu vlast koja proizlazi iz parlamenta i odgovorna je parlamentu te neovisno sudstvo. Ovlasti izvršne vlasti proizlaze iz njezine sposobnosti da osigura povjerenje izabranog Zastupničkog doma, a odgovorna je obama domovima Parlamenta (Zastupnički dom i Dom lordova), čija je zadaća preispitivanje rada vlade te raspravljanje o zakonskim prijedlozima i donošenje zakona. Parlament Ujedinjene Kraljevine prenio je određene nadležnosti Škotskom parlamentu (Scottish Parliament), Velškom parlamentu (Senedd Cymru) i Skupštini Sjeverne Irske (Northern Ireland Assembly), koje im omogućuju da uređuju određena domaća pitanja u Škotskoj, Walesu i Sjevernoj Irskoj. Iako je zaštita podataka pitanje za čije je rješavanje nadležan Parlament Ujedinjene Kraljevine, tj. isti se propisi primjenjuju u cijeloj zemlji, druga područja politike relevantna za ovu Odluku obuhvaćena su prenesenim nadležnostima. Na primjer, nadležnosti za sustave kaznenog pravosuđa, uključujući policijsku djelatnost (aktivnosti koje obavljaju policijske snage), u Škotskoj i Sjevernoj Irskoj prenesene su Škotskom parlamentu odnosno Skupštini Sjeverne Irske (9).

(8)

Iako Ujedinjena Kraljevina nema kodificirani ustav u smislu utvrđenog konstitutivnog dokumenta, njezina ustavna načela nastala su s vremenom i proizlaze iz sudske prakse, a osobito iz običaja. Priznat je ustavnopravni značaj određenih akata, kao što su Velika povelja sloboda (Magna Carta), Povelja o pravima iz 1689. (Bill of Rights 1689) i Zakon o ljudskim pravima iz 1998. (Human Rights Act 1998). Temeljna prava pojedinaca razvila su se, kao dio ustava, u okviru precedentnog prava (common law), zakonskih akata i međunarodnih ugovora, osobito Europske konvencije o ljudskim pravima (EKLJP), koju je Ujedinjena Kraljevina ratificirala 1951. Ujedinjena Kraljevina ratificirala je 1987. i Konvenciju Vijeća Europe za zaštitu osoba glede automatizirane obrade osobnih podataka (Konvencija br. 108) (10).

(9)

Zakonom o ljudskim pravima iz 1998. prava iz EKLJP-a ugrađuju se u pravo Ujedinjene Kraljevine. Tim se zakonom svim pojedincima daju temeljna prava i slobode predviđene člancima od 2. do 12. i člankom 14. EKLJP-a te člancima od 1. do 3. Protokola br. 1 uz EKLJP i člankom 1. Protokola br. 13 uz EKLJP, u vezi s člancima od 16. do 18. EKLJP-a. To uključuje pravo na poštovanje osobnog i obiteljskog života, koje pak uključuje pravo na zaštitu podataka, te pravo na pošteno suđenje (11). Naime, u skladu s člankom 8. EKLJP-a tijelo javne vlasti smije zadirati u pravo na privatnost samo u skladu sa zakonom i ako je to u demokratskom društvu nužno radi interesa državne sigurnosti, javnog reda i mira ili gospodarske dobrobiti zemlje te radi sprečavanja nereda ili zločina, radi zaštite zdravlja ili morala ili radi zaštite prava i sloboda drugih.

(10)

U skladu sa Zakonom o ljudskim pravima iz 1998. svi postupci tijelâ javne vlasti moraju biti u skladu s pravima zajamčenima u EKLJP-u (12). Osim toga, primarno i sekundarno zakonodavstvo moraju se tumačiti i provoditi u skladu s tim pravima (13). Ako bilo koji pojedinac smatra da su tijela javne vlasti prekršila njegova prava, uključujući prava na privatnost i zaštitu podataka, može dobiti sudsku zaštitu pred sudovima Ujedinjene Kraljevine na temelju Zakona o ljudskim pravima iz 1998. te konačno, nakon što iscrpi sve nacionalne pravne lijekove, može dobiti sudsku zaštitu pred Europskim sudom za ljudska prava za povrede prava zajamčenih EKLJP-om.

(11)

Ujedinjena Kraljevina povukla se iz Unije 31. siječnja 2020. Na temelju Sporazuma o povlačenju Ujedinjene Kraljevine Velike Britanije i Sjeverne Irske iz Europske unije i Europske zajednice za atomsku energiju (14) pravo Unije nastavilo se primjenjivati u Ujedinjenoj Kraljevini u prijelaznom razdoblju do 31. prosinca 2020. Prije povlačenja i u prijelaznom razdoblju zakonodavni okvir za zaštitu osobnih podataka u Ujedinjenoj Kraljevini kojim se uređuje obrada osobnih podataka od strane nadležnih tijela u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihovo sprečavanje, sastojao se od relevantnih dijelova Zakona o zaštiti podataka iz 2018., kojim je prenesena Direktiva (EU) 2016/680.

(12)

Kako bi se pripremila za izlazak iz EU-a, Vlada Ujedinjene Kraljevine donijela je Zakon o povlačenju iz Europske unije iz 2018. (European Union (Withdrawal) Act, EUWA) (15), kojim je izravno primjenjivo zakonodavstvo Unije uključeno u pravo Ujedinjene Kraljevine i kojim je predviđeno da takozvano „domaće zakonodavstvo koje proizlazi iz prava EU-a” i dalje proizvodi pravne učinke nakon kraja prijelaznog razdoblja. Dio 3. DPA-a iz 2018. (16) kojom se prenosi Direktiva (EU) 2016/680 sastoji se od „domaćeg zakonodavstva koje proizlazi iz prava EU-a” na temelju Zakona o povlačenju. Prema Zakonu o povlačenju sudovi u Ujedinjenoj Kraljevini neizmijenjeno „domaće zakonodavstvo koje proizlazi iz prava EU-a” moraju tumačiti u skladu s relevantnom sudskom praksom Suda Europske unije (Sud) i općim načelima prava Unije, u skladu s pravnim učinkom koji su ta praksa i načela imali neposredno prije kraja prijelaznog razdoblja (takozvana „zadržana sudska praksa EU-a” odnosno „zadržana opća načela prava EU-a”) (17).

(13)

Na temelju Zakona o povlačenju ministri Ujedinjene Kraljevine imaju ovlast da podređenim zakonskim aktima (statutory instruments) donose sekundarno zakonodavstvo kako bi uveli potrebne izmjene zadržanog prava Unije koje su posljedica povlačenja Ujedinjene Kraljevine iz Unije. Ta je ovlast iskorištena za donošenje Uredbe o zaštiti podataka, privatnosti i elektroničkim komunikacijama (izmjene itd.) (izlazak iz EU-a) iz 2019. (Uredba DPPEC) (18). Njome se mijenja zakonodavstvo Ujedinjene Kraljevine o zaštiti podataka, uključujući DPA iz 2018., kako bi odgovaralo domaćem kontekstu (19).

(14)

Slijedom toga, pravni standardi za obradu osobnih podataka od strane nadležnih tijela u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihovo sprečavanje, u Ujedinjenoj Kraljevini nakon prijelaznog razdoblja na temelju Sporazuma o povlačenju i dalje će biti utvrđeni u relevantnim dijelovima DPA-a iz 2018. (ali kako je izmijenjena Uredbom DPPEC), a posebno u njezinu dijelu 3. Opća uredba Ujedinjene Kraljevine o zaštiti podataka ne primjenjuje se na tu vrstu obrade.

(15)

U dijelu 3. DPA-a iz 2018. predviđaju se pravila za obradu osobnih podataka u svrhe kaznenog progona, uključujući načela zaštite podataka, pravne osnove za obradu (zakonitost), prava ispitanika, obveze nadležnih tijela kao voditelja obrade i ograničenja daljnjih prijenosa. Istodobno se u dijelovima 5. i 6. DPA-a iz 2018. predviđaju primjenjiva pravila o nadzoru, provedbi i sudskoj zaštiti koja se primjenjuju na sektor kaznenog progona.

(16)

Nadalje, kad je riječ o odgovarajućoj ulozi policijskih snaga u sektoru kaznenog progona, trebalo bi voditi računa o pravilima kojima se uređuje policijska djelatnost. Budući da je djelatnost policije pitanje iz prenesene nadležnosti, na nju se u (a) Engleskoj i Walesu, (b) Škotskoj i (c) Sjevernoj Irskoj primjenjuju različiti zakonodavni akti koji su, međutim, sadržajno često slični (20). Osim toga, u različitim vrstama smjernica navode se dodatna pojašnjenja o tome kako bi se policijske ovlasti trebale primjenjivati. Tri su glavna oblika policijskih smjernica: 1. zakonske smjernice koje se donose na temelju zakonodavstva, kao što su Etički kodeks (21) i Kodeks prakse za upravljanje policijskim informacijama (22), koje se donose na temelju Zakona o policiji iz 1996. (23), ili kodeksi PACE (24), koji se donose na temelju Zakona o policiji i kaznenim dokazima (25); 2. odobrena profesionalna praksa za upravljanje policijskim informacijama (Smjernice o odobrenoj profesionalnoj praksi za upravljanje policijskim informacijama) (26), koje donosi Nacionalna agencija za policiju (College of Policing); i 3. operativne smjernice (koje izdaje sama policija). Nacionalno vijeće načelnika policije (National Police Chiefs’ Council) (koordinacijsko tijelo za sve policijske snage u Ujedinjenoj Kraljevini) izdaje operativne smjernice koje su prihvatile sve policijske snage te se stoga primjenjuju na nacionalnoj razini (27). Tim se smjernicama nastoji osigurati usklađenost među policijskim snagama u načinu upravljanja informacijama (28).

(17)

Kodeks prakse za upravljanje policijskim informacijama donio je ministar 2005. služeći se ovlastima predviđenima u članku 39.A Zakona o policiji iz 1996. (29) Svaki kodeks prakse donesen na temelju Zakona o policiji mora dobiti odobrenje ministra te podliježe obvezi savjetovanja s Nacionalnom agencijom za kriminalitet prije nego što se uputi Parlamentu. U članku 39.A stavku 7. Zakona o policiji zahtijeva se da se policija uredno pridržava kodeksa donesenih na temelju tog zakona, te se od policije stoga očekuje da postupa u skladu s njima (30). Nadalje, izvanzakonske smjernice (kao što su Smjernice o odobrenoj profesionalnoj praksi za upravljanje policijskim informacijama) moraju uvijek biti u skladu s Kodeksom prakse za upravljanje policijskim informacijama, koji im je nadređen (31). U svakom slučaju, iako mogu postojati određene operativne situacije u kojima je potrebno da policijski službenici odstupe od tih smjernica, od njih se i dalje zahtijeva da poštuju zahtjeve iz dijela 3. DPA-a iz 2018. (32)

(18)

Dodatne smjernice o zakonodavstvu o zaštiti podataka Ujedinjene Kraljevine za obradu u sektoru kaznenog progona daje povjerenik za informiranje („povjerenik za informiranje” ili „ICO” (Ured povjerenika za informiranje)) (33) (za dodatne pojedinosti o ICO-u vidjeti uvodne izjave od (93). do (109).). Iako nisu pravno obvezujuće, u sudskom postupku sudovi bi bili obvezni uzeti u obzir svako kršenje tih smjernica jer su one važne za tumačenje i pokazuju kako povjerenik u praksi tumači i provodi zakonodavstvo o zaštiti podataka (34).

(19)

Naposljetku, kako je navedeno u uvodnim izjavama od (8). do (10)., tijela kaznenog progona Ujedinjene Kraljevine moraju se pridržavati (EKLJP-a) i Konvencije br. 108.

(20)

Stoga su struktura i glavne sastavnice pravnog okvira kojim se uređuje obrada podataka koju obavljaju tijela kaznenog progona u Ujedinjenoj Kraljevini vrlo slične okviru koji se primjenjuje u EU-u. To uključuje činjenicu da se taj okvir ne oslanja samo na obveze utvrđene u nacionalnom pravu, koje su oblikovane pravom Unije, već i na obveze iz međunarodnog prava, osobito obveze Ujedinjene Kraljevine da poštuje EKLJP i Konvenciju br. 108 i priznavanje nadležnosti Europskog suda za ljudska prava. Stoga su te obveze koje proizlaze iz pravno obvezujućih međunarodnih instrumenata, a koje se posebno odnose na zaštitu osobnih podataka, važan element pravnog okvira koji se procjenjuje u ovoj Odluci.

(21)

Glavno područje primjene dijela 3. DPA-a iz 2018. podudara se s područjem primjene Direktive (EU) 2016/680 kako je navedeno u njezinu članku 2. stavku 2. Dio 3. primjenjuje se na obradu osobnih podataka od strane nadležnog tijela koja se u cijelosti ili djelomično obavlja automatizirano te na neautomatiziranu obradu osobnih podataka od strane nadležnog tijela koji čine dio sustava pohrane ili su namijenjeni tome da budu dio sustava pohrane.

(22)

Nadalje, da bi obrada bila obuhvaćena područjem primjene dijela 3., voditelj obrade mora biti „nadležno tijelo” te se obrada mora obavljati „u svrhu kaznenog progona”. Stoga se režim zaštite podataka koji se procjenjuje u ovoj Odluci primjenjuje na sve aktivnosti kaznenog progona koje obavljaju ta nadležna tijela.

(23)

Pojam „nadležno tijelo” definiran je u članku 30. DPA-a kao osoba navedena u Prilogu 7. DPA-u iz 2018. te bilo koja druga osoba u mjeri u kojoj ima zakonski propisane funkcije u obavljanju bilo koje od svrha kaznenog progona. Među nadležnim tijelima navedenima u Prilogu 7. ne nalaze se samo policijske snage, već i svi vladini odjeli pod izravnim nadzorom ministarstava Ujedinjene Kraljevine kao i druga tijela s istražnim funkcijama (npr. Porezna i carinska uprava Ujedinjene Kraljevine (Commissioner for Her Majesty’s Revenue and Customs), Velška porezna uprava (Welsh Revenue Authority), Nadležno tijelo za tržišno natjecanje i tržišta (Competition and Markets Authority), Zemljišnoknjižni ured za Englesku i Wales (Her Majesty’s Land Register) ili Nacionalna agencija za kriminalitet), državna odvjetništva, druga tijela kaznenog pravosuđa i drugi ovlaštenici ili organizacije koji obavljaju aktivnosti kaznenog progona (35). Dio 3. DPA-a iz 2018. primjenjuje se i na sudove kad oni izvršavaju svoje sudbene funkcije, osim u dijelu koji se odnosi na prava ispitanika i nadzor koji obavlja ICO (36). Popis nadležnih tijela navedenih u Prilogu 7. nije konačan te ga ministar može ažurirati uredbom uzimajući u obzir promjene u organizaciji javnih službi (37).

(24)

Predmetna obrada ujedno se mora provoditi „u svrhu kaznenog progona”, što se definira kao sprečavanje, istraga, otkrivanje ili progon kaznenih djela ili izvršavanje kaznenih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihovo sprečavanje (38). Obrada koju nadležno tijelo ne provodi u svrhe kaznenog progona nije uređena dijelom 3. DPA-a iz 2018. To će biti slučaj, primjerice, kad Nadležno tijelo za tržišno natjecanje i tržišta istražuje predmete u kojima ne postoje elementi kaznenih djela (npr. koncentracije između trgovačkih društava). U tom će se slučaju primjenjivati Opća uredba Ujedinjene Kraljevine o zaštiti podataka, zajedno s dijelom 2. DPA-a iz 2018., jer nadležna tijela tu obradu osobnih podataka provode u svrhe koje nisu svrhe kaznenog progona. Da bi utvrdilo koji se režim zaštite podataka primjenjuje (dio 3. ili dio 2. DPA-a iz 2018.) na predmetnu obradu osobnih podataka, nadležno tijelo, tj. voditelj obrade, mora ocijeniti je li „primarna svrha” te obrade obuhvaćena svrhama kaznenog progona na temelju DPA-a iz 2018.

(25)

Kad je riječ o teritorijalnom području primjene dijela 3. DPA-a iz 2018., u članku 207. stavku 2. predviđa se da se DPA primjenjuje na obradu osobnih podataka u kontekstu aktivnosti osobe koja ima poslovni nastan na cijelom državnom području Ujedinjene Kraljevine. To uključuje tijela javne vlasti na područjima Engleske, Walesa, Škotske i Sjeverne Irske koja su obuhvaćena glavnim područjem primjene iz dijela 3. DPA-a iz 2018. (39)

(26)

Ključni pojmovi „osobni podaci” i „obrada” definirani su u članku 3. DPA-a iz 2018. i primjenjuju se u cijeloj DPA-u. Definicije su vrlo slične odgovarajućim definicijama utvrđenima u članku 3. Direktive (EU) 2016/680. Prema DPA-u iz 2018. pojam „osobni podaci” znači svi podaci koji se odnose na živog pojedinca čiji je identitet utvrđen ili se može utvrditi (40). Prema članku 3. stavku 3. DPA-a iz 2018. identitet pojedinca može se utvrditi ako se tog pojedinca može izravno ili neizravno identificirati na temelju tih podataka, među ostalim, s pomoću imena ili identifikatora ili s pomoću jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca. Pojam „obrada” definira se kao postupak ili skup postupaka koji se obavljaju na podacima ili skupovima podataka, kao što su (a) prikupljanje, bilježenje, organizacija, strukturiranje ili pohrana; (b) prilagodba ili izmjena; (c) pronalaženje, obavljanje uvida ili uporaba; (d) otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način; (e) usklađivanje ili kombiniranje; ili (f) ograničavanje, brisanje ili uništavanje. Nadalje, u Zakonu se definira „osjetljiva obrada” kao „(a) obrada osobnih podataka koji otkrivaju rasno ili etničko podrijetlo, politička mišljenja, religijska ili filozofska vjerovanja ili članstvo u sindikatu; (b) obrada genetskih podataka ili biometrijskih podataka u svrhu jedinstvene identifikacije pojedinca; (c) obrada podataka koji se odnose na zdravlje; ili (d) obrada podataka o spolnom životu ili seksualnoj orijentaciji pojedinca” (41). S obzirom na to, u članku 205. DPA-a iz 2018. navodi se definicija „biometrijskih podataka” (42), „podataka koji se odnose na zdravlje” (43) i „genetskih podataka” (44).

(27)

U članku 32. DPA-a iz 2018. pojašnjavaju se definicije pojmova „voditelj obrade” i „izvršitelj obrade” u kontekstu obrade osobnih podataka u svrhe kaznenog progona koje su vrlo slične odgovarajućim definicijama iz Direktive (EU) 2016/680. „Voditelj obrade” znači nadležno tijelo koje određuje svrhe i sredstva obrade osobnih podataka. Ako se obrada zahtijeva zakonom, voditelj obrade je nadležno tijelo kojem je takva obveza uvedena tim zakonom. „Izvršitelj obrade” definiran je kao svaka osoba koja obrađuje osobne podatke u ime voditelja obrade (a koja nije zaposlenik voditelja obrade).

(28)

U skladu s člankom 35. DPA-a iz 2018. obrada osobnih podataka mora biti zakonita i poštena, slično onomu što je predviđeno u članku 4. stavku 1. točki (a) Direktive (EU) 2016/680. U skladu s člankom 35. stavkom 2. DPA-a iz 2018. obrada osobnih podataka u bilo koju svrhu kaznenog progona zakonita je samo ako se temelji na pravu te ako je ispitanik dao privolu za obradu u tu svrhu ili je obrada nužna za izvršavanje zadaće koju u tu svrhu obavlja nadležno tijelo.

(29)

Slično kao i u članku 8. Direktive (EU) 2016/680, da bi se osigurala zakonitost obrade obuhvaćene dijelom 3. DPA-a iz 2018., takva obrada mora se „temeljiti na pravu”. „Zakonita” obrada znači obrada koja je dopuštena na temelju zakona, precedentnog prava ili kraljevskih prerogativa (45).

(30)

Ovlasti nadležnih tijela općenito su uređene zakonima, što znači da su njihove funkcije i ovlasti jasno utvrđene u zakonodavnim aktima koje je donio Parlament (46). U određenim se slučajevima policija i druga nadležna tijela navedena u Prilogu 7. DPA-u iz 2018. mogu pozivati na precedentno pravo (common law) radi obrade podataka (47). Precedentno pravo nastalo je na temelju presedana utvrđenih u odlukama sudova. Precedentno pravo relevantno je u kontekstu ovlasti kojima raspolaže policija, čija osnovna dužnost zaštite javnosti otkrivanjem i sprečavanjem kaznenih djela proizlazi iz tog izvora prava (48). Međutim, policijske snage imaju ovlasti za izvršavanje te dužnosti koje se temelje i na precedentnom pravu i na zakonskim ovlastima (49). Ako policija ima određenu zakonsku ovlast, ta ovlast ima prednost u odnosu na bilo koju ovlast iz precedentnog prava (50).

(31)

Sudovi su potvrdili da opseg ovlasti i obveza policijskog službenika koje proizlaze iz precedentnog prava uključuje „sve mjere koje mu se čine nužnima za održavanje mira, sprečavanje kaznenih djela ili zaštitu imovine od štete nanesene kaznenim djelima” (51). Ovlasti iz precedentnog prava nisu neograničene ovlasti. One podliježu nizu ograničenja, uključujući ograničenja koja su utvrdili sudovi (52) i ograničenja koja su uvedena zakonodavstvom, ponajprije Zakonom o ljudskim pravima iz 1998. i Zakonom o ravnopravnosti iz 2010. (53) Osim toga, za nadležna tijela koja obrađuju podatke na temelju dijela 3. DPA-a iz 2018. to uključuje obvezu da ovlasti iz precedentnog prava izvršavaju u skladu sa zahtjevima utvrđenima u DPA-u iz 2018. (54) Nadalje, pri odlučivanju o provođenju bilo koje vrste obrade podataka moraju se uzeti u obzir zahtjevi iz primjenjivih smjernica, kao što su Kodeks prakse za upravljanje policijskim informacijama te smjernice koje su specifične za neku od zemalja Ujedinjene Kraljevine (55). Vlada i operativna policijska tijela izdaju niz smjernica radi osiguravanja da policijski službenici svoje ovlasti za obradu izvršavaju u okviru ograničenja utvrđenih precedentnim pravom ili odgovarajućim zakonom (56).

(32)

Kraljevski prerogativi predstavljaju još jednu sastavnicu „prava” i odnose se na određene ovlasti koje pripadaju Kruni i koje može izvršavati izvršna vlast, a koje se ne temelje na zakonu, već proizlaze iz suvereniteta monarha (57). Vrlo je malo primjera prerogativnih ovlasti koje su relevantne u kontekstu kaznenog progona. One uključuju, primjerice, okvir za uzajamnu pravnu pomoć kojim se ministru omogućuje razmjena podataka s trećim zemljama u svrhe kaznenog progona, pri čemu ovlast za razmjenu podataka na taj način nije uvijek utvrđena zakonom (58). Kraljevski prerogativi ograničeni su načelima precedentnog prava (59) i podređeni zakonima, pa stoga podliježu ograničenjima predviđenima u Zakonu o ljudskim pravima iz 1998. i DPA-u iz 2018. (60)

(33)

Slično kao i u članku 8. Direktive (EU) 2016/680, u režimu Ujedinjene Kraljevine zahtijeva se da nadležna tijela radi poštovanja načela zakonitosti osiguraju da obrada, kad se temelji na zakonu, ujedno bude i „nužna” za izvršavanje zadaće koja se obavlja u svrhu kaznenog progona. ICO daje smjernice u tom pogledu u kojima se pojašnjava da se „ta svrha mora ostvariti ciljano i proporcionalno. Zakonita osnova neće se primjenjivati ako se ta svrha može relativno lako ostvariti nekim drugim manje nametljivim sredstvima. Nije dovoljno ustvrditi da je obrada nužna zbog toga što je netko odlučio obavljati svoje poslovanje na određen način. Postavlja se pitanje je li obrada nužna za tu navedenu svrhu” (61).

(34)

Kako je navedeno u uvodnoj izjavi (28)., u članku 35. stavku 2. DPA-a iz 2018. predviđa se mogućnost obrade osobnih podataka na temelju „privole” pojedinca.

(35)

Međutim, čini se da privola nije relevantna pravna osnova za postupke obrade koji su obuhvaćeni područjem primjene ove Odluke. Zapravo, postupci obrade obuhvaćeni ovom Odlukom uvijek će se odnositi na podatke koje je na temelju Direktive (EU) 2016/680 nadležno tijelo države članice prenijelo nadležnom tijelu Ujedinjene Kraljevine. Oni stoga obično neće uključivati vrstu izravne interakcije (prikupljanje) između tijela javne vlasti i ispitanikâ koja se može temeljiti na privoli u skladu s člankom 35. stavkom 2. točkom (a) DPA-a iz 2018.

(36)

Iako se oslanjanje na privolu stoga ne smatra relevantnim za procjenu koja se provodi u ovoj Odluci, radi potpunosti treba napomenuti da se u kontekstu kaznenog progona obrada nikad ne temelji isključivo na privoli jer nadležno tijelo mora uvijek imati temeljnu ovlast koja mu omogućuje da obrađuje te podatke (62). Konkretnije, i slično onomu što je dopušteno na temelju Direktive (EU) 2016/680 (63), to znači da privola služi kao dodatan uvjet za omogućivanje određenih ograničenih i posebnih postupaka obrade koji se inače ne bi mogli provesti, na primjer prikupljanja i obrade uzorka DNK-a pojedinca koji nije osumnjičenik. U tom se slučaju obrada ne bi provela ako privola nije dobivena ili je povučena (64).

(37)

U slučajevima u kojima je potrebna privola pojedinca ta privola mora biti nedvosmislena i mora uključivati jasnu potvrdnu radnju (65). Od policijskih snaga zahtijeva se da imaju obavijest o zaštiti osobnih podataka koja uključuje, među ostalim, potrebne informacije koje se odnose na ispravno korištenje privole. Osim toga, neke od njih objavljuju i dodatne materijale o načinu na koji se pridržavaju zakonodavstva o zaštiti podataka, među ostalim i o tome kako i kad koriste privolu kao pravnu osnovu za obradu (66).

(38)

Trebale bi postojati posebne zaštitne mjere ako se obrađuju „posebne kategorije” podataka. U tom pogledu, slično onomu što je predviđeno u članku 10. Direktive (EU) 2016/680, u dijelu 3. DPA-a iz 2018. predviđaju se strože zaštitne mjere za takozvanu „osjetljivu obradu” (67).

(39)

Prema članku 35. stavku 3. DPA-a iz 1998. nadležna tijela mogu obrađivati osjetljive podatke u svrhe kaznenog progona samo u dvama slučajevima: 1. ispitanik je dao privolu za obradu u svrhu kaznenog progona te u trenutku obavljanja obrade voditelj obrade ima dokument o odgovarajućoj politici (68); ili 2. obrada je nužna u svrhu kaznenog progona, obrada ispunjava barem jedan od uvjeta iz Priloga 8. DPA-u iz 2018. te u trenutku obavljanja obrade voditelj obrade ima dokument o odgovarajućoj politici (69).

(40)

Kad je riječ o prvom slučaju, i kako je objašnjeno u uvodnoj izjavi 38., oslanjanje na privolu ne smatra se relevantnim u vrsti situacije prijenosa koja je predmet ove Odluke (70).

(41)

Ako se obrada osjetljivih podataka ne oslanja na privolu, može se obavljati primjenom jednog od uvjeta navedenih u Prilogu 8. DPA-u iz 2018. Ti se uvjeti odnose na obradu koja je nužna u zakonske svrhe; u svrhe vođenja pravosudnih postupaka, zaštite vitalnih interesa ispitanika ili drugog pojedinca, zaštite djece i pojedinaca u opasnosti, pravnih zahtjeva, sudskih akata, sprečavanja prijevara, arhiviranja; ili ako se obrada odnosi na osobne podatke za koje je očito da ih je objavio ispitanik. Osim u slučaju kad je očito da su podaci javno objavljeni, svi uvjeti iz Priloga 8. podliježu provjeri „nužnosti”. Kako je pojasnio ICO, „u ovom kontekstu ‚nužno’ znači da se obrada mora odnositi na nužnu društvenu potrebu koja se ne može relativno lako ostvariti manje nametljivim sredstvima” (71). Nadalje, neki od tih uvjeta podliježu dodatnim ograničenjima. Na primjer, za oslanjanje na uvjet koji se odnosi na „zakonske svrhe” i uvjet koji se odnosi na „zaštitu” (točke 1. i 4. Priloga 8.) potrebno je dodatno provjeriti postoji li značajan javni interes. Nadalje, s obzirom na uvjete koji se odnose na zaštitu djece (točka 4. Priloga 8.) ispitanik mora ujedno biti odgovarajuće dobi i mora se smatrati da je u opasnosti. Nadalje, voditelj obrade može primijeniti uvjet iz točke 4. Priloga 8. samo u slučaju posebnih okolnosti (72). Slično tomu, postoje ograničenja i u pogledu uvjeta koji se odnose na „sudske akte” i „sprečavanje prijevara” (točka 7. odnosno točka 8. Priloga 8.). Oba se uvjeta primjenjuju samo na određene voditelje obrade. U slučaju sudskih akata taj uvjet može primjenjivati samo sud ili drugo pravosudno tijelo, dok u slučaju sprečavanja prijevara taj uvjet mogu primjenjivati samo voditelji obrade koji su organizacije za suzbijanje prijevara.

(42)

Naposljetku, ako se obrada oslanja na jedan od uvjeta navedenih u Prilogu 8., u skladu s povezanim člankom 42. DPA-a iz 2018., mora postojati „dokument o odgovarajućoj politici” (u kojem se objašnjavaju postupci voditelja obrade za osiguravanje usklađenosti s načelima zaštite podataka i politike voditelja obrade u pogledu zadržavanja i brisanja osobnih podataka) te se primjenjuje obveza vođenja proširene evidencije.

(43)

Osobni podaci trebali bi se obrađivati u određenu svrhu i zatim se upotrebljavati samo ako to nije nespojivo sa svrhom obrade. To načelo zaštite podataka zajamčeno je člankom 36. DPA-a iz 2018. Tom se odredbom, slično članku 4. stavku 1. točki (b) Direktive (EU) 2016/680, zahtijeva: (a) da svrha kaznenog progona u koju se osobni podaci prikupljaju mora u svakom slučaju biti posebna, izričita i zakonita; i (b) da se tako prikupljeni osobni podaci ne smiju obrađivati na način koji je nespojiv sa svrhom u koju su prikupljeni.

(44)

Ako nadležna tijela obrađuju podatke u svrhu kaznenog progona, to može uključivati svrhe arhiviranja, svrhe znanstvenog ili povijesnog istraživanja i statističke svrhe (73). U tim se slučajevima u DPA-u iz 2018. pojašnjava i to da arhiviranje (ili obrada u svrhe znanstvenog ili povijesnog istraživanja i statističke svrhe) nije dopušteno ako se obavlja u pogledu odluka donesenih u odnosu na određenog ispitanika ili ako će se ispitaniku time vjerojatno prouzročiti znatna šteta ili duševna bol (74).

(45)

Podaci moraju biti točni i, prema potrebi, ažurirani. Osim toga, moraju biti primjereni i relevantni te ne smiju biti pretjerani u odnosu na svrhe u koje se obrađuju. Slično članku 4. stavku 1. točkama (c), (d) i (e) Direktive (EU) 2016/680, ta su načela osigurana u člancima 37. i 38. DPA-a iz 2018. Moraju se poduzeti sve opravdane mjere kako bi se osiguralo da se osobni podaci koji su netočni (75) bez odgode izbrišu ili isprave (76), vodeći računa o svrsi kaznenog progona u koju se obrađuju (77), i kako bi se osiguralo da se osobni podaci koji su netočni, nepotpuni ili više nisu ažurni ne prenose niti stavljaju na raspolaganje u bilo koju od svrha kaznenog progona (78).

(46)

Nadalje, slično članku 7. Direktive (EU) 2016/680, u okviru režima zaštite podataka Ujedinjene Kraljevine propisuje se da se osobni podaci utemeljeni na činjenicama moraju, u mjeri u kojoj je to moguće, razlikovati od osobnih podataka utemeljenih na osobnim procjenama (79). Tamo gdje je to relevantno i u mjeri u kojoj je to moguće mora se napraviti jasna razlika između osobnih podataka koji se odnose na različite kategorije ispitanika, kao što su osumnjičenici, osobe osuđene za kaznena djela, žrtve kaznenih djela i svjedoci (80).

(47)

U skladu s člankom 5. Direktive (EU) 2016/680 podaci bi se načelno trebali čuvati samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju. U skladu s člankom 39. DPA-a iz 2018. i slično članku 5. te direktive zabranjeno je osobne podatke koji su obrađivani u bilo koju od svrha kaznenog progona čuvati dulje od vremena koje je potrebno s obzirom na svrhu u koju se obrađuju. U okviru pravnog režima Ujedinjene Kraljevine zahtijeva se da se moraju utvrditi odgovarajući rokovi za periodično preispitivanje potrebe za daljnjom pohranom osobnih podataka u bilo koju od svrha kaznenog progona. Dodatna pravila o praksama koje se odnose na zadržavanje osobnih podataka i odgovarajućim vremenskim rokovima utvrđena su u relevantnom zakonodavstvu i smjernicama kojima se uređuju ovlasti i djelovanje policije. Na primjer, u Engleskoj i Walesu u Kodeksu prakse za upravljanje policijskim informacijama Nacionalne agencije za policiju, zajedno sa Smjernicama o odobrenoj profesionalnoj praksi za upravljanje policijskim informacijama, daje se okvir za upravljanje operativnim policijskim informacijama radi osiguravanja usklađenog postupka zadržavanja, preispitivanja i brisanja podataka koji se temelji na procjeni rizika (81). U tom se okviru jasno utvrđuju očekivanja na razini cijele službe u pogledu načina na koji bi se unutar pojedinih policijskih službi i drugih tijela te među njima informacije trebale stvarati, razmjenjivati i koristiti te načina na koji bi njima trebalo upravljati (82). Od policije se očekuje da poštuje Kodeks prakse, a poštovanje tog kodeksa provjerava Inspektorat za policiju te vatrogasne i spasilačke službe u Engleskoj i Walesu (Her Majesty’s Inspectorate of Constabulary and Fire & Rescue Services) (83).

(48)

Od Policijske službe Sjeverne Irske (PSNI) zakonom se ne zahtijeva da poštuje Kodeks prakse za upravljanje policijskim informacijama. Međutim, okvir za upravljanje policijskim informacijama koji je donesen 2011. dopunjen je Priručnikom Policijske službe Sjeverne Irske (84), u kojem se utvrđuju politike i postupci o načinu primjene Kodeksa prakse za upravljanje policijskim informacijama u Sjevernoj Irskoj.

(49)

Policijske snage u Škotskoj oslanjaju se na standardni operativni postupak za zadržavanje evidencije (85), kojim se podupire politika upravljanja evidencijom (86) Policijske službe Škotske. U okviru standardnog operativnog postupka utvrđuju se posebna pravila za zadržavanje evidencije koju drži škotska policija.

(50)

Osim sveobuhvatnog glavnog zahtjeva o preispitivanju evidencija koji se primjenjuje u cijeloj Ujedinjenoj Kraljevini, dodatne pojedinosti predviđene su u lokaliziranim pravilima. U nastavku se navodi nekoliko primjera tih pravila: kad je riječ o Engleskoj i Walesu, u Zakonu o policiji i kaznenim dokazima, kako je izmijenjen Zakonom o zaštiti sloboda iz 2012., utvrđuju se odredbe o zadržavanju otisaka prstiju i profila DNK-a te poseban režim za neosuđene pojedince (87). Zakonom o zaštiti sloboda uspostavljen je položaj povjerenika za zadržavanje i korištenje biometrijskog materijala („povjerenik za biometrijske podatke”) (88). Posebna pravila o fotografijama lica pritvorenika utvrđena su u okviru preispitivanja korištenja i čuvanja fotografija lica zatvorenika iz 2017. (89) Kad je riječ o Škotskoj, u Zakonu o kaznenom postupku za Škotsku iz 1995. predviđaju se pravila za uzimanje i zadržavanje otisaka prstiju i bioloških uzoraka (90). Kao i u slučaju Engleske i Walesa, zakonodavstvom se uređuje zadržavanje biometrijskih podataka u različitim slučajevima (91).

(51)

Osobni podaci moraju se obrađivati tako da se jamči njihova sigurnost, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja. U tu svrhu tijela javne vlasti trebaju poduzeti odgovarajuće tehničke ili organizacijske mjere za zaštitu osobnih podataka od mogućih prijetnji. Te mjere moraju se procijeniti tako da se uzmu u obzir najnovija dostignuća i povezani troškovi.

(52)

Ta se načela odražavaju u članku 40. DPA-a iz 2018. prema kojem, slično članku 4. stavku 1. točki (f) Direktive (EU) 2016/680, osobni podaci koji se obrađuju u bilo koju od svrha kaznenog progona moraju se obrađivati na način kojim se osigurava odgovarajuća sigurnost osobnih podataka, primjenom odgovarajućih tehničkih ili organizacijskih mjera. To uključuje zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja (92). U članku 66. DPA-a iz 2018. dodatno se navodi da svaki voditelj obrade i svaki izvršitelj obrade moraju provesti odgovarajuće tehničke i organizacijske mjere kako bi osigurali razinu sigurnosti koja je primjerena rizicima koji proizlaze iz obrade osobnih podataka. Prema Objašnjenjima voditelj obrade mora procijeniti rizike i na temelju te procjene provesti odgovarajuće sigurnosne mjere, primjerice, enkripciju ili posebne razine sigurnosnog odobrenja za osoblje koje obrađuje podatke (93). U procjeni se mora uzeti u obzir i, primjerice, prirodu podataka koji se obrađuju i sve ostale relevantne čimbenike ili okolnosti koji bi mogli utjecati na sigurnost obrade.

(53)

Režim kojim se uređuje usklađenost s načelima zaštite podataka vrlo je sličan režimu uspostavljenom člancima od 29. do 31. Direktive (EU) 2016/680. Konkretno, u slučaju povrede osobnih podataka koja se odnosi na osobne podatke za koje je voditelj obrade odgovoran, prema članku 67. stavku 1. DPA-a iz 2018., voditelj obrade mora, bez nepotrebne odgode, i ako je izvedivo, u roku od 72 sata od saznanja za tu povredu izvijestiti povjerenika za informiranje o povredi osobnih podataka (94). Obveza izvješćivanja ne primjenjuje se ako povreda osobnih podataka vjerojatno neće rezultirati rizikom za prava i slobode pojedinaca (95). Voditelj obrade mora dokumentirati činjenice povezane s bilo kojom povredom osobnih podataka, njezine posljedice i poduzete korektivne mjere tako da se povjereniku za informiranje omogući provjera poštovanja DPA-a (96). Ako izvršitelj obrade sazna da je došlo do povrede sigurnosti, mora bez nepotrebne odgode o tome izvijestiti voditelja obrade (97).

(54)

Prema članku 68. stavku 1. DPA-a iz 2018., ako je vjerojatno da će povreda osobnih podataka prouzročiti visok rizik za prava i slobode pojedinaca, voditelj obrade mora bez nepotrebne odgode obavijestiti ispitanika o toj povredi (98). Obavijest mora uključivati iste informacije kao i obavijest povjereniku za informiranje opisana u uvodnoj izjavi (53). Ta se obveza ne primjenjuje ako je voditelj obrade proveo odgovarajuće tehničke i organizacijske mjere zaštite koje su primijenjene na osobne podatke pogođene povredom. Ne primjenjuje se ni ako je voditelj obrade poduzeo naknadne mjere kojima se osigurava da pojava visokog rizika za prava i slobode ispitanika više nije vjerojatna. Naposljetku, od voditelja obrade ne zahtijeva se da obavijesti ispitanika ako bi to uključivalo nerazmjeran napor (99). U tom se slučaju ispitanika mora obavijestiti na drugi podjednako djelotvoran način, primjerice, javnim obavješćivanjem (100). Ako voditelj obrade nije obavijestio ispitanika o povredi, povjerenik za informiranje, nakon što ga je voditelj obrade izvijestio u skladu s člankom 67. DPA-a i nakon što je razmotrio vjerojatnost da će povreda osobnih podataka rezultirati visokim rizikom, može zahtijevati od voditelja obrade da obavijesti ispitanika o povredi (101).

(55)

Ispitanike se mora obavijestiti o glavnim obilježjima obrade njihovih osobnih podataka. To načelo zaštite podataka odražava se u članku 44. DPA-a iz 2018. u kojem se, slično članku 13. Direktive (EU) 2016/680, propisuje da voditelj obrade ima opću dužnost da ispitanicima stavi na raspolaganje informacije o obradi njihovih osobnih podataka (bilo na način da te informacije učini općenito dostupnima javnosti bilo na neki drugi način) (102). Informacije za koje se zahtijeva da se stave na raspolaganje uključuju: (a) identitet i kontaktne podatke voditelja obrade; (b) ako je primjenjivo, kontaktne podatke službenika za zaštitu podataka; (c) svrhe u koje voditelj obrade obrađuje osobne podatke; (d) postojanje prava ispitanika da od voditelja obrade zatraži pristup osobnim podacima, ispravak osobnih podataka i brisanje osobnih podataka ili ograničavanje njihove obrade; i (e) pravo na podnošenje pritužbe povjereniku za informiranje i kontaktne podatke povjerenika (103).

(56)

Osim toga, voditelj obrade mora u posebnim slučajevima u svrhu omogućivanja ostvarivanja prava ispitanika na temelju DPA-a iz 2018. (primjerice, ako su osobni podaci koji se obrađuju prikupljeni bez znanja ispitanika) ispitaniku dati: (a) informacije o pravnoj osnovi za obradu; (b) informacije o razdoblju u kojem će osobni podaci biti pohranjeni ili, ako to nije moguće, o kriterijima koji se primjenjuju za određivanje tog razdoblja; (c) ako je primjenjivo, informacije o kategorijama primatelja osobnih podataka (uključujući primatelje u trećim zemljama ili međunarodnim organizacijama); (d) dodatne informacije koje su potrebne kako bi se omogućilo ostvarivanje prava ispitanika na temelju dijela 3. DPA-a iz 2018. (104)

(57)

Ispitanicima se mora priznati niz provedivih prava. U dijelu 3. poglavlju 3. DPA-a iz 2018. predviđaju se prava pojedinaca na pristup podacima, ispravak podataka te brisanje podataka i ograničavanje obrade (105), koja su usporediva s pravima predviđenima u poglavlju III. Direktive (EU) 2016/680.

(58)

Pravo na pristup podacima utvrđeno je u članku 45. DPA-a iz 2018. Kao prvo, pojedinac ima pravo dobiti potvrdu od voditelja obrade o tome obrađuju li se njegovi osobni podaci (106). Kao drugo, ako se osobni podaci obrađuju, ispitanik ima pravo na pristup tim podacima i dobivanje sljedećih informacija o obradi: (a) informacija o svrhama obrade i pravnim osnovama za obradu; (b) informacija o kategorijama predmetnih podataka; (c) informacija o primatelju kojem su ti podaci otkriveni; (d) informacija o razdoblju u kojem će ti osobni podaci biti pohranjeni; (e) informacija o postojanju prava ispitanika na ispravak i brisanje osobnih podataka; (f) informacija o pravu na podnošenje pritužbe; i (g) svih informacija o izvoru predmetnih osobnih podataka (107).

(59)

U skladu s člankom 46. DPA-a iz 2018. ispitanik ima pravo da od voditelja obrade zatraži ispravljanje netočnih osobnih podataka koji se odnose na njega. Voditelj obrade mora bez nepotrebne odgode ispraviti te podatke (ili ih dopuniti ako su podaci netočni zbog nepotpunosti). Ako se ti osobni podaci moraju sačuvati kao dokaz, voditelj obrade mora (umjesto ispravljanja osobnih podataka) ograničiti njihovu obradu (108).

(60)

U članku 47. DPA-a iz 2018. pojedincima se priznaje pravo na brisanje podataka i ograničavanje obrade. Voditelj obrade mora (109) izbrisati osobne podatke bez nepotrebne odgode ako bi se obradom osobnih podataka kršilo bilo koje od načela zaštite podataka, pravne osnove za obradu ili zaštitne mjere povezane s arhiviranjem i osjetljivom obradom. Voditelj obrade mora podatke izbrisati i ako ima pravnu obvezu da to učini. Ako se ti osobni podaci moraju sačuvati kao dokaz, voditelj obrade mora (umjesto brisanja osobnih podataka) ograničiti njihovu obradu (110). Voditelj obrade mora ograničiti obradu osobnih podataka ako ispitanik osporava točnost osobnih podataka, ali nije moguće utvrditi jesu li oni točni ili nisu (111).

(61)

Ako ispitanik zatraži ispravak ili brisanje osobnih podataka ili ograničavanje njihove obrade, voditelj obrade mora pisanim putem obavijestiti ispitanika o tome je li taj zahtjev odobren, a ako je odbijen, obavijestiti ispitanika o razlozima za odbijanje i raspoloživim mogućnostima za pravnu zaštitu (pravo ispitanika da povjereniku za informiranje podnese zahtjev za istragu zakonitosti primjene ograničavanja, pravo na podnošenje pritužbe povjereniku za informiranje i pravo na obraćanje sudu radi izdavanja naloga za udovoljavanje zahtjevu) (112).

(62)

Ako voditelj obrade ispravi osobne podatke primljene od drugog nadležnog tijela, mora o tome obavijestiti to drugo tijelo (113). Ako voditelj obrade ispravi ili izbriše osobne podatke ili ograniči obradu osobnih podataka koje je voditelj obrade otkrio, voditelj obrade mora o tome obavijestiti primatelje, a ti primatelji moraju na sličan način ispraviti ili izbrisati te osobne podatke ili ograničiti njihovu obradu (u mjeri u kojoj su i dalje dužni to učiniti) (114).

(63)

Nadalje, ispitanik ima pravo da ga voditelj obrade bez nepotrebne odgode obavijesti o povredi osobnih podataka kad je vjerojatno da će ta povreda rezultirati visokim rizikom za prava i slobode pojedinaca (115).

(64)

U odnosu na sva ta prava ispitanika i slično onomu što je predviđeno u članku 12. Direktive (EU) 2016/680, voditelj obrade obvezan je osigurati da se sve informacije ispitaniku pružaju u jezgrovitom, razumljivom i lako dostupnom obliku (116) te bi se, ako je moguće, trebale pružati u istom obliku u kojem je zahtjev (117). Voditelj obrade mora udovoljiti zahtjevu ispitanika bez nepotrebne odgode ili u svakom slučaju, načelno, prije isteka roka od mjesec dana od podnošenja zahtjeva (118). Ako voditelj obrade ima opravdane sumnje u pogledu identiteta pojedinca, može zatražiti dodatne informacije i odgoditi postupanje po zahtjevu dok se ne utvrdi identitet pojedinca. Voditelj obrade može zatražiti plaćanje razumne naknade ili odbiti postupiti po zahtjevu ako smatra da je zahtjev očito neutemeljen (119). ICO je izdao smjernice o tome kad se zahtjev smatra očito neutemeljenim ili pretjeranim i kad se može zatražiti plaćanje naknade (120).

(65)

Nadalje, na temelju članka 53. stavka 4. DPA-a iz 2018. ministar može uredbom odrediti najviši iznos naknade.

(66)

Nadležno tijelo može u određenim okolnostima ograničiti određena prava ispitanika: pravo ispitanika na pristup podacima (121), pravo da bude informiran (122), pravo da sazna za povredu osobnih podataka (123) i pravo da ga se obavijesti o razlogu odbijanja zahtjeva za ispravak ili brisanje podataka (124). Slično režimu koji je predviđen u poglavlju III. Direktive (EU) 2016/680 nadležno tijelo može ograničenje primijeniti samo ako je to, uzimajući u obzir temeljna prava i legitimne interese ispitanika, nužno i proporcionalno kako bi se: (a) izbjeglo ometanje službenog ili pravnog ispitivanja, istrage ili postupka; (b) izbjeglo dovođenje u pitanje sprečavanja, otkrivanja, istrage ili progona kaznenih djela ili izvršavanja kaznenih sankcija; (c) zaštitila javna sigurnost; (d) zaštitila nacionalna sigurnost; (e) zaštitili prava i slobode drugih.

(67)

ICO je izdao smjernice o primjeni tih ograničenja. Prema tim smjernicama voditelji obrade moraju provesti analizu na pojedinačnoj osnovi radi uspostavljanja ravnoteže između prava pojedinaca i štete koja bi nastala otkrivanjem. Točnije, moraju obrazložiti svako primijenjeno ograničenje kao nužno i proporcionalno te smiju ograničiti pružene informacije samo ako bi se njima dovele u pitanje prethodno navedene svrhe (125).

(68)

Postoji i niz drugih smjernica koje su izdala nadležna tijela u kojima se daju detaljne informacije o svim aspektima zakonodavstva o zaštiti podataka, uključujući primjenu ograničenja prava ispitanika (126). Na primjer, u odnosu na članak 45. stavak 4. u Priručniku o zaštiti podataka Nacionalnog vijeća načelnika policije navodi se sljedeće: „Važno je imati na umu da se ograničenja mogu primjenjivati samo u mjeri u kojoj je to nužno i samo onoliko dugo koliko je to nužno. Stoga nisu dopuštene opća primjena ograničenja na sve osobne podatke određenog ispitanika ni trajna primjena ograničenja. Kad je riječ o potonjem, često je slučaj da se osobni podaci prikupljeni bez znanja ispitanika koji je osumnjičenik u istrazi moraju na početku zaštititi od otkrivanja tom ispitaniku, da bi se izbjeglo dovođenje u pitanje istrage dok je ona u tijeku, ali kasnije ne bi bilo nikakve štete od otkrivanja ako su osobni podaci otkriveni tom pojedincu za vrijeme razgovora. Policijske snage moraju uvesti postupke koji osiguravaju da se ta ograničenja primjenjuju samo u mjeri u kojoj je to potrebno i u trajanju koje je nužno” (127). U tim se smjernicama navode i primjeri situacija u kojima će se svako od ograničenja vjerojatno primjenjivati (128).

(69)

Nadalje, u odnosu na mogućnost ograničavanja bilo kojeg od prethodno navedenih prava radi zaštite „nacionalne sigurnosti” voditelj obrade može podnijeti zahtjev za potvrdu koju potpisuje ministar koji je član kabineta ili glavni krunski odvjetnik (Attorney General) (ili glavni odvjetnik za Škotsku (Advocate General for Scotland) ), a kojom se potvrđuje da je ograničenje tih prava nužna i proporcionalna mjera za zaštitu nacionalne sigurnosti (129). Vlada Ujedinjene Kraljevine izdala je smjernice o potvrdama o nacionalnoj sigurnosti na temelju DPA-a iz 2018. u kojima se ponajprije naglašava da svako ograničenje prava ispitanika radi zaštite nacionalne sigurnosti mora biti proporcionalno i nužno (130) (za više pojedinosti o potvrdama o nacionalnoj sigurnosti vidjeti uvodne izjave od (131). do (134).).

(70)

Nadalje, ako se primjenjuje ograničenje prava ispitanika, nadležno tijelo mora obavijestiti ispitanika bez nepotrebne odgode o tome da su njegova prava ograničena, o razlozima za to ograničenje i o raspoloživim mogućnostima za pravnu zaštitu, osim ako bi pružanje tih informacija ugrozilo razlog za primjenu ograničenja (131). Kao dodatna zaštitna mjera protiv zloupotrebe ograničenja voditelj obrade mora evidentirati razloge za ograničenje informacija i na zahtjev staviti tu evidenciju na raspolaganje povjereniku za informiranje (132).

(71)

Ako voditelj obrade odbije dati dodatne informacije o transparentnosti, ili pristup podacima, ili ako odbije zahtjev za ispravak ili brisanje podataka ili ograničavanje obrade, pojedinac može zatražiti od povjerenika za informiranje da istraži je li voditelj obrade ograničenje primijenio zakonito (133). Osim toga, predmetni pojedinac može podnijeti i pritužbu povjereniku za informiranje ili se obratiti sudu da izda nalog voditelju obrade za udovoljavanje zahtjevu (134).

(72)

Članci 49. i 50. DPA-a iz 2018. obuhvaćaju prava povezana s automatiziranim donošenjem odluka odnosno zaštitnim mjerama koje treba primijeniti (135). Slično kao i u članku 11. Direktive (EU) 2016/680, voditelj obrade može donijeti značajnu odluku utemeljenu samo na automatiziranoj obradi osobnih podataka isključivo ako se to zahtijeva ili je odobreno pravom (136). Odluka je značajna ako bi dovela do negativnih pravnih posljedica za ispitanika ili bi na njega znatno utjecala (137).

(73)

Ako se od voditelja obrade pravom zahtijeva ili ako mu je pravom dopušteno da donosi značajne odluke, u članku 50. DPA-a iz 2018. utvrđuju se zaštitne mjere koje će se primjenjivati na takvu odluku (koja se definira kao „kvalificirana značajna odluka”). Voditelj obrade mora, čim je to razumno izvedivo, obavijestiti ispitanika da je takva odluka donesena. Ispitanik potom može u roku od mjesec dana zatražiti od voditelja obrade da preispita tu odluku ili donese novu odluku koja se ne temelji samo na automatiziranoj obradi. Voditelj obrade mora razmotriti zahtjev i obavijestiti ispitanika o ishodu tog razmatranja. U DPA-u iz 2018. ministru se daje ovlast za donošenje uredbi za dodatne zaštitne mjere (138). Zasad nisu donesene takve uredbe.

(74)

Razina zaštite osobnih podataka koje tijelo kaznenog progona države članice prenosi tijelu kaznenog progona u Ujedinjenoj Kraljevini ne smije se ugroziti daljnjim prijenosom takvih podataka primateljima u trećoj zemlji. Takvi „daljnji prijenosi”, koji su iz perspektive tijela kaznenog progona iz Ujedinjene Kraljevine međunarodni prijenosi iz Ujedinjene Kraljevine, trebali bi biti dopušteni samo ako daljnji primatelj izvan Ujedinjene Kraljevine i sam podliježe pravilima koja osiguravaju razinu zaštite sličnu onoj koja se jamči pravnim poretkom Ujedinjene Kraljevine.

(75)

Režim Ujedinjene Kraljevine za međunarodne prijenose uređen je u dijelu 3. poglavlju 5. DPA-a iz 2018. (139) i u njemu se odražava pristup primijenjen u poglavlju V. Direktive (EU) 2016/680. Točnije, da bi se osobni podaci prenijeli u treću zemlju, nadležno tijelo mora ispuniti tri uvjeta: (a) prijenos mora biti nužan u svrhu kaznenog progona; (b) prijenos se mora temeljiti na: i. uredbi o primjerenosti koja se odnosi na tu treću zemlju; ii. ako se ne temelji na uredbi o primjerenosti, mora se temeljiti na postojanju odgovarajućih zaštitnih mjera; ili iii. ako se ne temelji na odluci o primjerenosti ni odgovarajućim zaštitnim mjerama, mora se temeljiti na posebnim okolnostima; i (c) primatelj prijenosa mora biti: i. relevantno tijelo (tj. ekvivalent nadležnom tijelu) u toj trećoj zemlji; ii. „relevantna međunarodna organizacija”, npr. međunarodno tijelo koje obavlja funkcije koje odgovaraju bilo kojoj od svrha kaznenog progona; iii. osoba koja nije relevantno tijelo, ali samo ako je prijenos nužan za obavljanje jedne od svrha kaznenog progona; ako temeljna prava i slobode predmetnog ispitanika nemaju prednost nad javnim interesom koji iziskuje prijenos; ako bi prijenos osobnih podataka relevantnom tijelu u toj trećoj zemlji bio nedjelotvoran ili neprimjeren; i ako je primatelj obaviješten o svrhama u koje se ti podaci mogu obrađivati (140).

(76)

Uredbe o primjerenosti koje se odnose na treću zemlju, područje ili sektor unutar treće zemlje, međunarodnu organizaciju ili opis (141) takve zemlje, područja, sektora ili organizacije donosi ministar. Kad je riječ o standardu koji treba zadovoljiti, ministar mora procijeniti osigurava li to područje/sektor/organizacija primjerenu razinu zaštite osobnih podataka. U članku 74.A stavku 4. DPA-a iz 2018. propisuje se da u tu svrhu ministar mora razmotriti niz elemenata koji odražavaju elemente navedene u članku 36. Direktive (EU) 2016/680 (142). S obzirom na to, od kraja prijelaznog razdoblja, dio 3. DPA-a iz 2018. čini „domaće zakonodavstvo koje proizlazi iz prava EU-a” koje će, kako je objašnjeno, sudovi Ujedinjene Kraljevine tumačiti u skladu s relevantnom sudskom praksom Suda koja je postojala prije izlaska Ujedinjene Kraljevine iz Unije i općim načelima prava Unije, u skladu s pravnim učinkom koji su ta praksa i načela imali neposredno prije kraja prijelaznog razdoblja. To uključuje standard prema kojem se procjenjuje je li zaštita „u osnovi istovjetna” i koji će se stoga primjenjivati na procjene primjerenosti koje provode tijela Ujedinjene Kraljevine.

(77)

Na te se uredbe primjenjuju „opći” postupovni zahtjevi predviđeni u članku 182. DPA-a iz 2018. U okviru tog postupka ministar se mora savjetovati s povjerenikom za informiranje kad predlaže donošenje buduće uredbe o primjerenosti Ujedinjene Kraljevine (143). Nakon što je ministar donese, ta se uredba upućuje Parlamentu i podliježe postupku „negativnog vijećanja” (negative resolution procedure) u okviru kojeg oba doma Parlamenta mogu preispitati uredbu i izglasati prijedlog o ukidanju uredbe u roku od 40 dana (144).

(78)

Prema članku 74.B stavku 1. DPA-a iz 2018. uredbe o primjerenosti moraju se preispitivati u razmacima koji nisu dulji od četiri godine, a ministar mora kontinuirano pratiti promjene u trećim zemljama i međunarodnim organizacijama koje bi mogle utjecati na odluke o donošenju uredbi o primjerenosti ili na izmjenu ili ukidanje takvih uredbi. Ako ministar utvrdi da određena zemlja ili organizacija više ne osigurava primjerenu razinu zaštite osobnih podataka, mora, u mjeri u kojoj je to potrebno, izmijeniti ili ukinuti uredbu i pokrenuti savjetovanje s predmetnom trećom zemljom ili međunarodnom organizacijom kako bi riješili problem nedostatka primjerene razine zaštite.

(79)

Slično onomu što je predviđeno u članku 37. Direktive (EU) 2016/680, u nedostatku uredbe o primjerenosti prijenos osobnih podataka u kontekstu sektora kaznenog progona bio bi moguć ako postoje odgovarajuće zaštitne mjere. Takve se zaštitne mjere osiguravaju ili (a) obvezujućim pravnim instrumentom koji sadržava odgovarajuće zaštitne mjere za zaštitu osobnih podataka ili (b) procjenom koju je proveo voditelj obrade koji, nakon što je procijenio sve okolnosti povezane s prijenosom, zaključuje da postoje odgovarajuće zaštitne mjere za zaštitu podataka (145). Nadalje, kad se prijenosi temelje na odgovarajućim zaštitnim mjerama, u DPA-u iz 2018. predviđa se da, pored uobičajenog nadzora koji obavlja ICO, nadležna tijela moraju ICO-u dostaviti posebne informacije o prijenosima (146).

(80)

Ako se prijenos ne temelji na odluci o primjerenosti ili odgovarajućim zaštitnim mjerama, moguć je samo u nekim određenim okolnostima, takozvanim „posebnim okolnostima” (147). To su slučajevi u kojima je prijenos nužan: (a) kako bi se zaštitili vitalni interesi ispitanika ili druge osobe; (b) kako bi se zaštitili legitimni interesi ispitanika; (c) kako bi se spriječila neposredna i ozbiljna prijetnja javnoj sigurnosti treće zemlje; (d) u pojedinačnim slučajevima u neku od svrha kaznenog progona; ili (e) u pojedinačnim slučajevima u pravnu svrhu (na primjer, u vezi sa sudskim postupkom ili radi dobivanja pravnog savjeta) (148). Treba napomenuti da se točke (d) i (e) ne primjenjuju ako prava i slobode ispitanika imaju prednost pred javnim interesom za prijenos (149). Ta skupina okolnosti odgovara posebnim situacijama i uvjetima koji predstavljaju „odstupanja” na temelju članka 38. Direktive (EU) 2016/680.

(81)

U tim se okolnostima moraju dokumentirati datum, vrijeme i obrazloženje prijenosa, ime primatelja i sve ostale bitne informacije o primatelju, kao i opis osobnih podataka koji se prenose, i te se informacije moraju dostaviti povjereniku za informiranje na njegov zahtjev (150).

(82)

U članku 78. DPA-a iz 2018. uređuje se scenarij „naknadnih prijenosa” (subsequent transfers), to jest situacija kad se osobni podaci koji su preneseni iz Ujedinjene Kraljevine u treću zemlju nakon toga prenose u još jednu treću zemlju ili međunarodnoj organizaciji. U skladu s člankom 78. stavkom 1. voditelj obrade iz Ujedinjene Kraljevine koji obavlja prijenos mora uvjetovati prijenos time da se podaci ne smiju dalje prenositi u treću zemlju bez odobrenja tog voditelja obrade koji obavlja prijenos. Osim toga, u skladu s člankom 78. stavkom 3., a slično onomu što je predviđeno u članku 35. stavku 1. točki (e) Direktive (EU) 2016/680, ako je takvo odobrenje potrebno, primjenjuje se niz materijalnih zahtjeva. Konkretnije, pri odlučivanju o tome hoće li odobriti prijenos nadležno tijelo mora biti sigurno da je daljnji prijenos nužan u svrhu kaznenog progona te bi, među ostalim čimbenicima, trebalo uzeti u obzir: (a) ozbiljnost okolnosti koje su dovele do zahtjeva za odobrenje; (b) svrhu u koju su osobni podaci izvorno preneseni; i (c) standarde za zaštitu osobnih podataka koji se primjenjuju u trećoj zemlji ili međunarodnoj organizaciji kojoj bi se osobni podaci prenijeli.

(83)

Nadalje, ako su podaci koji su predmet daljnjeg prijenosa iz Ujedinjene Kraljevine izvorno preneseni iz Europske unije, primjenjuju se dodatne zaštitne mjere.

(84)

Prvo, u članku 73. stavku 1. točki (b) DPA-a iz 2018. – slično kao i u članku 35. stavku 1. točki (c) Direktive (EU) 2016/680 – predviđa se da je, u slučaju u kojem je država članica izvorno prenijela osobne podatke ili ih je na drugi način stavila na raspolaganje voditelju obrade ili drugom nadležnom tijelu, ta država članica ili bilo koja osoba iz te države članice koja je nadležno tijelo za potrebe Direktive (EU) 2016/680 morala odobriti taj prijenos u skladu s pravom te države članice.

(85)

Međutim, slično kao i u članku 35. stavku 2. Direktive (EU) 2016/680, takvo se odobrenje ne zahtijeva (a) ako je prijenos nužan za sprečavanje neposredne i ozbiljne prijetnje bilo javnoj sigurnosti države članice ili treće zemlje bilo bitnim interesima države članice i (b) ako se odobrenje ne može pravodobno dobiti. U tom se slučaju mora bez odgode obavijestiti tijelo u toj državi članici koje bi bilo odgovorno za odlučivanje o odobravanju tog prijenosa (151).

(86)

Drugo, isti se pristup primjenjuje u slučaju kad su podaci izvorno preneseni iz Europske unije u Ujedinjenu Kraljevinu, a potom ih je Ujedinjena Kraljevina dalje prenijela u treću zemlju koja bi ih nakon toga dalje prenijela u treću zemlju. U tom slučaju, u skladu s člankom 78. stavkom 4. nadležno tijelo Ujedinjene Kraljevine ne može dati svoje odobrenje za potonji prijenos, na temelju članka 78. stavka 1., osim ako je „država članica [koja je izvorno prenijela predmetne podatke] ili bilo koja osoba iz te države članice, a koja je nadležno tijelo za potrebe Direktive o zaštiti podataka u svrhe kaznenog progona, odobrila taj prijenos u skladu s pravom te države članice”. Te su zaštitne mjere važne jer omogućuju tijelima država članica da osiguraju kontinuitet zaštite, u skladu s pravom Unije o zaštiti podataka, u cijelom „lancu prijenosa”.

(87)

Taj novi okvir za međunarodne prijenose postao je primjenjiv na kraju prijelaznog razdoblja (152). Međutim, u točkama od 10. do 12. Priloga 21. (uvedenima Uredbom DPPEC) predviđa se da se na kraju prijelaznog razdoblja s određenim prijenosima osobnih podataka postupa kao da se temelje na propisima o primjerenosti. Ti prijenosi uključuju prijenose državi članici, državi EFTA-e, trećoj zemlji na koju se na kraju prijelaznog razdoblja primjenjivala odluka o primjerenosti EU-a i području Gibraltara. Stoga se prijenosi u te zemlje mogu nastaviti kao i prije povlačenja Ujedinjene Kraljevine iz Unije. Nakon kraja prijelaznog razdoblja ministar mora preispitati te nalaze o primjerenosti u roku od četiri godine, tj. do kraja prosinca 2024. Prema objašnjenju koje su dala tijela Ujedinjene Kraljevine, iako ministar treba provesti to preispitivanje do kraja prosinca 2024., prijelazne odredbe ne sadržavaju odredbu o vremenskom ograničenju valjanosti, pa relevantne prijelazne odredbe neće automatski prestati imati učinak ako se preispitivanje ne dovrši do kraja prosinca 2024.

(88)

Na temelju načela odgovornosti tijela javne vlasti koja obrađuju podatke moraju uspostaviti odgovarajuće tehničke i organizacijske mjere kako bi djelotvorno ispunila svoje obveze u pogledu zaštite podataka te mogla dokazati da su ispunjene, prije svega nadležnom nadzornom tijelu.

(89)

To se načelo odražava u članku 56. DPA-a iz 2018., u kojem se uvodi opća obveza o odgovornosti voditelja obrade, tj. obveza da provede odgovarajuće tehničke i organizacijske mjere kako bi osigurao, i kako bi mogao dokazati, da je obrada osobnih podataka usklađena sa zahtjevima iz dijela 3. DPA-a iz 2018. Provedene mjere moraju se preispitivati i ažurirati prema potrebi te, ako je to razmjerno s obzirom na obradu, moraju uključivati odgovarajuće politike zaštite podataka.

(90)

U skladu s poglavljem IV. Direktive (EU) 2016/680, u člancima od 55. do 71. DPA-a iz 2018. predviđaju se različiti mehanizmi za osiguranje odgovornosti i omogućivanje voditeljima obrade i izvršiteljima obrade da dokažu usklađenost. Točnije, od voditelja obrade zahtijeva se da provedu mjere za tehničku i integriranu zaštitu podataka, tj. da osiguraju da su načela zaštite podataka djelotvorno provedena, te se zahtijeva da vode evidencije svih kategorija aktivnosti obrade za koje je voditelj obrade odgovoran (uključujući informacije o identitetu voditelja obrade, kontaktne podatke službenika za zaštitu podataka, svrhe obrade, kategorije primatelja otkrivanja te opis kategorija ispitanika i osobnih podataka) i da na zahtjev tu evidenciju stavljaju na raspolaganje povjereniku za informiranje. Voditelj obrade i izvršitelj obrade moraju bilježiti i zapise za određene postupke obrade i staviti ih na raspolaganje povjereniku za informiranje (153). Od voditelja obrade posebno se zahtijeva i da surađuju s povjerenikom za informiranje u obavljanju njegovih zadaća.

(91)

U DPA-u iz 2018. utvrđuju se i dodatni zahtjevi za obradu koja će vjerojatno rezultirati visokim rizikom za prava i slobode pojedinaca. To uključuje obvezu provođenja procjena učinka na zaštitu podataka i obvezu savjetovanja s povjerenikom za informiranje prije obrade ako takva procjena ukaže na to da bi obrada mogla rezultirati visokim rizikom za prava i slobode pojedinaca (ako se ne bi poduzele mjere radi ublažavanja rizika).

(92)

Nadalje, voditelji obrade moraju imenovati službenika za zaštitu podataka, osim ako je voditelj obrade sud ili drugo sudsko tijelo koje djeluje u svojem sudbenom svojstvu (154). Voditelj obrade mora osigurati da je službenik za zaštitu podataka uključen u sva pitanja koja se odnose na zaštitu osobnih podataka, da ima potrebna sredstva te pristup osobnim podacima i postupcima obrade i da može neovisno obavljati svoje zadaće. Zadaće službenika za zaštitu podataka utvrđene su u članku 71. DPA-a iz 2018., uključujući davanje informacija i savjeta, praćenje usklađenosti te suradnju s povjerenikom za informiranje i djelovanje kao kontaktna točka za povjerenika za informiranje. U obavljanju svojih zadaća službenik za zaštitu podataka mora voditi računa o rizicima povezanima s postupcima obrade, uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade.

(93)

Kako bi se primjerena razina zaštite podataka osigurala i u praksi, mora se uspostaviti neovisno nadzorno tijelo s ovlastima za praćenje i osiguravanje usklađenosti s pravilima o zaštiti podataka. To tijelo pri obavljanju svojih dužnosti i izvršavanju svojih ovlasti mora djelovati potpuno neovisno i nepristrano.

(94)

U Ujedinjenoj Kraljevini nadzor i provedbu usklađenosti s Općom uredbom Ujedinjene Kraljevine o zaštiti podataka i DPA-om iz 2018. obavlja povjerenik za informiranje (155). Osim toga, povjerenik za informiranje nadzire i obradu osobnih podataka koju obavljaju nadležna tijela i koja je obuhvaćena područjem primjene dijela 3. DPA-a iz 2018. (156) Povjerenik za informiranje je tijelo pojedinac (corporation sole): zaseban pravni subjekt koji se sastoji od jedne osobe. Povjerenika za informiranje u radu podupire ured. Ured povjerenice za informiranje (ICO) 31. ožujka 2020. imao je 768 članova stalnog osoblja (157). Povjerenika za informiranje sponzorira Ministarstvo za digitalizaciju, kulturu, medije i sport (158).

(95)

Neovisnost povjerenika izričito je utvrđena u članku 52. Opće uredbe Ujedinjene Kraljevine o zaštiti podataka, koji odražava zahtjeve utvrđene u članku 52. stavcima od 1. do 3. Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća (159). Povjerenik mora djelovati potpuno neovisno pri obavljanju dužnosti i izvršavanju ovlasti u skladu s Općom uredbom Ujedinjene Kraljevine o zaštiti podataka, mora biti slobodan od vanjskog utjecaja (izravnog ili neizravnog) te ne smije tražiti ni primati upute ni od koga. Povjerenik se mora suzdržati i od svih radnji koje nisu u skladu s njegovim dužnostima i za vrijeme mandata ne smije se baviti nikakvom neusklađenom djelatnošću, bez obzira na to je li plaćena.

(96)

Uvjeti za imenovanje i razrješenje povjerenika za informiranje utvrđeni su u Prilogu 12. DPA-u iz 2018. Povjerenika za informiranje imenuje Njezino Veličanstvo na preporuku Vlade na temelju poštenog i otvorenog natječaja. Kandidat mora imati odgovarajuće kvalifikacije, vještine i kompetencije. U skladu s Kodeksom upravljanja za imenovanje javnih službenika (Governance Code on Public Appointments) (160) savjetodavni odbor za procjenu sastavlja popis kandidata koji se mogu imenovati. Prije nego što ministar za digitalizaciju, kulturu, medije i sport donese konačnu odluku, odgovarajući posebni odbor Parlamenta mora provesti preispitivanje prije imenovanja. Stajalište odbora javno se objavljuje (161).

(97)

Mandat povjerenika za informiranje traje do sedam godina. Njezino Veličanstvo može povjerenika za informiranje razriješiti dužnosti na molbu obaju domova Parlamenta (162). Zahtjev za razrješenje povjerenika za informiranje ne može se podnijeti nijednom domu Parlamenta ako ministar ne dostavi izvješće tom domu u kojem navodi da je uvjeren da je povjerenik za informiranje teško povrijedio dužnosti i/ili da povjerenik više ne ispunjava uvjete koji se zahtijevaju za izvršavanje funkcija povjerenika (163).

(98)

Tri su izvora financiranja povjerenika za informiranje: i. naknade za zaštitu podataka koje plaćaju voditelji obrade i koje se određuju uredbom ministra (164) i čine 85–90 % godišnjeg proračuna Ureda (165); ii. subvencija koju Vlada može plaćati povjereniku za informiranje i koja se uglavnom koristi za financiranje troškova poslovanja povjerenika za informiranje u pogledu zadaća koje nisu povezane sa zaštitom podataka (166); i iii. naknade koje se naplaćuju za usluge (167). Trenutačno se ne naplaćuju takve naknade.

(99)

Opće funkcije povjerenika za informiranje u pogledu obrade osobnih podataka obuhvaćene područjem primjene dijela 3. DPA-a iz 2018. utvrđene su u Prilogu 13. DPA-u iz 2018. Te zadaće uključuju praćenje i provedbu dijela 3. DPA-a iz 2018., promicanje javne svijesti, savjetovanje Parlamenta, vlade i drugih institucija o zakonodavnim i upravnim mjerama, informiranje voditelja obrade i izvršitelja obrade o njihovim obvezama, davanje informacija ispitanicima o ostvarivanju njihovih prava i provođenje istraga. Kako bi se očuvala neovisnost sudstva, povjerenik za informiranje nije ovlašten izvršavati svoje funkcije u vezi s obradom osobnih podataka koju provodi pojedinac koji djeluje u sudbenom svojstvu ili sud u okviru svoje sudske nadležnosti. Međutim, nadzor nad sudstvom osiguravaju specijalizirana tijela, što se razmatra u nastavku.

(100)

Povjerenik ima opće istražne, korektivne i savjetodavne ovlasti te ovlasti za izdavanje odobrenja u vezi s obradom osobnih podataka na koju se primjenjuje dio 3. DPA-a iz 2018. Povjerenik ima ovlasti obavijestiti voditelja obrade ili izvršitelja obrade o navodnom kršenju dijela 3., izdavati upozorenja voditelju obrade ili izvršitelju obrade da će se namjeravanim postupcima obrade vjerojatno kršiti odredbe iz dijela 3. i izdavati opomene voditelju obrade ili izvršitelju obrade ako su postupcima obrade prekršene odredbe iz dijela 3. Nadalje, povjerenik može na vlastitu inicijativu ili na zahtjev davati mišljenja Parlamentu Ujedinjene Kraljevine, vladi ili drugim institucijama i tijelima te javnosti o svim pitanjima povezanima sa zaštitom osobnih podataka (168).

(101)

Nadalje, povjerenik je ovlašten:

(102)

U okviru politike regulatornog djelovanja ICO-a određuju se okolnosti u kojima će povjerenik izdati zahtjev za dostavu informacija, zahtjev za provjeru, zahtjev za izvršenje odnosno rješenje o kazni (173). Zahtjevom za izvršenje mogu se uvesti zahtjevi koje povjerenik smatra primjerenima za potrebe ispravljanja propusta. Rješenjem o kazni od osobe se zahtijeva da povjereniku za informiranje plati iznos naveden u rješenju. Rješenje o kazni može se izdati u slučaju nepoštovanja određenih odredbi iz DPA-a iz 2018. (174) ili se može izdati voditelju obrade ili izvršitelju obrade koji nije poštovao zahtjev za dostavu informacija, zahtjev za provjeru ili zahtjev za izvršenje.

(103)

Konkretnije, pri odlučivanju o tome treba li voditelju obrade ili izvršitelju obrade izdati rješenje o kazni i pri određivanju iznosa te kazne povjerenik za informiranje mora uzeti u obzir elemente navedene u članku 155. stavku 3. DPA-a iz 2018., uključujući prirodu i težinu povrede, ima li povreda obilježje namjere ili nepažnje, sve radnje koje je voditelj obrade ili izvršitelj obrade poduzeo kako bi ublažio štetu koju su pretrpjeli ispitanici, stupanj odgovornosti voditelja obrade ili izvršitelja obrade (uzimajući u obzir tehničke i organizacijske mjere koje su primijenili), sve relevantne prijašnje povrede voditelja obrade ili izvršitelja obrade, kategorije osobnih podataka na koje je povreda utjecala te bi li kazna bila djelotvorna, proporcionalna i odvraćajuća.

(104)

Najviši iznos kazne koji se može izreći rješenjem o kazni iznosi (a) 17 500 000 GBP za nepoštovanje načela zaštite podataka (članci 35., 36. i 37., članak 38. stavak 1., članak 39. stavak 1. i članak 40. DPA-a iz 2018.), nepoštovanje obveza u pogledu transparentnosti i prava pojedinaca (članci 44., 45., 46., 47., 48., 49., 52. i 53. DPA-a iz 2018.) i nepoštovanje načela za međunarodne prijenose osobnih podataka (članci 73., 75., 76., 77. i 78. DPA-a iz 2018.); i (b) 8 700 000 GBP u ostalim slučajevima (175). Za nepoštovanje zahtjeva za dostavu informacija, zahtjeva za provjeru ili zahtjeva za izvršenje najveći iznos kazne koji se može izreći u rješenju o kazni iznosi 17 500 000 GBP.

(105)

Prema posljednjim godišnjim izvješćima (za 2018.–2019. (176), 2019.–2020. (177)) povjerenica za informiranje provela je niz istraga povezanih s obradom osobnih podataka koju provode tijela kaznenog progona. Na primjer, povjerenica je provela istragu i u listopadu 2019. objavila mišljenje o primjeni tehnologije prepoznavanja lica na javnim mjestima kojom se služe tijela kaznenog progona. Istraga je konkretno bila usmjerena na korištenje tehnologije za prepoznavanje lica u stvarnom vremenu kojom se služe policija južnog Walesa i londonska policijska uprava (MPS). Osim toga, povjerenica za informiranje istražila je i „matricu za bande” (178) londonske policijske uprave i utvrdila niz teških kršenja zakona o zaštiti podataka koja bi vjerojatno mogla narušiti povjerenje javnosti u matricu i način korištenja podataka.

(106)

U studenome 2018. povjerenica za informiranje izdala je zahtjev za izvršenje, a londonska policijska uprava potom je poduzela mjere potrebne za povećanje sigurnosti i odgovornosti te osiguravanje proporcionalnog korištenja podataka.

(107)

Još jedan primjer nedavne mjere izvršenja jest novčana kazna od 325 000 GBP koju je povjerenica u svibnju 2018. izrekla Državnom tužiteljstvu Ujedinjene Kraljevine (Crown Prosecution Service) zbog gubitka nešifriranih DVD-ova sa snimkama policijskih obavijesnih razgovora/ispitivanja. Nadalje, povjerenica za informiranje provela je i istrage o širim temama, na primjer u prvoj polovini 2020. o izvlačenju podataka iz mobilnih telefona za potrebe policije i načinu na koji policija obrađuje podatke o žrtvama.

(108)

Osim tih izvršnih ovlasti povjerenika za informiranje, određena kršenja zakonodavstva o zaštiti podataka čine kaznena djela i stoga se na njih mogu primjenjivati kaznene sankcije (članak 196. DPA-a iz 2018.). To se, na primjer, odnosi na prikupljanje ili otkrivanje osobnih podataka bez pristanka voditelja obrade i omogućavanje otkrivanja osobnih podataka drugoj osobi bez pristanka voditelja obrade (179); ponovnu identifikaciju anonimiziranih osobnih podataka bez pristanka voditelja obrade odgovornog za anonimizaciju osobnih podataka (180); namjerno ometanje povjerenika u izvršavanju njegovih ovlasti povezanih s pregledom osobnih podataka u skladu s međunarodnim obvezama (181), davanje lažnih izjava kao odgovor na zahtjev za dostavu informacija ili uništavanje informacija povezanih sa zahtjevima za dostavu informacija i zahtjevima za provjeru (182).

(109)

Povjerenik za informiranje ima i dužnost u skladu s člankom 139. DPA-a iz 2018. da svakom od domova Parlamenta uputi opće izvješće o izvršavanju svojih funkcija na temelju tog zakona (183).

(110)

Nadzor nad obradom osobnih podataka koju provode sudovi i pravosuđe dvostran je. Ako nositelj sudačke dužnosti ili sud ne djeluje u okviru sudske nadležnosti, nadzor obavlja povjerenik za informiranje (ICO). Ako voditelj obrade djeluje u okviru sudske nadležnosti, ICO ne može izvršavati svoje nadzorne funkcije (184) pa nadzor provode posebna tijela. To odražava pristup iz članka 32. Direktive (EU) 2016/680.

(111)

Točnije, u drugom slučaju nadzor nad sudovima u Engleskoj i Walesu te Prvostupanjskim sudom i Višim sudom u Engleskoj i Walesu obavlja Odbor za sudsku zaštitu podataka (185). Osim toga, vrhovni sudac (Lord Chief Justice) i visoki predsjednik sudova (Senior President of Tribunals) objavili su obavijest o zaštiti osobnih podataka (186) u kojoj je navedeno kako sudovi u Engleskoj i Walesu obrađuju osobne podatke za sudbenu funkciju. Sličnu obavijest objavili su i suci Sjeverne Irske (187) i Škotske (188).

(112)

Osim toga, vrhovni sudac Sjeverne Irske imenovao je suca Visokog suda koji u Sjevernoj Irskoj djeluje kao sudac za nadzor podataka (189). Objavljene su i smjernice za suce Sjeverne Irske o tome kako postupati u slučaju gubitka ili mogućeg gubitka podataka i postupku za rješavanje svih pitanja koja iz toga mogu proizaći (190).

(113)

U Škotskoj je predsjednik Vrhovnog građanskog suda (Lord President) imenovao suca za nadzor podataka, koji ispituje sve pritužbe u vezi sa zaštitom podataka. To je utvrđeno na temelju pravila o pravosudnim pritužbama koja odražavaju pravila utvrđena za Englesku i Wales (191).

(114)

Naposljetku, na Vrhovnom sudu jedan od njegovih sudaca predlaže se za funkciju nadziranja zaštite podataka.

(115)

Kako bi se osigurala primjerena zaštita, a naročito ostvarivanje prava pojedinca, ispitaniku bi trebalo pružiti učinkovitu upravnu i sudsku zaštitu, uključujući naknadu štete.

(116)

Prvo, ispitanik ima pravo podnijeti pritužbu povjereniku za informiranje ako smatra da u vezi s osobnim podacima koji se odnose na njega postoji kršenje dijela 3. DPA-a iz 2018. (192) Kako je opisano u uvodnim izjavama od (100). do (109)., povjerenik za informiranje ovlašten je ocjenjivati usklađenost voditelja obrade i izvršitelja obrade s DPA-om iz 2018., zahtijevati od njih da poduzmu potrebne korake u slučaju neusklađenosti ili da se suzdrže od njih i izricati novčane kazne.

(117)

Drugo, u DPA-u iz 2018. predviđa se pravo na pravni lijek protiv povjerenika za informiranje. Ako povjerenik ne „ostvari napredak” (193) u pogledu pritužbe koju je podnio ispitanik, podnositelj pritužbe ima pristup sudskom pravnom lijeku, odnosno može se obratiti Prvostupanjskom sudu (194) koji će naložiti povjereniku da poduzme odgovarajuće korake kao odgovor na pritužbu ili obavijesti podnositelja pritužbe o ostvarenom napretku u pogledu pritužbe (195). Osim toga, svaka osoba kojoj povjerenik izda bilo koji od navedenih zahtjeva ili rješenja (zahtjev za dostavu informacija, provjeru ili izvršenje ili rješenje o kazni) može podnijeti žalbu Prvostupanjskom sudu. Ako Sud smatra da odluka povjerenika nije u skladu sa zakonom ili da je povjerenik za informiranje trebao drukčije izvršavati svoje pravo na odlučivanje, Sud mora prihvatiti žalbu ili zamijeniti zahtjev, rješenje ili odluku koju je povjerenik za informiranje izdao ili donio drugim zahtjevom, rješenjem ili odlukom (196).

(118)

Treće, pojedinci mogu dobiti sudsku zaštitu protiv voditelja obrade i izvršitelja obrade izravno pred sudovima na temelju članka 167. DPA-a iz 2018. Ako je sud, na zahtjev ispitanika, uvjeren da je došlo do povrede prava ispitanika na temelju zakonodavstva o zaštiti podataka, može naložiti voditelju obrade, ili izvršitelju obrade koji djeluje u ime tog voditelja, da poduzme mjere navedene u nalogu ili da se suzdrži od poduzimanja mjera navedenih u nalogu. Nadalje, u skladu s člankom 169. DPA-a iz 2018. svaka osoba koja pretrpi štetu zbog kršenja zahtjeva iz zakonodavstva o zaštiti podataka (uključujući dio 3. DPA-a iz 2018.), osim Opće uredbe Ujedinjene Kraljevine o zaštiti podataka, ima pravo na naknadu te štete od voditelja obrade ili izvršitelja obrade, osim ako voditelj obrade ili izvršitelj obrade dokaže da ni na koji način nije odgovoran za događaj koji je prouzročio štetu. Šteta obuhvaća i financijski gubitak i štetu koja ne uključuje financijski gubitak, kao što je pretrpljena duševna bol.

(119)

Četvrto, svaka osoba koja smatra da su tijela javne vlasti prekršila njezina prava, uključujući prava na privatnost i zaštitu podataka, može dobiti sudsku zaštitu od sudova Ujedinjene Kraljevine na temelju Zakona o ljudskim pravima iz 1998. Voditelji obrade iz dijela 3. DPA-a iz 2018., tj. nadležna tijela, uvijek su tijela javne vlasti u smislu Zakona o ljudskim pravima iz 1998. Pojedinac koji tvrdi da je tijelo javne vlasti djelovalo (ili namjerava djelovati) na način koji nije u skladu s pravom iz Konvencije, a time i nezakonito na temelju članka 6. stavka 1. Zakona o ljudskim pravima iz 1998., može pokrenuti postupak protiv tog tijela pred odgovarajućim sudom ili se može pozvati na predmetna prava u svim sudskim postupcima ako jest (ili bi bio) žrtva nezakonite radnje (197).

(120)

Ako utvrdi da je neka radnja tijela javne vlasti nezakonita, sud može u okviru svojih ovlasti odobriti mjeru ili pravni lijek, ili izdati nalog, kako smatra da je pravedno i primjereno (198). Sud može odlučiti i da odredba iz primarnog zakonodavstva nije u skladu s pravom zajamčenim EKLJP-om.

(121)

Naposljetku, nakon što iscrpi sve nacionalne pravne lijekove, pojedinac može dobiti sudsku zaštitu pred Europskim sudom za ljudska prava za povrede prava zajamčenih EKLJP-om.

(122)

Pravom Ujedinjene Kraljevine dopušta se da tijelo kaznenog progona razmjenjuje podatke s drugim tijelima Ujedinjene Kraljevine u svrhe u koje podaci nisu izvorno prikupljeni (takozvana „daljnja razmjena”), što podliježe određenim uvjetima.

(123)

Slično onomu što je predviđeno u članku 4. stavku 2. Direktive (EU) 2016/680, u članku 36. stavku 3. DPA-a iz 2018. određeno je da je daljnja obrada (bilo da je obavlja prvotni ili neki drugi voditelj obrade) osobnih podataka koje je prikupilo nadležno tijelo u svrhu kaznenog progona dopuštena u bilo koju drugu svrhu kaznenog progona ako je voditelj obrade zakonski ovlašten za obradu u tu drugu svrhu te ako je obrada nužna i proporcionalna (199). U tom se slučaju sve zaštitne mjere predviđene u dijelu 3. DPA-a iz 2018., koje su analizirane prethodno u tekstu, primjenjuju na obradu koju obavlja tijelo primatelj.

(124)

U pravnom poretku Ujedinjene Kraljevine više zakona izričito dopušta daljnju razmjenu. Točnije, i. Zakon o digitalnom gospodarstvu iz 2017. dopušta razmjenu podataka između tijela javne vlasti u nekoliko svrha, na primjer u slučaju svih prijevara na štetu javnog sektora koje bi uključivale gubitak ili rizik od gubitka za tijelo javne vlasti (200) ili u slučaju duga prema tijelu javne vlasti ili Kruni (201); ii. Zakon o kaznenim djelima i sudovima iz 2013. dopušta razmjenu informacija s Nacionalnom agencijom za kriminalitet (NCA) (202) u svrhu suzbijanja, istrage i kaznenog progona teških kaznenih djela i organiziranog kriminala; iii. Zakon o teškim kaznenim djelima iz 2007. dopušta tijelima javne vlasti da otkriju informacije organizacijama za borbu protiv prijevara za potrebe sprečavanja prijevara (203).

(125)

U tim je zakonima izričito predviđeno da bi razmjena informacija trebala biti u skladu s pravilima utvrđenima u DPA-u iz 2018. Osim toga, Nacionalna agencija za policiju (College of Policing) izdala je odobrenu profesionalnu praksu za razmjenu informacija (204) kako bi pomogla policiji da ispuni svoje obveze u pogledu zaštite podataka na temelju Opće uredbe o zaštiti podataka Ujedinjene Kraljevine, DPA-a i Zakona o ljudskim pravima iz 1998. Usklađenost razmjene s primjenjivim pravnim okvirom za zaštitu podataka može, naravno, podlijegati sudskom preispitivanju (205).

(126)

Nadalje, slično odredbama članka 9. Direktive (EU) 2016/680, u DPA-u iz 2018. predviđeno je da se osobni podaci prikupljeni u bilo koju svrhu kaznenog progona mogu obrađivati u svrhu koja nije kazneni progon ako je obrada odobrena pravom (206). Ta vrsta razmjene obuhvaća dva scenarija: 1. tijelo kaznenog progona razmjenjuje podatke s tijelom za izvršavanje zakonodavstva koje se ne bavi kaznenim progonom osim obavještajne agencije (na primjer, financijsko ili porezno tijelo, tijelo za tržišno natjecanje, ured za skrb o mladima); i 2. tijelo kaznenog progona razmjenjuje podatke s obavještajnom agencijom. U prvom scenariju obrada osobnih podataka bit će obuhvaćena područjem primjene Opće uredbe Ujedinjene Kraljevine o zaštiti podataka te dijela 2. DPA-a iz 2018. Kako je navedeno u odluci koja je donesena na temelju Uredbe (EU) 2016/679, zaštitne mjere koje su predviđene u Općoj uredbi Ujedinjene Kraljevine o zaštiti podataka i dijelu 2. DPA-a iz 2018. pružaju razinu zaštite koja je u osnovi istovjetna onoj koja se pruža u Uniji (207).

(127)

U drugom scenariju, u kojem je riječ o razmjeni podataka koje je prikupilo tijelo kaznenog progona s obavještajnom agencijom u svrhe nacionalne sigurnosti, pravna osnova koja omogućuje takvu razmjenu je Zakon o borbi protiv terorizma iz 2008. (CTA iz 2008.) (208). Na temelju tog zakona sve osobe mogu dati informacije bilo kojoj obavještajnoj službi u svrhu obavljanja bilo koje funkcije te službe, uključujući „nacionalnu sigurnost”.

(128)

Kad je riječ o uvjetima pod kojima se podaci mogu razmjenjivati u svrhe nacionalne sigurnosti, Zakon o obavještajnim službama i Zakon o sigurnosnim službama ograničavaju mogućnost obavještajnih službi da prikupljaju podatke na ono što je nužno za obavljanje njihovih zakonski propisanih funkcija. Nadležna tijela koja su obuhvaćena područjem primjene dijela 3. DPA-a iz 2018. i koja žele razmjenjivati podatke s obavještajnim službama morat će uzeti u obzir nekoliko čimbenika/ograničenja povrh zakonski propisanih funkcija agencija koje su utvrđene u Zakonu o obavještajnim službama i Zakonu o sigurnosnim službama (209). U članku 20. Zakona o borbi protiv terorizma iz 2008. pojašnjava se da sve razmjene podataka na temelju članka 19. tog zakona i dalje moraju biti u skladu sa zakonodavstvom o zaštiti podataka , što znači da se primjenjuju sva ograničenja i zahtjevi iz DPA-a iz 2018. Nadalje, tijela kaznenog progona i obavještajne službe su javna tijela za potrebe Zakona o ljudskim pravima iz 1998., stoga moraju djelovati u skladu s pravima zajamčenima EKLJP-om, uključujući članak 8. EKLJP-a. Drugim riječima, ti zahtjevi znače da sve razmjene podataka između tijela kaznenog progona i obavještajnih službi moraju biti u skladu sa zakonodavstvom o zaštiti podataka i EKLJP-om.

(129)

Obrada koju obavještajne službe obavljaju u vezi s osobnim podacima koje prime ili dobiju od tijelâ kaznenog progona u svrhe nacionalne sigurnosti podliježe nizu uvjeta i zaštitnih mjera (210). Dio 4. DPA-a iz 2018. primjenjuje se na svu obradu koju vrše obavještajne službe ili koja se vrši u njihovo ime. U njemu se utvrđuju glavna načela zaštite podataka (zakonitost, poštenost i transparentnost (211), ograničavanje svrhe (212), smanjenje količine podataka (213), točnost (214), ograničenje pohrane (215) i sigurnost (216)), uvode se uvjeti za obradu posebnih kategorija podataka (217), predviđaju se prava ispitanika (218), zahtijeva se tehnička zaštita podataka (219) i uređuju se međunarodni prijenosi osobnih podataka (220).

(130)

Isto tako, u članku 110. DPA-a iz 2018. predviđa se izuzeće od određenih odredbi iz dijela 4. DPA-a iz 2018. kad je to izuzeće potrebno radi zaštite nacionalne sigurnosti. U članku 110. stavku 2. DPA-a iz 2018. navedene su odredbe od kojih je dopušteno izuzeće. One uključuju načela zaštite podataka (osim načela zakonitosti), prava ispitanika, obvezu obavješćivanja povjerenika za informiranje o povredi podataka, ovlasti povjerenika za informiranje povezane s inspekcijom u skladu s međunarodnim obvezama, određene izvršne ovlasti povjerenika za informiranje, odredbe prema kojima su određena kršenja zaštite podataka kazneno djelo i odredbe o posebnim svrhama obrade kao što su novinarske, akademske ili umjetničke svrhe. Na to se izuzeće može pozvati na temelju analize za svaki pojedinačni slučaj (221). Kako su objasnila tijela Ujedinjene Kraljevine i kako potvrđuje sudska praksa sudova u Ujedinjenoj Kraljevini, „(a) voditelj obrade mora uzeti u obzir stvarne posljedice za nacionalnu sigurnost ili obranu ako bi morao poštovati određenu odredbu o zaštiti podataka i može li opravdano poštovati uobičajeno pravilo bez utjecaja na nacionalnu sigurnost ili obranu” (222). ICO nadzire je li izuzeće primijenjeno na odgovarajući način (223).

(131)

Nadalje, u odnosu na mogućnost ograničavanja bilo kojeg od prethodno navedenih prava radi zaštite „nacionalne sigurnosti”, u članku 79. DPA-a iz 2018. predviđa se mogućnost da voditelj obrade podnese zahtjev za potvrdu koju potpisuje ministar koji je član kabineta ili glavni krunski odvjetnik (Attorney General), kojom se potvrđuje da je ograničenje tih prava sad, ili je u nekom trenutku bilo, nužna i proporcionalna mjera za zaštitu nacionalne sigurnosti (224). Vlada Ujedinjene Kraljevine objavila je smjernice o potvrdama o nacionalnoj sigurnosti na temelju DPA-a iz 2018., u kojima je osobito istaknuto da svako ograničavanje prava ispitanika radi zaštite nacionalne sigurnosti mora biti proporcionalno i nužno (225). Sve potvrde o nacionalnoj sigurnosti moraju se objaviti na internetskim stranicama ICO-a (226).

(132)

Potvrda bi trebala imati ograničeno trajanje koje nije dulje od pet godina kako bi je izvršna vlast redovito preispitivala (227). U potvrdi se navode osobni podaci ili kategorije osobnih podataka na koje se izuzeće primjenjuje i odredbe iz DPA-a iz 2018. na koje se izuzeće primjenjuje (228).

(133)

Važno je napomenuti da potvrde o nacionalnoj sigurnosti ne pružaju dodatnu osnovu za ograničavanje pravâ na zaštitu podataka iz razlogâ nacionalne sigurnosti. Drugim riječima, voditelj obrade ili izvršitelj obrade može se pozvati na potvrdu samo ako je zaključio da je nužno pozvati se na izuzeće radi nacionalne sigurnosti, koje se mora primjenjivati na pojedinačnoj osnovi. Čak i ako se potvrda o nacionalnoj sigurnosti primjenjuje na predmetno pitanje, ICO može istražiti je li pozivanje na izuzeće radi nacionalne sigurnosti bilo opravdano u konkretnom slučaju (229).

(134)

Sve osobe na koje izdavanje potvrde izravno utječe mogu podnijeti žalbu Višem sudu (230) protiv potvrde (231) ili, ako su u potvrdi podaci identificirani općenitim opisom, osporiti primjenu potvrde na konkretne podatke (232).

(135)

Sud će preispitati odluku o izdavanju potvrde i odlučiti jesu li postojali opravdani razlozi za izdavanje potvrde (233). Može razmotriti širok raspon pitanja, uključujući nužnost, proporcionalnost i zakonitost, a pritom mora uzeti u obzir učinak na prava ispitanika i uspostaviti ravnotežu s potrebom zaštite nacionalne sigurnosti. Stoga sud može utvrditi da se potvrda ne primjenjuje na konkretne osobne podatke koji su predmet žalbe (234).

(136)

Drugi skup mogućih ograničenja odnosi se na ona koja se primjenjuju, na temelju Priloga 11. DPA-u iz 2018., na određene odredbe iz dijela 4. DPA-a iz 2018. (235) radi zaštite drugih važnih ciljeva od općeg javnog interesa ili zaštićenih interesa kao što su parlamentarni imunitet, odvjetnička tajna, vođenje sudskog postupka ili bojna pripravnost oružanih snaga. Primjena tih odredbi izuzeta je za određene kategorije informacija („izuzeća na temelju razreda”) ili je izuzeta u mjeri u kojoj bi primjena tih odredbi vjerojatno dovela u pitanje zaštićeni interes („izuzeća na temelju ugrožavanja”) (236). Na izuzeća na temelju ugrožavanja moguće je pozvati se samo ako bi primjena navedenih odredbi o zaštiti podataka vjerojatno dovela u pitanje predmetni posebni interes. Stoga primjena izuzeća uvijek mora biti opravdana upućivanjem na relevantno ugrožavanje do kojeg bi vjerojatno došlo u pojedinačnom slučaju. Na izuzeća na temelju razreda moguće je pozvati se samo u pogledu posebne, usko definirane kategorije informacija za koju je odobreno izuzeće. Ona su prema svrsi i učinku slična određenim izuzećima od Opće uredbe Ujedinjene Kraljevine o zaštiti podataka (na temelju Priloga 2. DPA-u iz 2018.), koja odražavaju izuzeća predviđena člankom 23. Opće uredbe o zaštiti podataka.

(137)

Iz prethodno navedenog proizlazi da su u primjenjivim pravnim odredbama Ujedinjene Kraljevine, kako su ih tumačili i sudovi i povjerenik za informiranje, uspostavljena ograničenja i uvjeti koji osiguravaju da ta izuzeća i ograničenja ostanu u granicama onog što je nužno i proporcionalno za zaštitu nacionalne sigurnosti.

(138)

Obradu osobnih podataka koju obavljaju obavještajne službe na temelju dijela 4. DPA-a iz 2018. nadzire povjerenik za informiranje (237).

(139)

Opće funkcije povjerenika za informiranje u pogledu obrade osobnih podataka koju obavljaju obavještajne službe na temelju dijela 4. DPA-a iz 2018. utvrđene su u Prilogu 13. DPA-u iz 2018. Te zadaće ponajprije obuhvaćaju, ali nisu ograničene na, praćenje i provedbu dijela 4. DPA-a iz 2018., promicanje javne svijesti, savjetovanje Parlamenta, vlade i drugih institucija o zakonodavnim i upravnim mjerama, informiranje voditelja obrade i izvršitelja obrade o njihovim obvezama, davanje informacija ispitanicima o ostvarivanju njihovih prava i provođenje istraga.

(140)

Povjerenik je, kao i za dio 3. DPA-a iz 2018., ovlašten obavijestiti voditelje obrade o navodnom kršenju pravila te izdavati upozorenja o tome da će se obradom vjerojatno prekršiti pravila i izdavati opomene u slučaju potvrde kršenja pravila. Može izdavati i zahtjeve za izvršenje i rješenja o kazni zbog kršenja određene odredbe zakona (238). Međutim, za razliku od situacije s drugim dijelovima DPA-a iz 2018., povjerenik ne može izdati zahtjev za provjeru nacionalnom sigurnosnom tijelu (239).

(141)

Nadalje, u članku 110. DPA-a iz 2018. predviđa se iznimka od primjene određenih ovlasti povjerenika kad je to potrebno radi zaštite nacionalne sigurnosti. To uključuje ovlast povjerenika da izdaje zahtjeve i rješenja (bilo koje vrste) na temelju DPA-a (zahtjevi za dostavu informacija, provjeru i izvršenje te rješenja o kazni), ovlast provođenja inspekcija u skladu s međunarodnim obvezama, ovlasti ulaska i inspekcije te pravila o kaznenim djelima (240). Kako je objašnjeno u uvodnoj izjavi (136)., te će se iznimke primjenjivati samo ako je to nužno i proporcionalno te na pojedinačnoj osnovi. Primjena tih iznimaka može podlijegati sudskom preispitivanju (241).

(142)

ICO i obavještajne službe Ujedinjene Kraljevine potpisale su Memorandum o razumijevanju (242) kojim se uspostavlja okvir za suradnju u brojnim pitanjima, uključujući obavijesti o povredi podataka i postupanje s pritužbama ispitanika. Konkretno, njime se predviđa da će ICO nakon zaprimanja pritužbe provjeriti je li neko pozivanje na izuzeće radi nacionalne sigurnosti primijenjeno na odgovarajući način. Odgovore na upite ICO-a u kontekstu ispitivanja pojedinačnih pritužbi predmetna obavještajna agencija mora dati u roku od 20 radnih dana, koristeći odgovarajuće sigurne kanale ako odgovori uključuju klasificirane podatke. Od travnja 2018. do danas ICO je zaprimio 21 pritužbu koju su podnijeli pojedinci u pogledu rada obavještajnih službi. Svaka je pritužba provjerena, a ispitanik obaviješten o ishodu provjere (243).

(143)

Nadalje, parlamentarni nadzor nad obradom podataka koju obavljaju obavještajne agencije vrši Odbor za obavještajne poslove i sigurnost (ISC). Zakonska je osnova za taj odbor Zakon o pravosuđu i sigurnosti iz 2013. (JSA iz 2013.) (244). Tim se zakonom osniva ISC kao odbor Parlamenta Ujedinjene Kraljevine. ISC se sastoji od članova koji pripadaju obama domovima Parlamenta, a imenuje ih predsjednik Vlade nakon savjetovanja s čelnikom oporbe (245). ISC je obvezan podnositi godišnje izvješće Parlamentu o obavljanju svojih funkcija i druga izvješća koja smatra primjerenima (246).

(144)

Od 2013. ISC je dobio veće ovlasti, uključujući nadzor operativnih aktivnosti sigurnosnih službi. U skladu s člankom 2. JSA-e iz 2013. ISC ima zadaću nadzirati rashode, upravljanje, politiku i operacije nacionalnih sigurnosnih agencija. U JSA-i iz 2013. propisuje se da ISC može provoditi istrage o operativnim pitanjima ako se ona ne odnose na operacije koje su u tijeku (247). U Memorandumu o razumijevanju koji su sklopili predsjednik Vlade i ISC (248) detaljno se navode elementi koje treba uzeti u obzir pri utvrđivanju je li određena aktivnost dio operacije koja je u tijeku (249). Predsjednik Vlade može od ISC-a zatražiti i da istraži operacije koje su u tijeku te ISC može pregledavati informacije koje mu agencije dobrovoljno dostave.

(145)

U skladu s Prilogom 1. JSA-i iz 2013. ISC može od voditelja bilo koje od triju obavještajnih službi zatražiti da otkrije bilo koju informaciju. Agencija mora te informacije staviti na raspolaganje, osim ako ministar to ne zabrani (250). Tijela Ujedinjene Kraljevine objasnila su da se u praksi ISC-u uskraćuje vrlo malo informacija (251).

(146)

Kad je riječ o pravnoj zaštiti, kao prvo, u skladu s člankom 165. stavkom 2. DPA-a iz 2018. ispitanik može podnijeti pritužbu ICO-u ako smatra da je u vezi s osobnim podacima koji se na njega odnose došlo do kršenja dijela 4. DPA-a iz 2018., uključujući svaku zloupotrebu odstupanja i ograničenja povezanih s nacionalnom sigurnošću.

(147)

Nadalje, na temelju dijela 4. DPA-a iz 2018. pojedinci imaju pravo obratiti se Visokom sudu (ili Vrhovnom građanskom sudu u Škotskoj (Court of Session)) da izda nalog kojim se od voditelja obrade zahtijeva da poštuje prava na pristup podacima (252), podnošenje prigovora na obradu (253) te ispravak ili brisanje podataka.

(148)

Pojedinci imaju pravo i na naknadu pretrpljene štete zbog kršenja zahtjeva iz dijela 4. DPA-a iz 2018. koju isplaćuje voditelj obrade ili izvršitelj obrade (254). Šteta obuhvaća i financijski gubitak i štetu koja ne uključuje financijski gubitak, kao što je pretrpljena duševna bol (255).

(149)

Naposljetku, pojedinac može podnijeti pritužbu Sudu za istražne ovlasti za svaki postupak koji su provele obavještajne agencije Ujedinjene Kraljevine ili je proveden u njihovo ime (256). Sud za istražne ovlasti osnovan je Zakonom o regulaciji istražnih ovlasti iz 2000. za Englesku, Wales i Sjevernu Irsku te Zakonom o regulaciji istražnih ovlasti (Škotska) iz 2000. za Škotsku (RIPA iz 2000.) i neovisan je od izvršne vlasti (257). U skladu s člankom 65. RIPA-e iz 2000. članove Suda za istražne ovlasti imenuje Njezino Veličanstvo na razdoblje od pet godina.

(150)

Njezino Veličanstvo može člana tog suda razriješiti dužnosti na molbu (258) obaju domova Parlamenta (259).

(151)

Za pokretanje postupka pred Sudom za istražne ovlasti („zahtjev u pogledu procesne legitimacije”), u skladu s člankom 65. RIPA-e iz 2000. pojedinac mora biti uvjeren: i. da se postupak obavještajne službe odnosio na njega, bilo koju njegovu imovinu, bilo koju komunikaciju koju je poslao ili koja mu je poslana ili koja mu je bila namijenjena ili na njegovo korištenje bilo koje poštanske usluge, telekomunikacijske usluge ili telekomunikacijskog sustava (260); i ii. da je postupak proveden u „okolnostima koje se mogu osporavati” (261) ili „da su ga provele obavještajne službe ili je izvršen u njihovo ime” (262). Budući da se posebno taj standard „uvjerenja” prilično široko tumači (263), pokretanje postupka pred Sudom podliježe relativno niskim zahtjevima u pogledu procesne legitimacije.

(152)

Ako Sud za istražne ovlasti razmatra pritužbu koja mu je podnesena, dužnost mu je istražiti jesu li osobe protiv kojih se iznosi bilo kakva tvrdnja u pritužbi bile u nekoj vrsti odnosa s podnositeljem pritužbe, kao i provesti istragu o tijelu koje je navodno počinilo kršenje te o tome je li navodni postupak počinjen (264). Sud u svakom postupku koji vodi mora primijeniti ista načela za donošenje odluka u tim postupcima koje bi primjenjivao opći sud u slučaju zahtjeva za sudsko preispitivanje (265).

(153)

Sud za istražne ovlasti mora obavijestiti podnositelja pritužbe o tome je li donesena odluka u njegovu korist ili nije (266). Na temelju članka 67. stavaka 6. i 7. RIPA-e iz 2000. Sud ima ovlast izdavati privremene odluke i dodjeljivati naknadu štete ili druge naloge koji smatra primjerenima (267). Na temelju članka 67.A RIPA-e iz 2000. na odluku Suda može se podnijeti žalba podložno dopuštenju koje dodjeljuje Sud ili mjerodavni žalbeni sud.

(154)

Konkretno, pojedinci mogu podnijeti tužbeni zahtjev – i dobiti sudsku zaštitu – pred Sudom za istražne ovlasti u slučaju da smatraju da je tijelo javne vlasti djelovalo (ili namjerava djelovati) na način koji je nespojiv s pravima iz EKLJP-a, uključujući pravo na privatnost i zaštitu podataka, i stoga je nezakonit na temelju članka 6. stavka 1. Zakona o ljudskim pravima iz 1998. Sudu za istražne ovlasti dodijeljena je isključiva nadležnost za sve zahtjeve na temelju Zakona o ljudskim pravima povezane s obavještajnim agencijama. To znači, kako je istaknuo Visoki sud, da „utvrđivanje postojanja kršenja Zakona o ljudskim pravima na temelju činjenica pojedinog slučaja u načelu je nešto što razmatra i o čemu odlučuje neovisni sud koji ima pravo na pristup svim relevantnim materijalima, uključujući tajni materijal. […] U tom kontekstu treba voditi računa i o tome da sad i odluke samog Suda za istražne ovlasti podliježu mogućnosti žalbe mjerodavnom žalbenom sudu (u Engleskoj i Walesu to bi bio Žalbeni sud); i da je Vrhovni sud nedavno odlučio da je Sud za istražne ovlasti u načelu podložan sudskom preispitivanju: vidjeti predmet R (Privacy International) protiv Investigatory Powers Tribunal [2019] UKSC 22; [2019] 2 WLR 1219” (268). Ako Sud za istražne ovlasti utvrdi da je neka radnja tijela javne vlasti nezakonita, može u okviru svojih ovlasti odobriti mjeru ili pravni lijek, ili izdati nalog, kako smatra da je pravedno i primjereno (269).

(155)

Nakon što iscrpi sve nacionalne pravne lijekove, pojedinac može dobiti sudsku zaštitu pred Europskim sudom za ljudska prava za povrede prava zajamčenih EKLJP-om, uključujući pravo na privatnost i zaštitu podataka.

(156)

Iz prethodno navedenog proizlazi da se razmjena podataka koje tijela kaznenog progona Ujedinjene Kraljevine na temelju ove Odluke prenose drugim tijelima javne vlasti, uključujući obavještajne agencije, odvija u okviru ograničenja i uvjeta koji osiguravaju da će takva daljnja razmjena biti nužna i proporcionalna i podlijegati posebnim zaštitnim mjerama za zaštitu podataka na temelju DPA-a iz 2018. Nadalje, obradu podataka koju obavljaju predmetna javna tijela nadziru neovisna tijela, a pojedinci na koje to utječe imaju pristup učinkovitim sudskim pravnim lijekovima.

(157)

Komisija smatra da dio 3. DPA-a iz 2018. osigurava razinu zaštite osobnih podataka koje nadležna tijela iz Unije prenose nadležnim tijelima u Ujedinjenoj Kraljevini u svrhe kaznenog progona koja je u osnovi istovjetna onoj koja se jamči Direktivom (EU) 2016/680.

(158)

Nadalje, Komisija smatra da, u cjelini, nadzorni mehanizmi i mogućnosti za sudsku zaštitu u pravu Ujedinjene Kraljevine omogućavaju da se u praksi utvrde i sankcioniraju povrede te ispitaniku pružaju pravne lijekove za dobivanje pristupa osobnim podacima koji se odnose na njega te, konačno, za ispravak ili brisanje takvih podataka.

(159)

Konačno, na temelju dostupnih informacija o pravnom poretku Ujedinjene Kraljevine Komisija smatra da će se svako zadiranje u temeljna prava pojedinaca čije osobne podatke iz Europske unije u Ujedinjenu Kraljevinu prenose tijela javne vlasti Ujedinjene Kraljevine za potrebe javnog interesa, među ostalim i u kontekstu razmjene osobnih podataka među tijelima kaznenog progona i drugim tijelima javne vlasti, kao što su nacionalna sigurnosna tijela, ograničiti na ono što je nužno za ostvarivanje predmetnog legitimnog cilja te da postoji djelotvorna pravna zaštita od takvog zadiranja.

(160)

Stoga bi trebalo potvrditi da Ujedinjena Kraljevina osigurava primjerenu razinu zaštite u smislu članka 36. stavka 2. Direktive (EU) 2016/680, tumačeno s obzirom na Povelju o temeljnim pravima.

(161)

Taj se zaključak temelji na relevantnom nacionalnom sustavu Ujedinjene Kraljevine i njezinim međunarodnim obvezama, posebno poštovanju Europske konvencije o ljudskim pravima i prihvaćanju nadležnosti Europskog suda za ljudska prava. Kontinuirano poštovanje tih međunarodnih obveza stoga je osobito važan element procjene na kojoj se temelji ova Odluka.

(162)

Države članice i njihovi organi dužni su poduzeti mjere potrebne za usklađivanje s aktima institucija Unije jer se potonji smatraju zakonitima i proizvode pravne učinke do njihova isteka, povlačenja, poništenja u postupku za poništenje ili proglašavanja nevažećima nakon zahtjeva za prethodnu odluku ili tužbenog zahtjeva za proglašenje nezakonitosti.

(163)

Stoga je odluka Komisije o primjerenosti donesena u skladu s člankom 36. stavkom 3. Direktive (EU) 2016/680 obvezujuća za sva tijela država članica kojima je upućena, uključujući njihova neovisna nadzorna tijela. Konkretnije, dok se primjenjuje ova Odluka, za prijenos podataka od voditelja obrade ili izvršitelja obrade u Uniji voditeljima obrade ili izvršiteljima obrade u Ujedinjenoj Kraljevini nisu potrebna daljnja odobrenja.

(164)

Istodobno bi trebalo podsjetiti da, u skladu s člankom 47. stavkom 5. Direktive (EU) 2016/680 i kako je objašnjeno u presudi Suda EU-a u predmetu Schrems, ako nacionalno tijelo za zaštitu podataka ima sumnje, među ostalim nakon što je zaprimilo pritužbu, u pogledu spojivosti odluke Komisije o primjerenosti s temeljnim pravima pojedinca na privatnost i zaštitu podataka, nacionalnim pravom mora biti predviđen pravni lijek za iznošenje tih prigovora pred nacionalnim sudom od kojeg se može tražiti da Sudu EU-a uputi zahtjev za prethodnu odluku (270).

(165)

U skladu s člankom 36. stavkom 4. Direktive (EU) 2016/680 Komisija treba kontinuirano pratiti relevantne procese u Ujedinjenoj Kraljevini nakon donošenja ove Odluke kako bi procijenila osigurava li se njome još uvijek u osnovi istovjetna razina zaštite. Takvo je praćenje posebno važno u ovom slučaju jer će Ujedinjena Kraljevina donijeti, primjenjivati i provoditi novi sustav zaštite podataka koji više ne podliježe pravu Unije i koji bi mogao biti podložan promjenama. S obzirom na to, posebna će se pozornost pridavati praktičnoj primjeni pravila Ujedinjene Kraljevine o prijenosima osobnih podataka trećim zemljama, među ostalim i sklapanjem međunarodnih sporazuma, i učinku koji bi to moglo imati na razinu zaštite podataka koji se prenose na temelju ove Odluke te djelotvornosti ostvarivanja prava pojedinaca u područjima obuhvaćenima ovom Odlukom. Praćenje Komisije temeljit će se, među ostalim elementima, na promjenama u sudskoj praksi i nadzoru koji obavljaju ICO i druga neovisna tijela.

(166)

Kako bi se olakšalo to praćenje, tijela Ujedinjene Kraljevine trebala bi u najkraćem roku i redovito obavješćivati Komisiju o svim bitnim izmjenama pravnog poretka Ujedinjene Kraljevine koje utječu na pravni okvir koji je predmet ove Odluke, kao i o svim promjenama praksi povezanih s obradom osobnih podataka koja je procijenjena u ovoj Odluci, a ponajprije s obzirom na elemente navedene u uvodnoj izjavi (165).

(167)

Nadalje, kako bi Komisija mogla djelotvorno obavljati svoju funkciju praćenja, države članice trebale bi je obavješćivati o svim relevantnim mjerama koje poduzimaju nacionalna tijela za zaštitu podataka, naročito u pogledu upita ili pritužbi ispitanika iz EU-a o prijenosu osobnih podataka iz Unije nadležnim tijelima u Ujedinjenoj Kraljevini. Komisiju bi trebalo obavijestiti i o svakoj naznaci da mjere tijela javne vlasti Ujedinjene Kraljevine odgovornih za sprečavanje, istragu, otkrivanje ili progon kaznenih djela, uključujući nadzorna tijela, ne osiguravaju potrebnu razinu zaštite.

(168)

Ako dostupne informacije, naročito informacije dobivene praćenjem primjene ove Odluke ili informacije koje dostavljaju tijela Ujedinjene Kraljevine ili država članica, pokazuju da razina zaštite koju pruža Ujedinjena Kraljevina možda više nije primjerena, Komisija bi o tome trebala u najkraćem roku obavijestiti nadležna tijela Ujedinjene Kraljevine i zatražiti poduzimanje odgovarajućih mjera u određenom roku, koji ne smije biti dulji od tri mjeseca. Prema potrebi, taj se rok može produljiti na određeno vrijeme, uzimajući u obzir prirodu predmetnog problema i/ili mjera koje treba poduzeti.

(169)

Ako po isteku navedenog roka nadležna tijela Ujedinjene Kraljevine ne poduzmu te mjere ili na drugi zadovoljavajući način ne dokažu da se ova Odluka i dalje temelji na primjerenoj razini zaštite, Komisija će pokrenuti postupak iz članka 58. stavka 2. Direktive (EU) 2016/680 radi djelomične ili potpune suspenzije ili stavljanja izvan snage ove Odluke.

(170)

Alternativno, Komisija će pokrenuti taj postupak radi izmjene Odluke, ponajprije utvrđivanjem dodatnih uvjeta za prijenose podataka ili ograničavanjem područja primjene zaključka o primjerenosti samo na prijenose podataka za koje se i dalje osigurava primjerena razina zaštite.

(171)

Bude li valjano utemeljenih krajnje hitnih razloga, Komisija će iskoristiti mogućnost donošenja, u skladu s postupkom iz članka 58. stavka 3. Direktive (EU) 2016/680, odmah primjenjivih provedbenih akata o suspenziji, stavljanju izvan snage ili izmjeni Odluke.

(172)

Trebalo bi uzeti u obzir da će nakon isteka prijelaznog razdoblja predviđenog Sporazumom o povlačenju i čim privremena odredba na temelju članka 782. Sporazuma o trgovini i suradnji između EU-a i Ujedinjene Kraljevine prestane važiti, Ujedinjena Kraljevina primjenjivati i provoditi novi sustav zaštite podataka koji se razlikuje od onog koji je uspostavljen pravom Europske unije. To može ponajprije uključivati izmjene ili promjene okvira za zaštitu podataka procijenjenog u ovoj Odluci, kao i druge relevantne promjene.

(173)

Stoga je primjereno osigurati da se ova Odluka primjenjuje u razdoblju od četiri godine od njezina stupanja na snagu.

(174)

Ako se određenim informacijama koje proizlaze iz praćenja primjene ove Odluke otkrije da su zaključci koji se odnose na primjerenost razine zaštite osigurane u Ujedinjenoj Kraljevini i dalje činjenično i pravno opravdani, Komisija bi trebala najkasnije šest mjeseci prije nego što se ova Odluka prestane primjenjivati pokrenuti postupak izmjene ove Odluke proširenjem vremenskog okvira primjene, u načelu, na dodatno razdoblje od četiri godine. Svaki takav provedbeni akt o izmjeni ove Odluke treba se donijeti u skladu s postupkom iz članka 58. stavka 2. Direktive (EU) 2016/680.

(175)

Europski odbor za zaštitu podataka objavio je svoje mišljenje (271), koje je uzeto u obzir pri pripremi ove Odluke.

(176)

Mjere predviđene ovom Odlukom u skladu su s mišljenjem Odbora osnovanog na temelju članka 58. Direktive (EU) 2016/680.

(177)

U skladu s člankom 6.a Protokola br. 21 o stajalištu Ujedinjene Kraljevine i Irske s obzirom na područja slobode, sigurnosti i pravde, priloženog UEU-u i UFEU-u, Irsku ne obvezuju pravila utvrđena u Direktivi (EU) 2016/680, a stoga ni pravila u ovoj Provedbenoj odluci, koja se odnose na obradu osobnih podataka od strane država članica pri obavljanju djelatnosti koje su obuhvaćene područjem primjene dijela trećeg glave V. poglavlja 4. ili poglavlja 5. UFEU-a, a pritom Irsku ne obvezuju pravila koja uređuju oblike pravosudne suradnje u kaznenim stvarima ili policijske suradnje za koja se traži usklađenost s odredbama utvrđenima na temelju članka 16. UFEU-a. Nadalje, na temelju Provedbene odluke Vijeća (EU) 2020/1745 (272), Direktiva (EU) 2016/680 privremeno će se staviti na snagu i primjenjivati u Irskoj od 1. siječnja 2021. Irsku stoga ova Provedbena odluka obvezuje pod istim uvjetima koji se primjenjuju na primjenu Direktive (EU) 2016/680 u Irskoj kako je utvrđeno u Provedbenoj odluci (EU) 2020/1745 u pogledu schengenske pravne stečevine u kojoj Irska sudjeluje.

(178)

U skladu s člancima 2. i 2.a Protokola br. 22 o stajalištu Danske, priloženog Ugovoru o Europskoj uniji i Ugovoru o funkcioniranju Europske unije, Dansku ne obvezuju pravila utvrđena u Direktivi (EU) 2016/680, a stoga ni pravila u ovoj Provedbenoj odluci, niti ona podliježe njihovoj primjeni koja se odnosi na obradu osobnih podataka od strane država članica pri obavljanju djelatnosti koje su obuhvaćene područjem primjene dijela trećeg glave V. poglavlja 4. ili poglavlja 5. UFEU-a. Međutim, s obzirom na to da se Direktiva (EU) 2016/680 temelji na schengenskoj pravnoj stečevini, Danska je, u skladu s člankom 4. tog protokola, 26. listopada 2016. priopćila svoju odluku da će provesti Direktivu (EU) 2016/680. Danska je stoga u skladu s međunarodnim pravom obvezna provoditi ovu Provedbenu odluku.

(179)

Kad je riječ o Islandu i Norveškoj, ova Provedbena odluka predstavlja razvoj odredaba schengenske pravne stečevine, u smislu Sporazuma između Vijeća Europske Unije i Republike Islanda i Kraljevine Norveške o pridruživanju tih dviju država provedbi, primjeni i razvoju schengenske pravne stečevine (273).

(180)

Kad je riječ o Švicarskoj, ova Provedbena odluka predstavlja razvoj odredaba schengenske pravne stečevine, u smislu Sporazuma između Europske Unije, Europske zajednice i Švicarske Konfederacije o pridruživanju Švicarske Konfederacije provedbi, primjeni i razvoju schengenske pravne stečevine (274).

(181)

Kad je riječ o Lihtenštajnu, ova Provedbena odluka predstavlja razvoj odredaba schengenske pravne stečevine, u smislu Protokola između Europske unije, Europske zajednice, Švicarske Konfederacije i Kneževine Lihtenštajna o pristupanju Kneževine Lihtenštajna Sporazumu između Europske unije, Europske zajednice i Švicarske Konfederacije o pridruživanju Švicarske Konfederacije provedbi, primjeni i razvoju schengenske pravne stečevine (275),