(1)

Smernica Európskeho parlamentu a Rady (EÚ) 2016/680 stanovuje pravidlá prenosu osobných údajov z príslušných orgánov v Únii do tretích krajín a medzinárodných organizácií v rozsahu, v akom tieto prenosy spadajú do rozsahu jej pôsobnosti. Pravidlá týkajúce sa medzinárodných prenosov údajov príslušnými orgánmi sú stanovené v kapitole V smernice (EÚ) 2016/680, konkrétnejšie v článkoch 35 až 40. Hoci je pre účinnú spoluprácu v oblasti presadzovania práva nevyhnutný tok osobných údajov do krajín mimo Európskej únie a z nich, musí sa zaručiť, že takéto prenosy neohrozia úroveň ochrany, aká sa osobným údajom priznáva v Európskej únii (2).

(2)

Podľa článku 36 ods. 3 smernice (EÚ) 2016/680 môže Komisia prostredníctvom vykonávacieho aktu rozhodnúť, že tretia krajina, územie alebo jeden či viaceré určené sektory v tretej krajine alebo medzinárodná organizácia zaručujú primeranú úroveň ochrany. Za tejto podmienky sa prenos osobných údajov do tretej krajiny môže uskutočniť bez potreby získať akékoľvek ďalšie povolenie (s výnimkou prípadov, keď iný členský štát, od ktorého sa údaje získali, musí poskytnúť súhlas na prenos), ako sa stanovuje v článku 35 ods. 1 a odôvodnení 66 smernice (EÚ) 2016/680.

(3)

Ako sa uvádza v článku 36 ods. 2 smernice (EÚ) 2016/680, prijatie rozhodnutia o primeranosti musí vychádzať z komplexnej analýzy právneho poriadku tretej krajiny. Komisia musí v rámci svojho posúdenia určiť, či dotknutá tretia krajina zaručuje úroveň ochrany, ktorá v „zásade zodpovedá“ úrovni zabezpečenej v rámci Európskej únie [odôvodnenie 67 smernice (EÚ) 2016/680]. Štandard, voči ktorému sa posudzuje „zásadná rovnocennosť“, je štandard stanovený v právnych predpisoch EÚ, najmä v smernici (EÚ) 2016/680, ako aj v judikatúre Súdneho dvora Európskej únie (3). V tejto súvislosti má význam aj referenčné kritérium primeranosti Európskeho výboru pre ochranu údajov (4).

(4)

Ako objasnil Súdny dvor Európskej únie, nie je potrebné, aby bola zaistená rovnaká úroveň ochrany (5). Konkrétne prostriedky, ktoré dotknutá tretia krajina využíva na ochranu osobných údajov, sa môžu líšiť od prostriedkov využívaných v Európskej únii, pokiaľ sa v praxi preukáže, že sa nimi účinne zabezpečuje primeraná úroveň ochrany (6). V záujme dosiahnutia štandardu primeranosti teda nie je potrebné, aby pravidlá druhej krajiny do detailu zodpovedali pravidlám Únie. Namiesto toho sa skôr overuje, či príslušný zahraničný systém ako celok zabezpečuje prostredníctvom hmotnoprávnej úpravy práv na súkromie a ich účinného uplatňovania, vymáhania, ako aj dohľadu nad nimi, požadovanú úroveň ochrany (7).

(5)

Komisia dôkladne analyzovala príslušné právne predpisy a prax Spojeného kráľovstva (UK). Komisia na základe svojich zistení uvedených ďalej dospela k záveru, že Spojené kráľovstvo zabezpečuje primeranú úroveň ochrany osobných údajov prenášaných príslušnými orgánmi v Únii, ktoré patria do rozsahu pôsobnosti smernice (EÚ) 2016/680, príslušným orgánom v Spojenom kráľovstve, ktoré patria do rozsahu pôsobnosti časti 3 zákona o ochrane údajov z roku 2018 (DPA 2018) (8).

(6)

Toto rozhodnutie má za následok, že takéto prenosy sa môžu uskutočňovať bez potreby získať akékoľvek ďalšie povolenie počas obdobia štyroch rokov s výhradou možného obnovenia a bez toho, aby boli dotknuté podmienky stanovené v článku 35 smernice (EÚ) 2016/680.

(7)

Spojené kráľovstvo je parlamentnou demokraciou. Má suverénny parlament, ktorý je nadriadený všetkým ostatným vládnym inštitúciám, orgán výkonnej moci, ktorý je volený z členov parlamentu a ktorý sa tomuto parlamentu zodpovedá, a nezávislé súdnictvo. Výkonná moc vychádza zo spôsobilosti získať vyslovenie dôvery volenej Dolnej snemovne (House of Commons) a zodpovedá sa obom snemovniam parlamentu [Dolnej snemovne (House of Commons) a Snemovne Lordov (House of Lords)], ktoré sú zodpovedné za kontrolu vlády a za prerokúvanie a prijímanie zákonov. Parlament Spojeného kráľovstva preniesol zodpovednosť za prijímanie právnych predpisov o určitých vnútroštátnych záležitostiach v Škótsku, Walese a Severnom Írsku na škótsky parlament, waleský parlament (Senedd Cymru) a Zhromaždenie Severného Írska. Zatiaľ čo ochrana údajov je záležitosťou vyhradenou parlamentu Spojeného kráľovstva, t. j. rovnaké právne predpisy sa uplatňujú v celej krajine, iné oblasti politiky relevantné pre toto rozhodnutie sú prenesené. Napríklad systémy trestnej justície vrátane policajnej činnosti (činnosti policajných zložiek) v Škótsku a Severnom Írsku sú prenesené na škótsky parlament a Zhromaždenie Severného Írska (Northern Ireland Assembly) (9).

(8)

Hoci Spojené kráľovstvo nemá kodifikovanú ústavu v zmysle zakotveného ústavného dokumentu, jeho ústavné zásady sa ustálili postupne, vychádzajúc z judikatúry a zvyklostí. Ústavná hodnota niektorých zákonov, ako napríklad Magna Carta, Listina práv z roku 1689 a zákon o ľudských právach z roku 1998 sú uznávanými zdrojmi práva. Základné práva jednotlivcov sa formovali ako súčasť ústavy prostredníctvom common law, právnych predpisov a medzinárodných dohovorov, najmä Európskeho dohovoru o ľudských právach (EDĽP), ktorý Spojené kráľovstvo ratifikovalo v roku 1951. Spojené kráľovstvo v roku 1987 ratifikovalo aj Dohovor Rady Európy o ochrane jednotlivcov pri automatizovanom spracovaní osobných údajov (dohovor č. 108) (10).

(9)

Zákon o ľudských právach z roku 1998 začleňuje práva obsiahnuté v EDĽP do práva Spojeného kráľovstva. Zákon zaručuje každému jednotlivcovi základné práva a slobody stanovené v článkoch 2 až 12 a 14 EDĽP a v článkoch 1 až 3 jeho prvého protokolu a v článku 1 jeho trinásteho protokolu v spojení s článkami 16 až 18 EDĽP. Patrí sem právo na rešpektovanie súkromného a rodinného života, ktoré zase zahŕňa právo na ochranu údajov a právo na spravodlivý proces (11). Najmä v súlade s článkom 8 EDĽP môže štátny orgán do výkonu práva na súkromie zasahovať len v prípadoch, keď je to v súlade so zákonom a nevyhnutné v demokratickej spoločnosti v záujme národnej bezpečnosti, verejnej bezpečnosti, hospodárskeho blahobytu krajiny, predchádzania nepokojom a zločinnosti, ochrany zdravia alebo morálky alebo ochrany práv a slobôd iných.

(10)

V súlade so zákonom o ľudských právach z roku 1998 musí byť každá činnosť orgánov verejnej moci zlučiteľná s právami zaručenými EDĽP (12). Okrem toho je potrebné, aby sa primárne a podriadené právne predpisy interpretovali a uplatňovali spôsobom, ktorý je zlučiteľný s týmito právami (13). Pokiaľ sa jednotlivec domnieva, že orgány verejnej moci porušili jeho práva vrátane práva na súkromie a ochranu údajov, môže získať nápravu na súdoch Spojeného kráľovstva podľa zákona o ľudských právach z roku 1998 a prípadne po vyčerpaní vnútroštátnych prostriedkov nápravy môže získať nápravu na Európskom súde pre ľudské práva za porušenie práv zaručených podľa EDĽP.

(11)

Spojené kráľovstvo vystúpilo z Únie 31. januára 2020. Na základe Dohody o vystúpení Spojeného kráľovstva Veľkej Británie a Severného Írska z Európskej únie a z Európskeho spoločenstva pre atómovú energiu (14) sa právo Únie naďalej uplatňovalo v Spojenom kráľovstve počas prechodného obdobia do 31. decembra 2020. Pred vystúpením a počas prechodného obdobia právny rámec na ochranu osobných údajov v Spojenom kráľovstve, ktorým sa upravuje spracúvanie osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií vrátane ochrany pred ohrozením verejnej bezpečnosti a predchádzania takémuto ohrozeniu, pozostával z príslušných častí zákona o ochrane údajov z roku 2018, ktorým sa transponovala smernica (EÚ) 2016/680.

(12)

S cieľom pripraviť sa na vystúpenie z EÚ vláda Spojeného kráľovstva prijala zákon o vystúpení z Európskej únie (ďalej len „zákon o vystúpení“) z roku 2018 (15), ktorým sa priamo uplatniteľné právne predpisy Únie začlenili do práva Spojeného kráľovstva a v ktorom sa stanovilo, že takzvané „vnútroštátne právne predpisy odvodené od EÚ“ budú naďalej platiť aj po skončení prechodného obdobia. Časť 3 zákona o ochrane údajov z roku 2018 (16), ktorou sa transponuje smernica (EÚ) 2016/680, predstavuje podľa zákona o vystúpení „vnútroštátne právne predpisy odvodené od EÚ“. V súlade so zákonom o vystúpení musia súdy Spojeného kráľovstva vykladať nezmenené „vnútroštátne právne predpisy odvodené od EÚ“ v súlade s príslušnou judikatúrou Súdneho dvora Európskej únie (ďalej len „Súdny dvor“) a všeobecnými zásadami práva Únie tak, ako boli účinné bezprostredne pred skončením prechodného obdobia (ďalej len „ponechaná judikatúra EÚ“, resp. „ponechané všeobecné zásady práva EÚ“) (17).

(13)

Podľa zákona o vystúpení majú ministri Spojeného kráľovstva právomoc prostredníctvom štatutárnych nástrojov zaviesť sekundárne právne predpisy s cieľom zaviesť potrebné úpravy ponechaného práva EÚ, ktoré vyplývajú z vystúpenia Spojeného kráľovstva z Únie. Výsledkom uplatnenia tejto právomoci sú právne predpisy o ochrane údajov, súkromia a elektronických komunikáciách v dôsledku vystúpenia z EÚ z roku 2019 (právne predpisy DPPEC) (18). Menia sa nimi právne predpisy Spojeného kráľovstva o ochrane údajov vrátane zákona o ochrane údajov z roku 2018, aby zodpovedali vnútroštátnym okolnostiam (19).

(14)

V dôsledku toho sa právne štandardy týkajúce sa spracúvania osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií vrátane ochrany pred ohrozením verejnej bezpečnosti v Spojenom kráľovstve a predchádzania takémuto ohrozeniu po prechodnom období podľa dohody o vystúpení naďalej stanovujú v príslušných častiach zákona o ochrane údajov z roku 2018, ale zmeneného právnymi predpismi DPPEC, najmä v časti 3 uvedeného zákona. Všeobecné nariadenie Spojeného kráľovstva o ochrane údajov sa na tento typ spracúvania nevzťahuje.

(15)

V časti 3 zákona o ochrane údajov z roku 2018 sa stanovujú pravidlá spracúvania osobných údajov na účely presadzovania trestného práva vrátane zásad ochrany údajov, právnych dôvodov spracúvania (zákonnosť), práv dotknutých osôb, povinností príslušných orgánov ako prevádzkovateľov a obmedzení následných prenosov. Zároveň sú v častiach 5 a 6 zákona o ochrane údajov z roku 2018 stanovené pravidlá týkajúce sa dohľadu, presadzovania a nápravy uplatniteľné na sektor presadzovania práva.

(16)

Okrem toho vzhľadom na dôležitú úlohu, ktorú policajné zložky zohrávajú v oblasti presadzovania práva, by sa mali posúdiť pravidlá upravujúce policajnú činnosť. Keďže policajné právomoci boli prenesené na nižšie celky, policajnú činnosť v a) Anglicku a Walese, b) Škótsku a c) Severnom Írsku upravujú rôzne právne predpisy, ktoré sú však z hľadiska obsahu často podobné (20). Ďalšie objasnenia toho, ako by sa mali využívať policajné právomoci, poskytujú ďalej rôzne druhy usmerňovacích dokumentov. Existujú tri hlavné formy policajného usmernenia: 1. zákonné usmernenie, ktoré sa vydáva na základe právnych predpisov, ako je napr. etický kódex (Code of Ethics) (21) a kódex praxe správy policajných informácií (Code of Practice on the Management of Police Information) (22), ktoré boli vydané na základe policajného zákona z roku 1996 (23) alebo tzv. kódexy PACE (PACE codes) (24) vydané na základe zákona o polícii a dôkazoch v trestných veciach z roku 1984 (25), 2. autorizovaná profesijná prax správy policajných informácií (26) vydaná policajnou akadémiou College of Policing a 3. operatívne usmernenie vydané samotnou políciou. Národná rada policajných riaditeľov (The National Police Chiefs Council), ktorá je koordinačným orgánom pre všetky policajné zložky Spojeného kráľovstva, uverejňuje operačné usmernenie, ktoré schválili všetky policajné zložky a ktoré sa preto uplatňuje na celoštátnej úrovni (27). Cieľom tohto usmernenia je zabezpečiť medzi policajnými zložkami konzistentnosť v spôsobe správy informácií (28).

(17)

Kódex praxe správy policajných informácií vydal minister v roku 2005 na základe právomocí stanovených v § 39A zákona o polícii z roku 1996 (29). Každý kódex praxe vydaný podľa zákona o polícii musí byť odsúhlasený ministrom a predtým, ako sa predloží parlamentu, musí byť prekonzultovaný s Národnou kriminálnou agentúrou. V § 39A ods. 7 zákona o polícii sa vyžaduje, aby polícia náležite zohľadnila kódexy vydané podľa zákona, a preto sa od polície očakáva, že ich bude dodržiavať (30). Okrem toho usmernenie opierajúce sa o iný základ ako právny predpis (ako napr. autorizovaná profesijná prax správy policajných informácií) musí byť vždy v súlade s Kódexom praxe správy policajných informácií, ktorý je mu nadradený (31). V každom prípade, hoci môžu nastať určité operačné situácie, keď sa príslušníci polície musia odchýliť od tohto usmernenia, stále sú povinní dodržiavať požiadavky uvedené v časti 3 zákona o ochrane údajov z roku 2018 (32).

(18)

Ďalšie usmernenie k právnym predpisom Spojeného kráľovstva o ochrane údajov pri spracúvaní v oblasti presadzovania práva poskytuje Komisár pre informácie (Information Commissioner – ICO) (33) (ďalšie podrobnosti o ICO sú uvedené v odôvodneniach (93) až (109)). Hoci nie je právne záväzné, v súdnom prípade by súdy boli povinné zohľadniť akékoľvek porušenie usmernenia, keďže má význam z hľadiska výkladu a ozrejmuje sa v ňom, ako Komisár pre informácie v praxi vykladá a presadzuje právne predpisy o ochrane údajov (34).

(19)

Napokon, ako sa uvádza v odôvodneniach (8) až (10), orgány Spojeného kráľovstva príslušné na presadzovanie práva musia zabezpečiť súlad s EDĽP a dohovorom č. 108.

(20)

Právny rámec upravujúci spracúvanie údajov orgánmi Spojeného kráľovstva príslušnými na presadzovanie trestného práva je preto svojou štruktúrou a hlavnými prvkami veľmi podobný tomu, ktorý sa uplatňuje v EÚ. To zahŕňa aj skutočnosť, že takýto rámec sa neopiera len o povinnosti stanovené vo vnútroštátnom práve, ktoré boli formované právom EÚ, ale aj o povinnosti zakotvené v medzinárodnom práve, najmä prostredníctvom pristúpenia Spojeného kráľovstva k EDĽP a dohovoru č. 108, ako aj o podriadenie tohto rámca pod právomoc Európskeho súdu pre ľudské práva. Tieto povinnosti vyplývajúce z právne záväzných medzinárodných nástrojov, najmä pokiaľ ide o ochranu osobných údajov, sú preto osobitne dôležitým prvkom právneho rámca posudzovaného v tomto rozhodnutí.

(21)

Vecná pôsobnosť časti 3 zákona o ochrane údajov z roku 2018 sa zhoduje s rozsahom pôsobnosti smernice (EÚ) 2016/680 v zmysle vymedzenia tohto rozsahu v jej článku 2 ods. 2 Časť 3 sa vzťahuje na spracúvanie osobných údajov zo strany príslušného orgánu vykonávané úplne alebo čiastočne automatizovanými prostriedkami a na spracúvanie zo strany príslušného orgánu inak než automatizovanými prostriedkami v prípade osobných údajov, ktoré tvoria súčasť informačného systému alebo sú určené na to, aby tvorili súčasť informačného systému.

(22)

Okrem toho, aby prevádzkovateľ patril do rozsahu pôsobnosti uvedenej časti 3, musí byť „príslušným orgánom“ a spracúvanie sa musí vykonávať na „účel presadzovania práva“. Z tohto dôvodu režim ochrany údajov, ktorý je predmetom tohto posúdenia v tomto rozhodnutia, sa vzťahuje na všetky činnosti v oblasti presadzovania práva týchto príslušných orgánov.

(23)

Pojem „príslušný orgán“ je vymedzený v § 30 zákona o ochrane údajov z roku 2018 ako osoba uvedená v prílohe 7 k zákonu o ochrane údajov z roku 2018, ako aj akákoľvek iná osoba v rozsahu, v akom má zákonné funkcie na ktorýkoľvek z účelov presadzovania práva. Medzi príslušné orgány uvedené v prílohe 7 patria nielen policajné zložky, ale aj všetky ministerské úrady Spojeného kráľovstva, ako aj ďalšie orgány s vyšetrovacími funkciami, napr. komisár daňového a colného úradu jej veličenstva (Commissioner for Her Majesty’s Revenue and Customs), waleský daňový úrad (Welsh Revenue Authority), orgán pre hospodársku súťaž a trhy (Competition and Markets Authority), kataster nehnuteľností jej veličenstva (Her Majesty’s Land Register) alebo Národná kriminálna agentúra (National Crime Agency), vyšetrovacie orgány, iné orgány s pôsobnosťou v oblasti trestnej justície a ďalšie subjekty alebo organizácie vykonávajúce činnosti v oblasti presadzovania práva (35). Časť 3 zákona o ochrane údajov z roku 2018 sa vzťahuje aj na súdy a tribunály pri výkone ich súdnych funkcií, s výnimkou časti týkajúcej sa práv dotknutých osôb a dohľadu Komisára pre informácie (36). Zoznam príslušných orgánov uvedený v prílohe 7 nie je konečný a minister ho môže aktualizovať právnym predpisom, aby zohľadnil zmeny v organizácii verejných úradov (37).

(24)

Príslušné spracúvanie sa okrem toho musí uskutočňovať na „účel presadzovania práva“, ktorý sa vymedzuje ako predchádzanie trestným činom, ich vyšetrovanie, odhaľovanie alebo stíhanie, resp. výkon trestných sankcií vrátane ochrany pred ohrozením verejnej bezpečnosti a predchádzania takémuto ohrozeniu (38). Časť 3 zákona o ochrane údajov z roku 2018 neupravuje spracúvanie zo strany príslušného orgánu, ak k nemu nedochádza na účely presadzovania práva. K tomu dochádza napríklad vtedy, keď orgán pre hospodársku súťaž a trhy (Competition and Markets Authority) vyšetruje prípady, ktoré nemajú charakter trestnej činnosti (napr. fúzie spoločností). V takom prípade sa bude uplatňovať všeobecné nariadenie Spojeného kráľovstva o ochrane údajov spolu s časťou 2 zákona o ochrane údajov z roku 2018, keďže spracúvanie osobných údajov príslušnými orgánmi sa vykonáva na iné účely ako na účely presadzovania práva. S cieľom určiť, ktorý režim ochrany údajov (časť 3 či časť 2 zákona o ochrane údajov z roku 2018) sa na príslušné spracúvanie predmetných osobných údajov uplatňuje, musí príslušný orgán (t. j. prevádzkovateľ) zvážiť, či je „primárnym účelom“ takéhoto spracúvania jeden z účelov presadzovania práva podľa zákona o ochrane údajov z roku 2018.

(25)

Pokiaľ ide o územnú pôsobnosť časti 3 zákona o ochrane údajov z roku 2018, v § 207 ods. 2 sa stanovuje, že zákon o ochrane údajov z roku 2018 sa vzťahuje na spracúvanie osobných údajov v súvislosti s činnosťami osoby, ktorá je usadená kdekoľvek na území Spojeného kráľovstva. To zahŕňa orgány verejnej moci na území Anglicka, Walesu, Škótska a Severného Írska, ktoré patria do vecnej pôsobnosti časti 3 zákona o ochrane údajov z roku 2018 (39).

(26)

Kľúčové pojmy osobných údajov a spracúvania sú vymedzené v oddiele 3 zákona o ochrane údajov z roku 2018 a uplatňujú sa v rámci celého tohto právneho predpisu. Toto vymedzenie pojmov sa dôsledne riadi zodpovedajúcimi vymedzeniami pojmov stanovenými v článku 3 smernice (EÚ) 2016/680. Podľa zákona o ochrane údajov z roku 2018 sú osobné údaje akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej žijúcej osoby (40). Podľa § 3 ods. 3 zákona o ochrane údajov z roku 2018 je fyzická osoba identifikovateľná, ak ju možno priamo alebo nepriamo identifikovať na základe informácií vrátane odkazu na meno alebo identifikátor, resp. odkazom na jeden alebo viacero faktorov špecifických pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu osoby. Pojem „spracúvanie“ je definovaný ako operácia alebo súbor operácií, ktoré sa vykonávajú v súvislosti s informáciami alebo súbormi informácií, ako je napr. a) získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie alebo uchovávanie; b) prepracúvanie alebo zmena; c) vyhľadávanie, prehliadanie alebo využívanie; d) poskytovanie prenosom, šírením alebo poskytovanie iným spôsobom; e) preskupovanie alebo kombinovanie, alebo f) obmedzenie, vymazanie alebo likvidácia. Okrem toho sa v tomto zákone vymedzuje „citlivé spracovanie“; ako a) spracúvanie osobných údajov odhaľujúcich rasový alebo etnický pôvod, politické názory, náboženské alebo filozofické presvedčenie alebo členstvo v odborových organizáciách; b) spracúvanie genetických údajov alebo biometrických údajov na účely jedinečnej identifikácie jednotlivca; c) spracúvanie údajov týkajúcich sa zdravia; d) spracúvanie údajov týkajúcich sa sexuálneho života alebo sexuálnej orientácie jednotlivca (41). V tejto súvislosti sa v § 205 zákona o ochrane údajov z roku 2018 uvádza vymedzenie pojmov „biometrické údaje“ (42), „údaje týkajúce sa zdravia“ (43) a „genetické údaje“ (44).

(27)

V § 32 zákona o ochrane údajov z roku 2018 sa objasňujú vymedzenia pojmov „prevádzkovateľ“ a „sprostredkovateľ“ v súvislosti so spracúvaním osobných údajov na účely presadzovania práva, pričom sa dôsledne dodržiavajú rovnocenné vymedzenia pojmov obsiahnuté v smernici (EÚ) 2016/680. Prevádzkovateľ je príslušný orgán, ktorý určuje účely a prostriedky spracúvania osobných údajov. Ak sa spracúvanie vyžaduje zo zákona, prevádzkovateľom je príslušný orgán, ktorému tento zákon ukladá takúto povinnosť. Sprostredkovateľ sa vymedzuje ako akákoľvek osoba, ktorá spracúva osobné údaje v mene prevádzkovateľa (iná ako osoba, ktorá je zamestnancom prevádzkovateľa).

(28)

Podľa § 35 zákona o ochrane údajov z roku 2018 musí byť spracúvanie osobných údajov zákonné a spravodlivé, podobne ako sa stanovuje v článku 4 ods. 1 písm. a) smernice (EÚ) 2016/680. Podľa § 35 ods. 2 zákona o ochrane údajov z roku 2018 je spracúvanie osobných údajov na ktorýkoľvek z účelov presadzovania práva zákonné len vtedy, ak je založené na zákone a dotknutá osoba vyjadrila súhlas so spracúvaním na tento účel, alebo ak je spracúvanie nevyhnutné na splnenie úlohy, ktorú na tento účel vykonáva príslušný orgán.

(29)

Podobne ako v článku 8 smernice (EÚ) 2016/680, aby sa zabezpečila zákonnosť spracúvania, na ktoré sa vzťahuje časť 3 zákona o ochrane údajov z roku 2018, takéto spracúvanie musí byť „na základe zákona“. „Zákonné“ spracovanie je povolené buď zákonom, common law alebo kráľovskými výsadami (45).

(30)

Právomoci príslušných orgánov sa vo všeobecnosti riadia právnymi predpismi, čo znamená, že ich funkcie a právomoci sú jasne stanovené v právnych predpisoch prijatých parlamentom (46). V určitých prípadoch sa polícia, ako aj iné príslušné orgány uvedené v prílohe 7 k zákonu o ochrane údajov z roku 2018 môžu pri spracúvaní údajov opierať o common law (47). Common law sa vytvorilo prostredníctvom precedensov vytvorených rozhodnutiami súdov. Common law je relevantné v súvislosti s právomocami, ktoré má polícia k dispozícii a ktorá z tohto prameňa práva odvodzuje svoju základnú povinnosť chrániť verejnosť odhaľovaním a predchádzaním trestnej činnosti (48). Policajné zložky však majú na výkon takejto povinnosti tak právomoci vyplývajúce z common law, ako aj zákonné právomoci (49). Ak má polícia zákonnú právomoc, nahrádza to akúkoľvek právomoc na základe common law (50).

(31)

Súdy uznali, že rozsah právomocí a povinností príslušníkov polície podľa common law zahŕňa všetky kroky, ktoré príslušník polície považuje za potrebné na udržanie mieru, predchádzanie trestnej činnosti alebo ochranu majetku pred ujmou vzniknutou v dôsledku trestného činu (51). Právomoci na základe common law nie sú neobmedzené právomoci. Vzťahujú sa na ne rôzne obmedzenia vrátane obmedzení stanovených súdmi (52) a právnymi predpismi, najmä zákonom o ľudských právach z roku 1998 a zákonom o rovnosti z roku 2010 (53). Okrem toho v prípade príslušných orgánov, ktoré spracúvajú údaje podľa časti 3 zákona o ochrane údajov z roku 2018, to zahŕňa uplatňovanie právomocí podľa common law v súlade s požiadavkami stanovenými v zákona o ochrane údajov z roku 2018 (54). Ďalej sa pri rozhodovaní o vykonaní akéhokoľvek druhu spracovania údajov musia zohľadniť požiadavky platných usmernení, ako je Kódex praxe správy policajných informácií, ako aj usmernenia špecifické pre príslušnú časť Spojeného kráľovstva (55). Vláda a operatívne zložky polície vydávajú viaceré usmerňujúce dokumenty s cieľom zabezpečiť, aby príslušníci polície uplatňovali svoje právomoci v rámci obmedzení stanovených v common law alebo príslušnom zákone (56).

(32)

Ďalšiu súčasť práva predstavujú kráľovské výsady, ktoré znamenajú určité právomoci zverené korune a uplatniteľné výkonnou mocou, ktoré však nie sú založené na právnom predpise, ale vyplývajú zo suverenity monarchu (57). Existuje len veľmi málo príkladov, v ktorých sú právomoci vyplývajúce z výsad relevantné v kontexte presadzovania práva. Zahŕňajú napríklad rámec vzájomnej právnej pomoci, ktorý umožňuje výmenu údajov medzi ministrom a tretími krajinami na účely presadzovania práva, pričom právomoc vymieňať si údaje týmto spôsobom nie je vždy stanovená v zákone (58). Kráľovské výsady sú viazané zásadami common law (59) a sú podriadené právnym predpisom, a preto podliehajú obmedzeniam stanoveným v zákone o ľudských právach z roku 1998 a zákone o ochrane údajov z roku 2018 (60).

(33)

Podobne ako v článku 8 smernice (EÚ) 2016/680 sa aj podľa režimu uplatňovaného v Spojenom kráľovstve vyžaduje, aby príslušné orgány v záujme dodržania zásady zákonnosti zabezpečili, že ak je spracúvanie založené na práve, zároveň musí byť „nevyhnutné“ na plnenie úlohy vykonávanej na účely presadzovania práva. Komisár pre informácie v tejto súvislosti poskytuje usmernenie objasňujúce, že musí ísť o cielený a primeraný spôsob dosiahnutia tohto cieľa. Zákonný základ sa neuplatní, ak môžete primerane dosiahnuť tento účel inými, menej rušivými prostriedkami. Nestačí tvrdiť, že spracovanie je nevyhnutné, pretože ste sa rozhodli vykonávať svoju činnosť určitým spôsobom. Otázkou je, či je spracúvanie nutné na uvedený účel (61).

(34)

Ako sa uvádza v odôvodnení (28), v § 35 ods. 2 zákona o ochrane údajov z roku 2018 sa stanovuje možnosť spracúvať osobné údaje na základe súhlasu fyzickej osoby.

(35)

Zdá sa však, že súhlas nie je právnym základom relevantným pre operácie spracúvania, ktoré patria do rozsahu pôsobnosti tohto rozhodnutia. Spracovateľské operácie, ktoré sú predmetom tohto rozhodnutia, sa v skutočnosti vždy budú týkať údajov, ktoré príslušný orgán členského štátu preniesol príslušnému orgánu Spojeného kráľovstva podľa smernice (EÚ) 2016/680. Preto zvyčajne nebudú zahŕňať druh priamej interakcie (získavania) medzi orgánom verejnej moci a dotknutými osobami, ktorý môže byť založený na súhlase podľa § 35 ods. 2 písm. a) zákona o ochrane údajov z roku 2018.

(36)

Hoci pre vykonanie posúdenia podľa tohto rozhodnutia sa využitie takéhoto súhlasu nepovažuje za relevantné, v záujme úplnosti je potrebné poznamenať, že v kontexte presadzovania práva sa spracúvanie nikdy nezakladá výlučne na súhlase, keďže príslušný orgán musí mať vždy základnú právomoc, ktorá mu umožňuje spracúvať údaje (62). Konkrétnejšie a podobne tomu, čo je umožnené v smernici (EÚ) 2016/680 (63), to znamená, že súhlas slúži ako dodatočná podmienka na umožnenie určitých obmedzených a špecifických spracovateľských operácií, ktoré by sa inak nemohli vykonať, ako je napr. odber a spracovanie vzorky DNA osoby, ktorá nie je podozrivá. V takom prípade by sa spracovanie nevykonalo, ak sa súhlas neudelí alebo sa odvolá (64).

(37)

V prípadoch, ktoré si vyžadujú súhlas jednotlivca, musí byť takýto súhlas jednoznačný a musí zahŕňať jasný potvrdzujúci úkon (65). Policajné zložky sú povinné disponovať oznámením o ochrane osobných údajov, kde sa okrem iného uvádzajú informácie o platnom využití súhlasu. Okrem toho niektoré policajné zložky uverejňujú dodatočné materiály o tom, ako dodržiavajú právne predpisy o ochrane údajov, vrátane toho, ako a kedy použijú súhlas ako právny základ (66).

(38)

Na spracúvanie „osobitných kategórií“ údajov by sa mali vzťahovať osobitné záruky. V tejto súvislosti sa podobne ako v článku 10 smernice (EÚ) 2016/680 stanovujú v časti 3 zákona o ochrane údajov z roku 2018 silnejšie záruky pre takzvané „citlivé spracovanie“ (67).

(39)

Podľa § 35 ods. 3 zákona o ochrane údajov z roku 1998 môžu príslušné orgány spracúvať citlivé údaje na účely presadzovania práva len v dvoch prípadoch: 1. ak dotknutá osoba vyjadrila súhlas so spracúvaním na účely presadzovania práva a v čase, keď sa spracúvanie uskutočňuje, uplatňuje prevádzkovateľ riadny dokument stanovujúci politiku spracúvania (68), alebo 2. ak je spracovanie nevyhnutne potrebné na účely presadzovania práva, spĺňa aspoň jednu z podmienok uvedených v prílohe 8 k zákonu o ochrane údajov z roku 2018 a v čase, keď sa spracúvanie uskutočňuje, uplatňuje prevádzkovateľ riadny dokument stanovujúci politiku spracúvania (69).

(40)

Pokiaľ ide o prvý prípad a ako je vysvetlené v odôvodnení 38, využitie súhlasu sa pri type prenosu, na ktorý sa vzťahuje toto rozhodnutie, nepovažuje za relevantné (70).

(41)

Ak sa spracúvanie citlivých údajov neopiera o súhlas, môže sa vykonať na základe jednej z podmienok uvedených v prílohe 8 k zákonu o ochrane údajov z roku 2018. Tieto podmienky sa týkajú spracúvania potrebného na zákonné účely, výkon spravodlivosti, ochranu zásadných záujmov dotknutej osoby či iného jednotlivca, ochranu detí a osôb vystavených riziku, právne nároky, súdne akty, predchádzanie podvodom, archiváciu, v prípadoch, keď ide o osobné údaje, ktoré dotknutá osoba preukázateľne zverejnila. Okrem prípadu, keď sú údaje zjavne zverejnené, podliehajú všetky podmienky stanovené v prílohe 8 k testu, že spracúvanie musí byť „nevyhnutne potrebné“. Ako ozrejmil Komisár pre informácie, „nevyhnutne potrebné“ v tejto súvislosti znamená, že spracúvanie musí súvisieť s naliehavou spoločenskou potrebou, ktorú nie je možné primerane uspokojiť menej rušivými prostriedkami (71). Okrem toho niektoré z týchto podmienok podliehajú dodatočným obmedzeniam. Napríklad na využitie podmienky „zákonných účelov“ a „podmienky ochrany“ (príloha 8, odsek 1 a odsek 4) je potrebné splniť dodatočné kritérium podstatného verejného záujmu. Okrem toho, pokiaľ ide o podmienky týkajúce sa ochrany dieťaťa (príloha 8, odsek 4), dotknutou osobou musí byť zároveň osoba určitého veku a musí sa považovať za ohrozenú osobu. Prevádzkovateľ môže navyše uplatniť podmienku stanovenú v odseku 4 prílohy 8 len v prípade osobitných okolností (72). Podobne existujú obmedzenia pre podmienky týkajúce sa „súdnych aktov“ a „predchádzania podvodom“ (príloha 8, odsek 7 a 8). Obe sa vzťahujú len na konkrétnych prevádzkovateľov. V prípade súdnych aktov môže takúto podmienku použiť len súd alebo iný súdny orgán a v prípade predchádzania podvodom sa o túto podmienku môžu oprieť len prevádzkovatelia, ktorí sú organizáciami na boj proti podvodom.

(42)

Napokon, ak sa spracúvanie opiera o jednu z podmienok uvedených v prílohe 8 a podľa § 42 ods. 4 zákona o ochrane údajov z roku 2018, musí sa uplatňovať „riadny dokument stanovujúci politiku spracúvania“, v ktorom sa vysvetlia postupy prevádzkovateľa na zabezpečenie dodržiavania zásad ochrany údajov a politiky prevádzkovateľa, pokiaľ ide o uchovávanie a vymazanie osobných údajov, pričom sa uplatňuje povinnosť viesť rozšírený záznam.

(43)

Osobné údaje by sa mali spracúvať na konkrétny účel a následne by sa mali používať len pokiaľ to nie je nezlučiteľné s daným účelom spracúvania. Túto zásadu ochrany údajov zaručuje § 36 zákona o ochrane údajov z roku 2018. V tomto ustanovení sa podobne ako v článku 4 ods. 1 písm. b) smernice (EÚ) 2016/680 vyžaduje, aby a) účel presadzovania práva, na ktorý sa osobné údaje zhromažďujú pri akejkoľvek príležitosti, bol konkrétne určený, výslovne uvedený a legitímny a že b) takto získané osobné údaje sa nesmú spracúvať spôsobom, ktorý nie je zlučiteľný s účelom, na ktorý boli získané.

(44)

Ak príslušné orgány spracúvajú údaje na účely presadzovania práva, môže to zahŕňať archiváciu, vedecký alebo historický výskum a štatistické účely (73). V týchto prípadoch sa v zákone o ochrane údajov z roku 2018 takisto objasňuje, že archivácia (alebo spracúvanie na účely vedeckého alebo historického výskumu a štatistiky) nie je povolená, ak sa vykonáva v súvislosti s rozhodnutiami prijatými vo vzťahu s konkrétnou dotknutou osobou alebo ak je pravdepodobné, že jej spôsobí značnú škodu alebo ťažkosti (74).

(45)

Údaje musia byť správne a podľa potreby aktualizované. Zároveň by mali byť primerané, relevantné a nie nadmerné vzhľadom na účely, na ktoré sa spracúvajú. Podobne ako v článku 4 ods. 1 písm. c), d) a e) smernice (EÚ) 2016/680 sú tieto zásady zabezpečené v § 37 a § 38 zákona o ochrane údajov z roku 2018. Musia sa prijať všetky primerané opatrenia na zabezpečenie toho, aby sa nesprávne (75) osobné údaje bezodkladne (76) vymazali alebo opravili so zreteľom na účel presadzovania práva, na ktorý sa spracúvajú (77), a aby sa zabezpečilo, že osobné údaje, ktoré sú nesprávne, neúplné alebo už nie sú aktuálne, sa neprenášajú ani neposkytujú na žiadne z účelov presadzovania práva (78).

(46)

Okrem toho sa podobne ako v článku 7 smernice (EÚ) 2016/680 aj v rámci režimu ochrany údajov v Spojenom kráľovstve stanovuje, že osobné údaje založené na skutočnostiach musia byť v čo najväčšej možnej miere rozlíšené od osobných údajov založených na osobných hodnoteniach (79). Ak je to relevantné a pokiaľ je to možné, treba jasne rozlišovať medzi osobnými údajmi týkajúcimi sa rôznych kategórií dotknutých osôb, ako sú napr. podozrivé osoby, osoby odsúdené za trestný čin, obete trestného činu a svedkovia (80).

(47)

Podľa článku 5 smernice (EÚ) 2016/680 by sa údaje v zásade nemali uchovávať dlhšie, ako je potrebné na účely, na ktoré sa osobné údaje spracúvajú. Podľa § 39 zákona o ochrane údajov z roku 2018 a podobne ako v článku 5 uvedenej smernice je zakázané uchovávať osobné údaje spracúvané na ktorýkoľvek z účelov presadzovania práva dlhšie, ako je nevyhnutné v súvislosti s účelom, na ktorý sa spracúvajú. V rámci právneho režimu Spojeného kráľovstva sa vyžaduje, aby sa stanovili primerané lehoty na pravidelné preskúmanie potreby ďalšieho uchovávania osobných údajov na akékoľvek účely presadzovania práva. Ďalšie pravidlá týkajúce sa postupov uchovávania osobných údajov a uplatniteľné lehoty boli stanovené v príslušných právnych predpisoch a usmerneniach upravujúcich právomoci a fungovanie polície. Napríklad v Anglicku a Walese vytvára Kódex praxe správy policajných informácií vypracovaný policajnou akadémiou College of Policing spolu s usmernením o autorizovanej profesijnej praxi správy policajných informácií rámec na zabezpečenie konzistentného procesu uchovávania, preskúmania a likvidácie informácií o operačnej policajnej činnosti založeného na riziku (81). Tento rámec stanovuje jasné štandardy v rámci celej služby, pokiaľ ide o spôsob, akým by sa v policajných zložkách a iných agentúrach mali informácie vytvárať, vymieňať, používať a spravovať, ako aj v rámci vzťahov medzi týmito zložkami a agentúrami (82). Od polície sa očakáva, že bude dodržiavať kódex praxe a toto dodržiavanie kontroluje inšpekčná služba jej veličenstva pre policajný, hasičský a záchranný zbor (Her Majesty’s Inspectorate of Constabulary and Fire & Rescue Services) (83).

(48)

Policajný zbor Severného Írska nie je zo zákona povinný dodržiavať Kódex praxe správy policajných informácií. Rámec Kódexu praxe správy policajných informácií prijatý v roku 2011 je však doplnený o príručku Policajného zboru Severného Írska (84), v ktorej sa stanovujú politiky a postupy týkajúce sa spôsobu, akým sa tento Kódex uplatňuje v Severnom Írsku.

(49)

V Škótsku policajné zložky vychádzajú zoštandardného operačný postupu uchovávania záznamov (SOP) (85), ktorý je podporený politikou riadenia záznamov škótskej polície (86). V tomto štandardnom operačnom postupe sa stanovujú osobitné pravidlá uchovávania záznamov, ktorými disponuje škótska polícia.

(50)

Okrem zastrešujúcej požiadavky na preskúmanie záznamov, ktorá sa uplatňuje v celom Spojenom kráľovstve, sa v lokálnych pravidlách uvádzajú ďalšie podrobnosti. Ako príklad možno uviesť, že pokiaľ ide o Anglicko a Wales, zákon o polícii a dôkazoch v trestných veciach zmenený zákonom o ochrane slobody z roku 2012 stanovuje uchovávanie odtlačkov prstov a profilov DNA, ako aj osobitný režim pre osoby, ktoré neboli odsúdené (87). Zákonom o ochrane slobody z roku 2012 sa okrem iného vytvorila aj funkcia komisára pre uchovávanie a používanie biometrického materiálu (ďalej len „Komisár pre biometriu“) (88). Osobitné pravidlá týkajúce sa podôb tváre vyhotovených pri zadržaní sú stanovené v materiáli o preskúmaní uchovávania týchto podôb tváre z roku 2017 (89). Pokiaľ ide o Škótsko, trestný poriadok (Škótsko) z roku 1995 stanovuje pravidlá získavania a uchovávania odtlačkov prstov a biologických vzoriek (90). Rovnako ako v prípade Anglicka a Walesu, aj v Škótsku právne predpisy upravujú uchovávanie biometrických údajov v rôznych prípadoch (91).

(51)

Osobné údaje sa musia spracúvať spôsobom, ktorým sa zaistí ich bezpečnosť vrátane ochrany pred neoprávneným alebo nezákonným spracúvaním a náhodnou stratou, zničením alebo poškodením. Na tento účel orgány verejnej moci prijmú vhodné technické alebo organizačné opatrenia na ochranu osobných údajov pred možnými hrozbami. Tieto opatrenia sa musia posudzovať s prihliadnutím na stav techniky a súvisiace náklady.

(52)

Tieto zásady sú premietnuté do § 40 zákona o ochrane údajov z roku 2018, podľa ktorého sa podobne, ako sa stanovuje v článku 4 ods. 1 písm. f) smernice (EÚ) 2016/680, osobné údaje spracúvané na akékoľvek účely presadzovania práva musia spracúvať spôsobom, ktorým sa zabezpečí primeraná bezpečnosť osobných údajov, a to prostredníctvom primeraných technických alebo organizačných opatrení. To zahŕňa ochranu údajov pred neoprávneným alebo nezákonným spracúvaním a pred náhodnou stratou, zničením alebo poškodením (92). V § 66 zákona o ochrane údajov z roku 2018 sa ďalej uvádza, že každý prevádzkovateľ a každý sprostredkovateľ musí prijať primerané technické a organizačné opatrenia na zaistenie úrovne bezpečnosti primeranej rizikám vyplývajúcim zo spracúvania osobných údajov. Podľa dôvodovej správy musí prevádzkovateľ vyhodnotiť riziká a na základe tohto hodnotenia zaviesť vhodné bezpečnostné opatrenia, napríklad šifrovanie alebo osobitné úrovne bezpečnostnej previerky pre zamestnancov, ktorí spracúvajú údaje (93). Pri hodnotení sa musí zohľadniť napríklad povaha spracúvaných údajov a akékoľvek iné relevantné faktory alebo okolnosti, ktoré by mohli ovplyvniť bezpečnosť spracúvania.

(53)

Režim, ktorým sa riadi dodržiavanie zásad bezpečnosti údajov, je veľmi podobný režimu stanovenému v článkoch 29 až 31 smernice (EÚ) 2016/680. Prevádzkovateľ je predovšetkým v prípade porušenia ochrany osobných údajov, za ktoré je zodpovedný, povinný podľa § 67 ods. 1 zákona o ochrane údajov z roku 2018 bez zbytočného odkladu a podľa možnosti do 72 hodín od zistenia porušenia oznámiť porušenie ochrany osobných údajov Komisárovi pre informácie (94). Oznamovacia povinnosť sa neuplatňuje, ak je nepravdepodobné, že porušenie ochrany osobných údajov povedie k ohrozeniu práv a slobôd fyzických osôb (95). Prevádzkovateľ musí zdokumentovať skutočnosti týkajúce sa každého porušenia ochrany osobných údajov, jeho účinkov a prijatých nápravných opatrení spôsobom, ktorý umožní Komisárovi pre informácie overiť súlad so zákonom o ochrane údajov z roku 2018 (96). Ak sa sprostredkovateľ dozvie o narušení bezpečnosti, musí to bez zbytočného odkladu oznámiť prevádzkovateľovi (97).

(54)

Podľa § 68 ods. 1 zákona o ochrane údajov z roku 2018, ak porušenie ochrany osobných údajov pravdepodobne predstavuje vysoké riziko pre práva a slobody fyzických osôb, prevádzkovateľ bez zbytočného odkladu informuje dotknutú osobu o porušení (98). Oznámenie musí obsahovať rovnaké informácie ako oznámenie Komisárovi pre informácie opísané v odôvodnení(53). Táto povinnosť neplatí, ak prevádzkovateľ zaviedol primerané technické a organizačné ochranné opatrenia, ktoré sa uplatnili na osobné údaje, ktorých sa porušenie týka. Takisto neplatí, ak prevádzkovateľ prijal následné opatrenia, ktorými sa zabezpečí, že vysoké riziko pre práva a slobody dotknutých osôb pravdepodobne už nebude mať dôsledky. Prevádzkovateľ napokon nie je povinný informovať dotknutú osobu, ak by si to vyžadovalo neprimerané úsilie (99). V takom prípade musia byť informácie sprístupnené dotknutej osobe iným rovnako účinným spôsobom, napríklad prostredníctvom verejného prenosu (100). Ak prevádzkovateľ neinformoval dotknutú osobu o porušení, Komisár pre informácie môže po tom, ako bol informovaný podľa § 67 zákona o ochrane údajov z roku 2018 a po zvážení toho, či je pravdepodobné, že toto porušenie povedie k vysokému riziku , požiadať prevádzkovateľa, aby ju o porušení informoval (101).

(55)

Dotknuté osoby musia byť informované o hlavných znakoch spracúvania ich osobných údajov. Táto zásada ochrany údajov sa odráža v § 44 zákona o ochrane údajov z roku 2018, v ktorom sa podobne ako v článku 13 smernice (EÚ) 2016/680 stanovuje, že prevádzkovateľ má všeobecnú povinnosť sprístupniť dotknutým osobám informácie o spracúvaní ich osobných údajov (či už všeobecným sprístupnením informácií verejnosti alebo akýmkoľvek iným spôsobom) (102). Informácie, ktoré sa majú sprístupniť, zahŕňajú a) totožnosť a kontaktné údaje prevádzkovateľa, b) v príslušných prípadoch kontaktné údaje zodpovednej osoby, c) účely, na ktoré prevádzkovateľ spracúva osobné údaje, d) informáciu o existencii práv dotknutých osôb požadovať od prevádzkovateľa prístup k osobným údajom, opravu osobných údajov a vymazanie osobných údajov, resp. obmedzenie ich spracúvania a e) informáciu o existencii práva podať sťažnosť Komisárovi pre informácie a kontaktné údaje komisára (103).

(56)

Prevádzkovateľ musí zároveň v osobitných prípadoch na účely umožnenia výkonu práv dotknutej osoby podľa zákona o ochrane údajov z roku 2018 (napríklad keď sa spracúvané osobné údaje získali bez vedomia dotknutej osoby) poskytnúť dotknutej osobe informácie o a) právnom základe pre spracúvanie; b) informácie o období uchovávania osobných údajov alebo, ak to nie je možné, o kritériách na určenie tohto obdobia; c) prípadne informácie o kategóriách príjemcov osobných údajov (vrátane príjemcov v tretích krajinách alebo medzinárodných organizáciách); d) ďalšie informácie, ktoré sú potrebné na uplatnenie práv dotknutej osoby podľa časti 3 zákona o ochrane údajov z roku 2018 (104).

(57)

Dotknutým osobám sa musí poskytnúť niekoľko vymáhateľných práv. V časti 3 kapitoly 3 zákona o ochrane údajov z roku 2018 sa fyzickým osobám poskytujú práva na prístup, opravu, vymazanie a obmedzenie (105), ktoré sú porovnateľné s právami stanovenými v kapitole 3 smernice (EÚ) 2016/680.

(58)

Právo na prístup je stanovené v § 45 zákona o ochrane údajov z roku 2018. Po prvé, jednotlivec má právo získať od prevádzkovateľa potvrdenie, či sa jeho osobné údaje spracúvajú alebo nie (106). Po druhé, ak sa osobné údaje spracúvajú, dotknutá osoba má právo na prístup k týmto údajom a na získanie týchto informácií o spracúvaní: a) účely a právne základy spracúvania; b) kategórie dotknutých údajov; c) príjemca, ktorému boli údaje poskytnuté; d) obdobie, počas ktorého sa osobné údaje budú uchovávať; e) existencia práva dotknutej osoby na opravu a vymazanie osobných údajov; f) právo podať sťažnosť a g) akékoľvek informácie o pôvode príslušných osobných údajov (107).

(59)

Podľa § 46 zákona o ochrane údajov z roku 2018 má dotknutá osoba právo požadovať od prevádzkovateľa opravu nesprávnych osobných údajov, ktoré sa jej týkajú. Prevádzkovateľ musí údaje bez zbytočného odkladu opraviť (resp. v prípade, že sú nesprávne z dôvodu ich neúplnosti, tieto údaje doplniť). Ak sa osobné údaje musia uchovávať na účely dokazovania, prevádzkovateľ musí (namiesto opravy osobných údajov) obmedziť ich spracovanie (108).

(60)

V § 47 zákona o ochrane údajov z roku 2018 sa poskytuje fyzickým osobám právo na vymazanie a obmedzenie spracúvania. Prevádzkovateľ musí (109) vymazať osobné údaje bez zbytočného odkladu, ak by spracúvanie osobných údajov porušilo niektorú zo zásad ochrany údajov, právne dôvody spracúvania alebo záruky týkajúce sa archivácie a citlivého spracúvania. Prevádzkovateľ musí takisto vymazať údaje, ak má právnu povinnosť tak urobiť. Ak sa osobné údaje musia uchovávať na účely dokazovania, prevádzkovateľ musí (namiesto vymazania osobných údajov) obmedziť ich spracúvanie (110). Prevádzkovateľ musí obmedziť spracovanie osobných údajov, ak dotknutá osoba spochybňuje správnosť osobných údajov, ale nie je možné zistiť, či sú tieto údaje správne alebo nie (111).

(61)

Ak dotknutá osoba požiada o opravu alebo vymazanie osobných údajov alebo obmedzenie ich spracúvania, prevádzkovateľ musí dotknutú osobu písomne informovať o tom, či bola žiadosť schválená, a ak bola zamietnutá, informovať dotknutú osobu o dôvodoch zamietnutia a dostupných prostriedkoch nápravy (právo dotknutej osoby požiadať Komisára pre informácie o preskúmanie, či sa obmedzenie uplatnilo zákonným spôsobom, právo podať sťažnosť Komisárovi pre informácie a právo požiadať súd o príkaz na zabezpečenie súladu) (112).

(62)

Ak prevádzkovateľ opravuje osobné údaje získané od iného príslušného orgánu, musí to oznámiť druhému orgánu (113). Ak prevádzkovateľ opravuje alebo vymazáva osobné údaje alebo obmedzuje spracúvanie osobných údajov, ktoré poskytol, musí to oznámiť príjemcom a príjemcovia musia podobne opraviť alebo vymazať osobné údaje alebo obmedziť spracovanie osobných údajov (pokiaľ za ne nesú zodpovednosť) (114).

(63)

Okrem toho má dotknutá osoba právo byť bez zbytočného odkladu informovaná prevádzkovateľom o porušení ochrany osobných údajov, ak je pravdepodobné, že to povedie k vysokému riziku pre práva a slobody fyzických osôb (115).

(64)

V súvislosti so všetkými týmito právami dotknutej osoby a podobne, ako sa stanovuje v článku 12 smernice (EÚ) 2016/680, má prevádzkovateľ povinnosť zabezpečiť, aby sa všetky informácie dotknutej osobe poskytovali v stručnej, zrozumiteľnej a ľahko dostupnej forme (116), a ak je to možné, mali by sa poskytovať v rovnakej forme, v akej bola podaná žiadosť (117). Prevádzkovateľ musí vyhovieť žiadosti dotknutej osoby bez zbytočného odkladu alebo v každom prípade pred uplynutím lehoty jedného mesiaca od podania žiadosti (118). Ak má prevádzkovateľ odôvodnené pochybnosti o totožnosti jednotlivca, môže požiadať o dodatočné informácie a odložiť vybavenie žiadosti dovtedy, kým sa nezistí totožnosť. Prevádzkovateľ môže požadovať primeraný poplatok alebo odmietnuť konať, ak považuje žiadosť za zjavne neopodstatnenú (119). Komisár pre informácie poskytol usmernenie o tom, kedy sa žiadosť považuje za zjavne neopodstatnenú alebo neprimeranú a kedy možno požadovať poplatok (120).

(65)

Okrem toho môže podľa § 53 ods. 4 zákona o ochrane údajov z roku 2018 minister prostredníctvom právnych predpisov stanoviť maximálnu výšku poplatku.

(66)

Príslušný orgán môže za určitých okolností obmedziť určité práva dotknutej osoby: právo na prístup k informáciám (121), právo byť informovaný (122), právo byť informovaný o porušení ochrany osobných údajov (123) a právo byť informovaný o dôvode zamietnutia žiadosti o opravu alebo vymazanie (124). Podobne ako v prípade režimu uvedeného v kapitole III smernice (EÚ) 2016/680 môže príslušný orgán uplatniť obmedzenie len vtedy, ak je toto obmedzenie vzhľadom na základné práva a oprávnené záujmy dotknutej osoby nevyhnutné a primerané s cieľom: a) zabrániť mareniu úradného alebo súdneho zisťovania, vyšetrovania alebo konania; b) zabrániť ohrozovaniu predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo výkonu trestných sankcií, c) chrániť verejnú bezpečnosť, d) chrániť národnú bezpečnosť, e) chrániť práva a slobody iných.

(67)

Komisár pre informácie poskytol usmernenie týkajúce sa uplatňovania týchto obmedzení. Podľa tohto usmernenia musia prevádzkovatelia vykonať analýzu jednotlivých prípadov s cieľom vyvážiť práva jednotlivca a škodu, ktorú by spôsobilo poskytnutie údajov. Predovšetkým musia odôvodniť akékoľvek obmedzenie, ktoré sa uplatňuje ako nevyhnutné a primerané, a môžu obmedziť to, čo sa poskytuje, len ak by to ohrozilo vyššie uvedené účely (125).

(68)

Existuje aj niekoľko ďalších usmernení vydaných príslušnými orgánmi, ktoré poskytujú podrobné informácie o všetkých aspektoch právnych predpisov o ochrane údajov vrátane uplatňovania obmedzení práv dotknutých osôb (126). Napríklad v súvislosti s § 45 ods. 4 sa v Príručke na ochranu údajov Národnej rady policajných riaditeľov uvádza: „Je dôležité poznamenať, že obmedzenia sa môžu uplatňovať len v nevyhnutnom rozsahu a môžu sa uplatňovať len tak dlho, ako je to potrebné. V dôsledku toho nie je povolené paušálne uplatňovanie obmedzenia na všetky osobné údaje žiadateľa ani trvalé uplatňovanie obmedzenia. Pokiaľ ide o druhý bod, často platí, že osobné údaje získané bez vedomia dotknutej osoby, ktorá je podozrivá v rámci vyšetrovania, musia byť spočiatku chránené pred ich sprístupnením tejto podozrivej osobe, aby sa predišlo ohrozeniu vyšetrovania počas jeho realizácie, avšak v neskoršom momente by ich poskytnutím nemalo dôjsť k ujme, ak sa tieto osobné údaje jednotlivcovi poskytnú počas vypočúvania. Policajné zložky musia prijať postupy, ktoré zabezpečia uplatňovanie týchto obmedzení len v požadovanom rozsahu a len na nevyhnutné obdobie“ (127). V tomto usmernení sa uvádzajú aj príklady, kedy sa príslušné obmedzenie pravdepodobne uplatní (128).

(69)

Okrem toho, pokiaľ ide o možnosť obmedziť akékoľvek z uvedených práv v záujme ochrany „národnej bezpečnosti“, prevádzkovateľ môže požiadať o osvedčenie podpísané ministrom vlády alebo generálnym prokurátorom (resp. generálnym advokátom pre Škótsko), v ktorom sa potvrdzuje, že obmedzenie takýchto práv je nevyhnutným a primeraným opatrením na ochranu národnej bezpečnosti (129). Vláda Spojeného kráľovstva vydala usmernenie k osvedčeniam o záujme národnej bezpečnosti vydávaným podľa zákona o ochrane údajov z roku 2018, v ktorom sa predovšetkým zdôrazňuje, že akékoľvek obmedzenie práv dotknutých osôb na zaistenie národnej bezpečnosti musí byť primerané a nevyhnutné (130) (ďalšie informácie o osvedčeniach o záujme národnej bezpečnosti pozri v odôvodneniach 131 až 134).

(70)

Okrem toho, ak sa uplatňuje obmedzenie práva dotknutej osoby, príslušný orgán ju musí bez zbytočného odkladu informovať o tom, že jej práva boli obmedzené, o dôvodoch obmedzenia a o dostupných možnostiach nápravy, okrem prípadov, keď by poskytnutie týchto informácií ohrozilo dôvod na uplatnenie obmedzenia (131). V záujme ďalšej ochrany pred zneužitím obmedzení musí prevádzkovateľ zaznamenať dôvody obmedzenia práva na informácie a na požiadanie ho sprístupniť Komisárovi pre informácie (132).

(71)

Ak prevádzkovateľ odmietne poskytnúť dodatočné informácie v záujme transparentnosti, resp. prístup, alebo zamietne žiadosť o opravu, vymazanie alebo obmedzenie spracúvania, jednotlivec môže požiadať Komisára pre informácie, aby preskúmal, či prevádzkovateľ využil obmedzenie zákonne (133). Tento jednotlivec môže Komisárovi pre informácie podať sťažnosť, alebo požiadať súd, aby prevádzkovateľovi nariadil vyhovieť žiadosti (134).

(72)

Ustanovenia § 49 a § 50 zákona o ochrane údajov z roku 2018 upravujú práva súvisiace s automatizovaným rozhodovaním a záruky, ktoré sa majú uplatňovať (135). Podobne ako v článku 11 smernice (EÚ) 2016/680 sa ustanovuje, že prevádzkovateľ môže prijať významné rozhodnutie výlučne na základe automatizovaného spracovania osobných údajov len vtedy, ak ho vyžaduje alebo povoľuje zákon (136). Rozhodnutie je významné, ak by malo nepriaznivý právny účinok na dotknutú osobu alebo ak by ju významne ovplyvnilo (137).

(73)

Ak je prevádzkovateľ podľa zákona povinný alebo oprávnený prijať významné rozhodnutie, v § 50 zákona o ochrane údajov z roku 2018 sa stanovujú záruky, ktoré sa budú uplatňovať na takéto rozhodnutie (ktoré sa vymedzuje ako „kvalifikované významné rozhodnutie“). Prevádzkovateľ musí prijatie takéhoto rozhodnutia čo najskôr oznámiť dotknutej osobe. Dotknutá osoba môže potom do jedného mesiaca požiadať prevádzkovateľa, aby prehodnotil rozhodnutie alebo aby prijal nové rozhodnutie, ktoré nie je založené výlučne na automatizovanom spracovaní. Prevádzkovateľ musí žiadosť posúdiť a informovať dotknutú osobu o výsledku tohto posúdenia. Zákon o ochrane údajov z roku 2018 udeľuje ministrovi právomoc prijať právne predpisy o dodatočných zárukách (138). Zatiaľ neboli prijaté žiadne takéto právne predpisy.

(74)

Úroveň ochrany osobných údajov prenášaných orgánom presadzovania práva členského štátu orgánu presadzovania práva Spojeného kráľovstva nesmie byť oslabená ďalším prenosom takýchto údajov príjemcom v tretej krajine. Takéto „následné prenosy“, ktoré z hľadiska orgánu presadzovania práva Spojeného kráľovstva predstavujú medzinárodné prenosy zo Spojeného kráľovstva, by sa mali povoliť len v prípade, že ďalší príjemca mimo Spojeného kráľovstva takisto podlieha pravidlám zabezpečujúcim podobnú úroveň ochrany, aká je zaručená v právnom poriadku Spojeného kráľovstva.

(75)

Režim Spojeného kráľovstva týkajúci sa medzinárodných prenosov upravuje kapitola 5 časti 3 zákona o ochrane údajov z roku 2018 (139) a odráža prístup zaujatý v kapitole V smernice (EÚ) 2016/680. Na prenos osobných údajov do tretej krajiny musí príslušný orgán spĺňať najmä tri podmienky: a) prenos musí byť nevyhnutný na účely presadzovania práva; b) prenos musí byť založený na: i) právnom predpise o primeranosti prijatom v súvislosti s touto treťou krajinou, ii) ak nie je založený na právnom predpise o primeranosti, musia existovať primerané záruky, resp. iii) ak nie je založený na právnom predpise o primeranosti alebo primeraných zárukách, musí byť založený na osobitných okolnostiach a c) príjemca prenosu musí byť: i) príslušný orgán (t. j. orgán rovnocenný príslušnému orgánu) v tretej krajine; ii) „príslušná medzinárodná organizácia“, napr. medzinárodná organizácia, ktorá vykonáva funkcie zodpovedajúce akémukoľvek účelu presadzovania práva, alebo iii) iný subjekt ako príslušný orgán, ale len ak je prenos nevyhnutne potrebný na plnenie niektorého z účelov presadzovania práva, neexistujú žiadne základné práva a slobody dotknutej osoby, ktoré by prevážili nad verejným záujmom, ktorý si vyžaduje prenos, prenos osobných údajov príslušnému orgánu v tretej krajine by bol neúčinný alebo nevhodný a príjemca je informovaný o účeloch, na ktoré sa údaje môžu spracúvať (140).

(76)

Právne predpisy o primeranosti týkajúce sa tretej krajiny, územia alebo sektora v tretej krajine, medzinárodnej organizácie alebo opis (141) takejto krajiny, územia, sektora alebo organizácie prijíma minister. Pokiaľ ide o štandard, ktorý treba dosiahnuť, je na posúdení ministra, či takéto územie, sektor alebo organizácia zabezpečujú primeranú úroveň ochrany osobných údajov. V oddiele 74A ods. 4 zákon o ochrane údajov z roku 2018 sa stanovuje, že minister musí na tento účel zvážiť niekoľko prvkov, ktoré odrážajú prvky uvedené v článku 36 smernice (EÚ) 2016/680 (142). V tejto súvislosti treba uviesť, že od skončenia prechodného obdobia predstavuje časť 3 zákona o ochrane údajov z roku 2018 „vnútroštátne právne predpisy odvodené od EÚ“, ktoré, ako už bolo vysvetlené, budú vykladať súdy Spojeného kráľovstva v súlade s príslušnou judikatúrou Súdneho dvora z obdobia pred vystúpením Spojeného kráľovstva z Únie a všeobecnými zásadami práva Únie, keďže mali účinnosť bezprostredne pred skončením prechodného obdobia. To zahŕňa štandard „zásadnej rovnocennosti“, ktorá sa teda bude uplatňovať na posúdenia primeranosti, ktoré vykonávajú orgány Spojeného kráľovstva.

(77)

Pokiaľ ide o postup, na právne predpisy sa vzťahujú „všeobecné“ procedurálne požiadavky stanovené v § 182 zákona o ochrane údajov z roku 2018. V rámci tohto postupu musí pri navrhovaní budúcich právnych predpisov Spojeného kráľovstva o primeranosti minister konzultovať s Komisárom pre informácie (143). Po prijatí ministrom sa tieto právne predpisy predkladajú parlamentu a podliehajú postupu „negatívneho uznesenia“, na základe ktorého môžu obe parlamentné snemovne preskúmať príslušný právny predpis a v rámci 40-dňovej lehoty predložiť návrh na zrušenie príslušného právneho predpisu (144).

(78)

Podľa § 74B ods. 1 zákona o ochrane údajov z roku 2018 sa právne predpisy o primeranosti musia preskúmavať v intervaloch najviac štyroch rokov a minister musí priebežne monitorovať vývoj v tretích krajinách a medzinárodných organizáciách, ktorý by mohol ovplyvniť rozhodnutia o právnych predpisoch o primeranosti alebo ich zmeniť. Ak minister zistí, že daná krajina alebo organizácia už nezabezpečuje primeranú úroveň ochrany osobných údajov, musí v potrebnom rozsahu zmeniť alebo zrušiť tieto právne predpisy a začať konzultácie s dotknutou treťou krajinou alebo medzinárodnou organizáciou s cieľom napraviť nedostatok primeranej úrovne ochrany.

(79)

Podobne ako v článku 37 smernice (EÚ) 2016/680, ak neexistuje právny predpis o primeranosti, prenos osobných údajov v kontexte odvetvia presadzovania práva by bol možný, ak by boli zavedené primerané záruky. Takéto záruky sú zabezpečené buď a) právne záväzným nástrojom obsahujúcim primerané záruky na ochranu osobných údajov, alebo b) posúdením vykonaným prevádzkovateľom, ktorý po posúdení všetkých okolností prenosu dospeje k záveru, že existujú primerané záruky na ochranu údajov (145). Okrem toho, ak sa prenosy zakladajú na primeraných zárukách, v zákone o ochrane údajov z roku 2018 sa stanovuje, že okrem toho, že Komisár pre informácie ma zvyčajnú úlohu v oblasti dohľadu, musia mu príslušné orgány poskytnúť špecifické informácie o prenosoch (146).

(80)

Ak sa prenos nezakladá na rozhodnutí o primeranosti alebo primeraných zárukách, môže sa uskutočniť len za určitých osobitných okolností, ktoré sa označujú ako „osobitné okolnosti“ (147). Ide o prípad, keď je prenos nevyhnutný: a) na ochranu životne dôležitých záujmov dotknutej osoby či inej osoby; b) na zabezpečenie oprávnených záujmov dotknutej osoby; c) na zabránenie bezprostrednému a vážnemu ohrozeniu verejnej bezpečnosti tretej krajiny; d) v jednotlivých prípadoch na akékoľvek účely presadzovania práva, alebo e) v jednotlivých prípadoch na právne účely (napríklad v súvislosti so súdnym konaním alebo s cieľom získať právne poradenstvo) (148). Možno poznamenať, že písmená d) a e) sa neuplatňujú, ak práva a slobody dotknutej osoby prevažujú nad verejným záujmom na prenose (149). Tento súbor okolností zodpovedá špecifickým situáciám a podmienkam kvalifikovaným ako „výnimky“ podľa článku 38 smernice (EÚ) 2016/680.

(81)

Za týchto okolností sa dátum, čas a odôvodnenie prenosu, meno a všetky ďalšie relevantné informácie o príjemcovi, ako aj opis prenášaných osobných údajov musia zdokumentovať a na požiadanie poskytnúť Komisárovi pre informácie (150).

(82)

V § 78 zákona o ochrane údajov z roku 2018 sa upravuje scenár „následných prenosov“, konkrétne prípadov, keď sa osobné údaje, ktoré boli prenesené zo Spojeného kráľovstva do tretej krajiny, následne prenášajú do inej tretej krajiny alebo medzinárodnej organizácii. V zmysle § 78 ods. 1 musí prenášajúci prevádzkovateľ zo Spojeného kráľovstva podmieniť prenos údajov tak, že sa tieto údaje nesmú ďalej prenášať do tretej krajiny bez povolenia prenášajúceho prevádzkovateľa. Okrem toho sa § 78 ods. 3 podobne ako v článku 35 ods. 1 písm. e) smernice (EÚ) 2016/680 stanovuje rad požiadaviek, ktoré platia v prípade, že sa vyžaduje takéto povolenie. Konkrétnejšie možno uviesť, že príslušný orgán sa musí pri rozhodovaní o tom, či povoliť prenos, uistiť, či je ďalší prenos nevyhnutný na účely presadzovania práva, a mal by okrem iných faktorov zohľadniť a) závažnosť okolností vedúcich k žiadosti o povolenie, b) účel, na ktorý boli osobné údaje pôvodne prenesené, a c) normy ochrany osobných údajov, ktoré sa uplatňujú v tretej krajine alebo medzinárodnej organizácii, do ktorej sa osobné údaje prenášajú.

(83)

Ďalej možno uviesť, že ak sa zo Spojeného kráľovstva ďalej prenášajú údaje, ktoré boli pôvodne prenesené z Európskej únie, uplatňujú sa dodatočné záruky.

(84)

Po prvé, v § 73 ods. 1 písm. b) zákona o ochrane údajov z roku 2018, podobne ako v článku 35 ods. 1 písm. c) smernice (EÚ) 2016/680, sa stanovuje, že v prípade, že osobné údaje pôvodne preniesol alebo iným spôsobom sprístupnil prevádzkovateľovi alebo inému príslušnému orgánu členský štát, musí byť týmto členským štátom alebo akoukoľvek osobou so sídlom v tomto členskom štáte, ktorá je príslušným orgánom na účely smernice (EÚ) 2016/680, prenos povolený v súlade s právom tohto členského štátu.

(85)

Podobne ako v článku 35 ods. 2 smernice (EÚ) 2016/680 sa však takéto povolenie nevyžaduje, ak a) je prenos nevyhnutný na zabránenie bezprostrednému a vážnemu ohrozeniu verejnej bezpečnosti členského štátu alebo tretej krajiny alebo základných záujmov členského štátu a ak b) povolenie nie je možné získať včas. V takomto prípade musí byť bezodkladne informovaný orgán členského štátu, ktorý by bol zodpovedný za rozhodnutie o povolení prenosu (151).

(86)

Po druhé, rovnaký prístup sa uplatňuje v prípade údajov, ktoré boli pôvodne prenesené z Európskej únie do Spojeného kráľovstva, a potom následne prenesené Spojeným kráľovstvom do tretej krajiny, ktorá uskutoční ich následný prenos do nejakej inej tretej krajiny. V takom prípade môže v zmysle § 78 ods. 4 príslušný orgán Spojeného kráľovstva udeliť povolenie len ak „členský štát, [ktorý pôvodne preniesol predmetné údaje], resp. akákoľvek osoba v tomto členskom štáte, ktorá je príslušným orgánom na účely smernice o presadzovaní práva, udelila povolenie na tento prenos v súlade s právom tohto členského štátu“. Tieto záruky sú dôležité, pretože dávajú orgánom členských štátov možnosť zabezpečiť kontinuitu ochrany údajov v súlade s predpismi EÚ na ochranu údajov v rámci „reťazca prenosu“.

(87)

Tento nový rámec pre medzinárodné prenosy sa začal uplatňovať na konci prechodného obdobia (152). V bodoch 10 až 12 prílohy 21 (zavedenej právnymi predpismi DPPC) sa však stanovuje, že od konca prechodného obdobia sa s určitými prenosmi osobných údajov zaobchádza tak, ako keby boli založené na právnych predpisoch o primeranosti. Medzi takéto prenosy patria prenosy do členského štátu, štátu EZVO, tretej krajiny, na ktorú sa na konci prechodného obdobia vzťahuje rozhodnutie EÚ o primeranosti a na územie Gibraltáru, Prenosy do týchto krajín preto môžu pokračovať rovnako ako pred vystúpením Spojeného kráľovstva z Únie. Po skončení prechodného obdobia musí minister preskúmať zistenia primeranosti do 4 rokov, t. j. do konca decembra 2024. Podľa vysvetlenia, ktoré poskytli orgány Spojeného kráľovstva, hoci minister musí vykonať takéto preskúmanie do konca decembra 2024, prechodné ustanovenia neobsahujú ustanovenie o ukončení platnosti, to znamená, že ak sa preskúmanie neukončí do konca decembra 2024, príslušné prechodné ustanovenia automaticky neprestanú platiť.

(88)

Podľa zásady zodpovednosti sa od orgánov verejnej moci, ktoré spracúvajú údaje, vyžaduje, aby zaviedli vhodné technické a organizačné opatrenia v záujme účinného dodržiavania svojich povinností v oblasti ochrany údajov a aby vedeli takéto dodržiavanie preukázať, najmä príslušnému dozornému orgánu.

(89)

Táto zásada sa odráža v § 56 zákona o ochrane údajov z roku 2018, v ktorom sa pre prevádzkovateľa zavádza všeobecná povinnosť zodpovednosti, t. j. povinnosť prijať primerané technické a organizačné opatrenia s cieľom zabezpečiť a byť schopný preukázať, že spracúvanie osobných údajov je v súlade s požiadavkami časti 3 zákona o ochrane údajov z roku 2018. Prijaté opatrenia sa musia v prípade potreby preskúmať a aktualizovať, a ak je to primerané vzhľadom na spracovanie, musia zahŕňať vhodné politiky ochrany údajov.

(90)

V súlade s kapitolou IV smernice (EÚ) 2016/680 sa v § 55 až § 71 zákona o ochrane údajov z roku 2018 stanovujú rôzne mechanizmy na zabezpečenie zodpovednosti, ako aj mechanizmy umožňujúce prevádzkovateľom a sprostredkovateľom preukázať súlad. Od prevádzkovateľov sa predovšetkým vyžaduje, aby špecificky a štandardne vykonávali opatrenia na ochranu údajov, t. j. aby zabezpečili účinné vykonávanie zásad ochrany údajov a aby uchovávali záznamy o všetkých kategóriách spracovateľských činností, za ktoré je prevádzkovateľ zodpovedný (vrátane informácií o totožnosti prevádzkovateľa, kontaktných údajov zodpovednej osoby, účelov spracúvania, kategórií príjemcov zverejnení a opisu kategórií dotknutých osôb a osobných údajov) a aby tieto záznamy uchovávali a na požiadanie ich sprístupnili Komisárovi pre informácie. Prevádzkovateľ a sprostredkovateľ musia takisto viesť záznamy o určitých spracovateľských operáciách a sprístupniť ich Komisárovi pre informácie (153). Prevádzkovatelia sú tiež osobitne povinní spolupracovať s Komisárom pre informácie pri plnení jeho úloh.

(91)

V zákone o ochrane údajov z roku 2018 sa stanovujú aj dodatočné požiadavky na spracúvanie, ktoré pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb. Patrí medzi ne povinnosť vykonať posúdenia vplyvu na ochranu údajov a konzultovať s Komisárom pre informácie pred spracovaním, ak z takéhoto posúdenia vyplynie, že spracúvanie by viedlo k vysokému riziku pre práva a slobody jednotlivcov (pri absencii opatrení na zmiernenie rizika).

(92)

Prevádzkovatelia musia okrem toho vymenovať zodpovednú osobu, pokiaľ prevádzkovateľom nie je súd alebo iný súdny orgán konajúci v rámci svojej súdnej právomoci (154). Prevádzkovateľ musí zabezpečiť, aby zodpovedná osoba bola zapojená do všetkých otázok týkajúcich sa ochrany osobných údajov, mala potrebné zdroje a prístup k osobným údajom a spracovateľským operáciám a mohla nezávisle vykonávať svoje úlohy. Úlohy zodpovednej osoby sú stanovené v § 71 zákona o ochrane údajov z roku 2018 vrátane poskytovania informácií a poradenstva, monitorovania dodržiavania predpisov, ako aj spolupráce s Komisárom pre informácie a jeho pôsobenia ako kontaktného miesta. Zodpovedná osoba pri plnení svojich úloh musí zohľadňovať riziká spojené so spracovateľskými operáciami, berúc do úvahy povahu, rozsah, kontext a účely spracúvania.

(93)

S cieľom zaistiť, aby bola primeraná úroveň ochrany údajov zabezpečená aj v praxi, musí byť zriadený nezávislý dozorný orgán, ktorý bude mať právomoc monitorovať a presadzovať dodržiavanie pravidiel ochrany údajov. Tento orgán musí pri plnení svojich úloh a výkone svojich právomocí konať úplne nezávisle a nestranne.

(94)

V Spojenom kráľovstve vykonáva dohľad a presadzovanie dodržiavania všeobecného nariadenia Spojeného kráľovstva o ochrane údajov a zákona o ochrane údajov z roku 2018 Komisár pre informácie (155). Komisár pre informácie dozerá aj na spracúvanie osobných údajov príslušnými orgánmi, ktoré patria do rozsahu pôsobnosti časti 3 zákona o ochrane údajov z roku 2018 (156). Komisár pre informácie je „Corporation Sole“, čiže samostatný právny subjekt zložený z jednej osoby. Komisára pre informácie pri jeho práci podporuje jeho úrad. K 31. marcu 2020 mal Úrad Komisára pre informácie 768 stálych zamestnancov (157). Hlavným ministerstvom vo vzťahu ku Komisárovi pre informácie je Ministerstvo pre digitálnu oblasť, kultúru, médiá a šport (Department for Digital, Culture, Media and Sport (158)).

(95)

Nezávislosť Komisára je výslovne stanovená v § 52 všeobecného nariadenia Spojeného kráľovstva o ochrane údajov, v ktorom sa odrážajú požiadavky stanovené v článku 52 ods. 1 až 3 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 (159). Komisár musí pri plnení svojich úloh a vykonávaní svojich právomocí podľa všeobecného nariadenia Spojeného kráľovstva o ochrane údajov konať úplne nezávisle, nesmie byť pod vonkajším vplyvom, či už priamym alebo nepriamym, vo vzťahu k týmto úlohám a právomociam, a nesmie od nikoho žiadať ani prijímať pokyny. Komisár sa tiež musí zdržať akéhokoľvek konania nezlučiteľného so svojimi povinnosťami a počas výkonu funkcie nevykonáva žiadnu platenú ani neplatenú pracovnú činnosť nezlučiteľnú s jeho funkciou.

(96)

Podmienky vymenovania a odvolania Komisára pre informácie sú stanovené v prílohe 12 k zákonu o ochrane údajov z roku 2018. Komisára pre informácie vymenúva kráľovná na odporúčanie vlády na základe spravodlivého a otvoreného výberového konania. Uchádzač musí mať primeranú kvalifikáciu, zručnosti a schopnosti. V súlade s kódexom riadenia verejných menovaní (160) zostaví poradná hodnotiaca komisia zoznam menovateľných kandidátov. Predtým, ako minister Ministerstva pre digitálnu oblasť, kultúru, médiá a šport dospeje ku konečnému rozhodnutiu, príslušný užší výbor parlamentu musí vykonať kontrolu pred vymenovaním. Stanovisko výboru sa zverejňuje (161).

(97)

Komisár pre informácie vykonáva svoju funkciu najviac sedem rokov. Z funkcie ho môže odvolať jej veličenstvo na základe jej určenému prejavu vôle oboch snemovní parlamentu (tzv. Address) (162). Žiadosť o odvolanie Komisára pre informácie možno predložiť niektorej zo snemovní parlamentu, len ak minister predloží tejto snemovni správu, v ktorej uvedie, že je presvedčený, že Komisár pre informácie sa dopustil závažného pochybenia a/alebo že Komisár už nespĺňa podmienky požadované na výkon svojich funkcií (163).

(98)

Financovanie Komisára pre informácie pochádza z troch zdrojov: i) poplatky za ochranu údajov, ktoré platia prevádzkovatelia a ktoré sú stanovené právnymi predpismi ministra (164); tieto poplatky tvoria 85 – 90 % ročného rozpočtu Úradu Komisára pre informácie (165); ii) subvencie, ktoré môže vláda poskytnúť Komisárovi pre informácie a ktoré sa využívajú najmä na financovanie prevádzkových nákladov Komisára pre informácie, pokiaľ ide o úlohy nesúvisiace s ochranou údajov (166); iii) poplatky účtované za služby (167). V súčasnosti sa neúčtujú žiadne takéto poplatky.

(99)

Všeobecné funkcie Komisára pre informácie v súvislosti so spracúvaním osobných údajov, ktoré patrí do rozsahu pôsobnosti časti 3 zákona o ochrane údajov z roku 2018, sú stanovené v prílohe 13 k zákonu o ochrane údajov z roku 2018. Medzi úlohy patrí monitorovanie a presadzovanie časti 3 zákona o ochrane údajov z roku 2018, podpora informovanosti verejnosti, poradenstvo parlamentu, vláde a iným inštitúciám v oblasti legislatívnych a administratívnych opatrení, podpora informovanosti prevádzkovateľov a sprostredkovateľov o ich povinnostiach, poskytovanie informácií dotknutým osobám o uplatňovaní ich práv a vedenie vyšetrovaní. V záujme zachovania nezávislosti justície nie je Komisár pre informácie oprávnený vykonávať svoje funkcie v súvislosti so spracúvaním osobných údajov jednotlivcom konajúcim v rámci súdnej právomoci, resp. súdom či tribunálom konajúcim v rámci svojej súdnej právomoci. Dohľad nad justíciou však vykonávajú špecializované orgány, o ktorých sa hovorí ďalej.

(100)

Komisár pre informácie má všeobecné vyšetrovacie, nápravné, povoľovacie a poradné právomoci v súvislosti so spracúvaním osobných údajov, na ktoré sa vzťahuje časť 3 zákona o ochrane údajov z roku 2018. Komisár pre informácie má právomoc oznámiť prevádzkovateľovi alebo sprostredkovateľovi údajné porušenie časti 3, vydať prevádzkovateľovi alebo sprostredkovateľovi varovanie o tom, že zamýšľané operácie spracovania pravdepodobne porušia ustanovenia časti 3 a vydať prevádzkovateľovi alebo sprostredkovateľovi napomenutie, ak operácie spracúvania porušili ustanovenia časti 3. Okrem toho môže Komisár pre informácie z vlastnej iniciatívy alebo na požiadanie vydávať stanoviská určené parlamentu Spojeného kráľovstva, vláde alebo iným inštitúciám a orgánom, ako aj verejnosti k akejkoľvek otázke týkajúcej sa ochrany osobných údajov (168).

(101)

Komisár pre informácie má okrem toho právomoc:

(102)

Okolnosti, za ktorých Komisára pre informácie vydáva informačné oznámenie, oznámenie o posúdení, presadzovacie oznámenie a oznámenie o uložení sankcie sa stanovujú v jeho regulačnej politike (173). V presadzovacom oznámení sa môžu stanovovať požiadavky, ktoré Komisár pre informácie považuje za vhodné na účely nápravy nesplnenia povinnosti. V oznámení o uložení sankcie sa vyžaduje, aby príslušná osoba zaplatila Komisárovi pre informácie sumu uvedenú v oznámení. Oznámenie o uložení sankcie možno vydať v prípade nedodržania určitých ustanovení zákona o ochrane údajov z roku 2018 (174) alebo sa môže vydať voči prevádzkovateľovi alebo sprostredkovateľovi, ktorí nekonali v súlade s informačným oznámením, oznámením o posúdení alebo presadzovacím oznámením.

(103)

Konkrétnejšie, pri určovaní toho, či sa má voči určitému prevádzkovateľovi alebo sprostredkovateľovi vydať oznámenie o uložení sankcie, a pri určovaní výšky sankcie musí Komisár pre informácie zohľadniť skutočnosti uvedené v § 155 ods. 3 zákona o ochrane údajov z roku 2018 vrátane povahy a závažnosti pochybenia, úmyselného alebo nedbanlivého charakteru pochybenia, akýchkoľvek opatrení prijatých prevádzkovateľom alebo sprostredkovateľom s cieľom zmierniť škodu, ktorú utrpeli dotknuté osoby, stupňa zodpovednosti prevádzkovateľa alebo sprostredkovateľa (so zreteľom na technické a organizačné opatrenia vykonané prevádzkovateľom alebo sprostredkovateľom) a akýchkoľvek relevantných predchádzajúcich pochybení prevádzkovateľa alebo sprostredkovateľa, kategórií osobných údajov, ktorých sa zlyhanie týka, a toho, či by sankcia bola účinná, primeraná a odrádzajúca.

(104)

Maximálna výška sankcie, ktorú možno uložiť na základe oznámenia o uložení sankcie, je a) 17 500 000 GBP za nedodržanie zásad ochrany údajov (§ 35, § 36, § 37, § 38 ods. 1, § 39 ods. 1 a § 40 zákona o ochrane údajov z roku 2018), povinnosti transparentnosti a individuálnych práv (§ 44, § 45, § 46, § 47, § 48, § 49, § 52 a § 53 zákona o ochrane údajov z roku 2018) a zásad pre medzinárodné prenosy osobných údajov (§ 73, § 75, § 76, § 77 alebo § 78 zákona o ochrane údajov z roku 2018), inak b) 8 700 000 GBP (175). V súvislosti s nedodržaním informačného oznámenia, oznámenia o posúdení alebo presadzovacieho oznámenia je maximálna výška sankcie, ktorú možno uložiť na základe oznámenia o uložení sankcie 17 500 000 GBP.

(105)

Podľa posledných výročných správ (2018 – 2019 (176), 2019 – 2020 (177)) Komisár pre informácie uskutočnil niekoľko vyšetrovaní v súvislosti so spracúvaním osobných údajov orgánmi presadzovania práva v trestných veciach. Komisár napríklad viedol vyšetrovanie a v októbri 2019 uverejnil stanovisko týkajúce sa používania technológie rozpoznávania tváre na verejných miestach na účely presadzovania práva. Vyšetrovanie sa zameriavalo najmä na využívanie schopností rozpoznávania tváre v reálnom čase zo strany polície Južného Walesu a Metropolitnej policajnej služby (ďalej len „MPS“). Okrem toho Komisár pre informácie prešetroval matricu MPS na odhaľovanie gangov (178) a zistil celý rad závažných porušení právnych predpisov o ochrane údajov, ktoré by mohli narušiť dôveru verejnosti v matricu a používanie údajov.

(106)

V novembri 2018 Komisár pre informácie vydal presadzovacie oznámenie a následne MPS podnikla kroky potrebné na zvýšenie bezpečnosti a zodpovednosti a na zabezpečenie primeraného využívania údajov.

(107)

Ďalším príkladom nedávneho presadzovacieho opatrenia je pokuta vo výške 325 000 GBP, ktorú Komisára pre informácie uložil v máji 2018 prokuratúre Crown Prosecution Service za stratu nezašifrovaných nosičov DVD obsahujúcich záznamy policajných výsluchov. Komisár pre informácie okrem toho prešetroval širšie témy, napríklad v prvej polovici roka 2020 využívanie extrakcie mobilných telefónov na policajné účely a spracovanie údajov o obetiach zo strany polície.

(108)

Okrem toho, že Komisár pre informácie má uvedené právomoci v oblasti presadzovania, určité porušenia právnych predpisov o ochrane údajov predstavujú trestné činy, a preto môžu podliehať trestnoprávnym sankciám (§ 196 zákona o ochrane údajov z roku 2018). Ide napríklad o získanie alebo sprístupnenie osobných údajov bez súhlasu prevádzkovateľa a poskytnutie prístupu k osobným údajom inej osobe bez súhlasu prevádzkovateľa (179); opätovnú identifikáciu anonymizovaných osobných údajov bez súhlasu prevádzkovateľa zodpovedného za anonymizáciu týchto osobných údajov (180); úmyselné bránenie Komisárovi pre informácie pri výkone jeho právomocí v súvislosti s kontrolou osobných údajov v súlade s medzinárodnými záväzkami (181), nepravdivé vyhlásenia o odpovedi na informačné oznámenie, alebo zničenie informácií v súvislosti s informačným oznámením a oznámením o posúdení (182).

(109)

Komisár pre informácie má tiež podľa § 139 zákona o ochrane údajov z roku 2018 povinnosť predložiť každej zo snemovní parlamentu všeobecnú správu o plnení svojich funkcií podľa zákona (183).

(110)

Dohľad nad spracúvaním osobných údajov súdmi a justíciou je dvojaký. Ak súdny úradník alebo súd nekoná v rámci súdnej právomoci, dohľad vykonáva Komisár pre informácie. Ak prevádzkovateľ koná v rámci súdnej právomoci, Komisár pre informácie nemôže plniť svoje funkcie dohľadu (184) a dohľad vykonávajú osobitné orgány. Uvedené odráža prístup prijatý v článku 32 smernice (EÚ) 2016/680.

(111)

Konkrétne v druhom scenári, pokiaľ ide o súdy Anglicka a Walesu a ich tribunály prvého stupňa a vyššie tribunály (First-tier and Upper Tribunals of England and Wales), takýto dohľad vykonáva súdna rada pre ochranu údajov (Judicial Data Protection Panel) (185). Okrem toho šéf justície Anglicka a Walesu (Lord Chief Justice) a šéf tribunálov (Senior President of Tribunals) vydali oznámenie o ochrane osobných údajov (186), v ktorom sa uvádza, ako súdy v Anglicku a Walese spracúvajú osobné údaje na účely plnenia súdnej funkcie. Podobné oznámenie vydali súdy Severného Írska (187) a Škótska (188).

(112)

Okrem toho v Severnom Írsku vymenoval šéf justície Severného Írska (Lord Chief Justice of Northern Ireland) sudcu Vrchného súdu (High Court) za sudcu pre dohľad nad údajmi (Data Supervisory Judge) (189). Vydal tiež usmernenia pre severoírsku justíciu o tom, čo robiť v prípade straty alebo potenciálnej straty údajov a o postupe riešenia akýchkoľvek otázok, ktoré z toho vyplývajú (190).

(113)

V Škótsku šéf justície Lord President vymenoval sudcu pre dohľad nad údajmi (Data Supervisory Judge), ktorý vyšetruje všetky sťažnosti z dôvodu ochrany údajov. Stanovuje sa tak v pravidlách súdnych sťažností, ktoré odrážajú pravidlá stanovené pre Anglicko a Wales (191).

(114)

Napokon na najvyššom súde (Supreme Court) je vymenovaný jeden zo sudcov tohto súdu, aby vykonával dohľad nad ochranou údajov.

(115)

V záujme zabezpečenia primeranej ochrany, a najmä vymáhania individuálnych práv, by dotknutá osoba mala mať k dispozícii účinné správne a súdne prostriedky nápravy vrátane náhrady škôd.

(116)

Po prvé, dotknutá osoba má právo podať sťažnosť Komisárovi pre informácie, ak sa domnieva, že v súvislosti s osobnými údajmi, ktoré sa jej týkajú, došlo k porušeniu časti 3 zákona o ochrane údajov z roku 2018 (192). Ako sa uvádza v odôvodneniach (100) a (109), Komisár pre informácie má právomoc posúdiť dodržiavanie zákona o ochrane údajov z roku 2018 prevádzkovateľom a sprostredkovateľom a požadovať od nich, aby v prípade nedodržiavania tohto zákona prijali potrebné kroky, resp. aby sa zdržali prijatia potrebných krokov, ako aj uložiť pokuty.

(117)

Po druhé, zákon o ochrane údajov z roku 2018 stanovuje právo na nápravu uplatniteľné voči Komisárovi pre informácie. Ak Komisár pre informácie „nepokročil“ (193) vo veci sťažnosti podanej dotknutou osobou, sťažovateľ má prístup k súdnemu prostriedku nápravy, pretože sa môže obrátiť na tribunál prvého stupňa (First Tier Tribunal) (194) s cieľom nariadiť Komisárovi pre informácie, aby v reakcii na sťažnosť prijal vhodné opatrenia, alebo aby informoval sťažovateľa o pokroku v súvislosti so sťažnosťou (195). Okrem toho sa každá osoba, ktorá dostane od Komisára pre informácie akékoľvek z uvedených oznámení (informačné oznámenie, oznámenie o posúdení, presadzovacie oznámenie alebo oznámenie o uložení sankcie), môže odvolať na tribunál prvého stupňa. Ak sa tribunál domnieva, že rozhodnutie Komisára pre informácie nie je v súlade so zákonom alebo že Komisár pre informácie mal uplatniť svoju voľnú úvahu inak, tribunál musí odvolaniu vyhovieť, resp. musí vydať iné oznámenie alebo prijať iné rozhodnutie, ktoré mohol vydať alebo prijať Komisár pre informácie (196).

(118)

Po tretie, fyzické osoby môžu získať súdne prostriedky nápravy voči prevádzkovateľom a sprostredkovateľom priamo na súdoch podľa § 167 zákona o ochrane údajov z roku 2018. Ak súd na návrh dotknutej osoby dospeje k záveru, že došlo k porušeniu práv dotknutej osoby v zmysle právnych predpisov o ochrane údajov, môže nariadiť prevádzkovateľovi v súvislosti so spracúvaním alebo sprostredkovateľovi konajúcemu v mene tohto prevádzkovateľa, aby podnikol kroky uvedené v súdnom príkaze alebo aby sa zdržal prijatia krokov uvedených v súdnom príkaze. Okrem toho podľa § 169 zákona o ochrane údajov z roku 2018 akákoľvek osoba, ktorá utrpí škodu v dôsledku porušenia niektorej požiadavky právnych predpisov o ochrane údajov (vrátane časti 3 zákona o ochrane údajov z roku 2018) iných ako všeobecného nariadenia Spojeného kráľovstva o ochrane údajov, má nárok na náhradu tejto škody od prevádzkovateľa alebo sprostredkovateľa s výnimkou prípadu, že prevádzkovateľ alebo sprostredkovateľ dokáže, že prevádzkovateľ alebo sprostredkovateľ nie je žiadnym spôsobom zodpovedný za udalosť, ktorá spôsobila škodu. Škoda zahŕňa tak finančnú ujmu, ako aj škodu, ktorá nezahŕňa finančnú ujmu, ako napríklad nemajetkovú ujmu.

(119)

Po štvrté, pokiaľ sa akákoľvek osoba domnieva, že orgány verejnej moci porušili jej práva vrátane práva na súkromie a ochranu údajov, môže získať nápravu na súdoch Spojeného kráľovstva podľa zákona o ľudských právach z roku 1998. Prevádzkovatelia podľa časti 3 zákona o ochrane údajov z roku 2018, t. j. príslušné orgány, sú vždy orgánmi verejnej moci v zmysle zákona o ľudských právach z roku 1998. Jednotlivec, ktorý tvrdí, že orgán verejnej moci konal (alebo navrhuje konať) spôsobom, ktorý je nezlučiteľný s právom vyplývajúcim z dohovoru, a teda protiprávny podľa § 6 ods. 1 zákona o ľudských právach z roku 1998, môže podať návrh na začatie konania proti tomuto orgánu na príslušnom súde alebo tribunáli, resp. sa dovolávať príslušných práv v akomkoľvek súdnom konaní, ak je (alebo by mohol byť) obeťou protiprávneho činu (197).

(120)

Ak súd zistí, že akýkoľvek akt orgánu verejnej moci je nezákonný, môže v rámci svojich právomocí nariadiť akúkoľvek nápravu alebo vydať akýkoľvek príkaz, ktoré považuje za vhodné a primerané (198). Súd môže tiež vyhlásiť ustanovenie primárneho práva za nezlučiteľné s právom zaručeným EDĽP.

(121)

Jednotlivec môže napokon za porušenie práv zaručených EDĽP po vyčerpaní vnútroštátnych prostriedkov nápravy dosiahnuť nápravu pred Európskym súdom pre ľudské práva.

(122)

V práve Spojeného kráľovstva sa za určitých podmienok povoľuje, aby orgán presadzovania práva poskytol údaje ďalším orgánom Spojeného kráľovstva na iné účely ako tie, na ktoré boli pôvodne získané (tzv. následné poskytnutie).

(123)

Podobne ako v článku 4 ods. 2 smernice (EÚ) 2016/680 sa aj § 36 ods. 3 zákona o ochrane údajov z roku 2018 umožňuje, aby sa osobné údaje získané príslušným orgánom na účely presadzovania práva mohli ďalej spracúvať (či už pôvodným prevádzkovateľom alebo iným prevádzkovateľom) na akýkoľvek iný účel presadzovania práva za predpokladu, že prevádzkovateľ je zo zákona oprávnený spracúvať údaje na tento iný účel a predmetné spracovanie je nevyhnutné a primerané (199). V takom prípade sa na spracúvanie vykonávané prijímajúcim orgánom uplatnia všetky záruky stanovené v časti 3 zákona o ochrane údajov z roku 2018 a analyzované vyššie.

(124)

V právnom poriadku Spojeného kráľovstva výslovne umožňujú následné poskytovanie údajov rôzne právne predpisy. Predovšetkým v i) zákone o digitálnom hospodárstve z roku 2017 sa umožňuje vzájomné poskytovanie údajov medzi orgánmi verejnej moci na viaceré účely, napríklad v prípade akéhokoľvek podvodu voči verejnému sektoru, ktorý by zahŕňal ujmu alebo hrozbu ujmy pre orgán verejnej moci (200), resp. v prípade dlhu voči orgánu verejnej moci alebo korune (201); v ii) zákone o trestnej činnosti a súdoch z roku 2013 sa umožňuje poskytovanie informácií Národnej kriminálnej agentúre (202) na účely boja proti závažnej a organizovanej trestnej činnosti, jej vyšetrovania a stíhania; v iii) zákone o závažnej trestnej činnosti z roku 2007 sa umožňuje orgánom verejnej moci sprístupňovať informácie organizáciám na boj proti podvodom na účely predchádzania podvodom (203).

(125)

V týchto právnych predpisoch sa výslovne stanovuje, že poskytnutie informácií by sa malo uskutočniť v súlade s pravidlami stanovenými v zákona o ochrane údajov z roku 2018. Okrem toho policajná akadémia College of Policing vydala autorizovanú profesijnú prax poskytovania informácií (204) s cieľom pomôcť polícii pri plnení jej povinností v oblasti ochrany údajov podľa všeobecného nariadenia Spojeného kráľovstva o ochrane údajov, zákona o ochrane osobných údajov a zákona o ľudských právach Spojeného kráľovstva z roku 1998. Súlad poskytnutia údajov s uplatniteľným právnym rámcom na ochranu údajov môže samozrejme podliehať súdnemu preskúmaniu (205).

(126)

Okrem toho, podobne ako v článku 9 smernice (EÚ) 2016/680, sa v zákone o ochrane údajov z roku 2018 stanovuje, že osobné údaje získané na akýkoľvek účel presadzovania práva sa môžu spracúvať na účel, ktorý nie je presadzovaním práva, ak je spracúvanie povolené zákonom (206). Tento typ poskytovania zahŕňa dva scenáre: 1. ak orgán presadzovania trestného práva poskytuje údaje orgánu na presadzovanie iného práva, ako je trestné právo, ktorý nie je spravodajskou službou (napr. finančný alebo daňový orgán, orgán na ochranu hospodárskej súťaže, úrad starostlivosti o mládež); 2. ak orgán presadzovania trestného práva poskytuje údaje spravodajskej službe. V prvom scenári bude spracúvanie osobných údajov patriť do rozsahu pôsobnosti všeobecného nariadenia Spojeného kráľovstva o ochrane údajov, ako aj do časti 2 zákona o ochrane údajov z roku 2018. Ako sa uvádza v rozhodnutí prijatom podľa nariadenia (EÚ) 2016/679, záruky stanovené vo všeobecnom nariadení Spojeného kráľovstva o ochrane údajov a v časti 2 zákona o ochrane údajov z roku 2018 poskytujú úroveň ochrany, ktorá je v zásade rovnocenná úrovni ochrany poskytovanej v rámci Únie (207).

(127)

V druhom scenári, teda pokiaľ ide o poskytovanie údajov získaných orgánom presadzovania trestného práva spravodajskej službe na účely národnej bezpečnosti, je právnym základom, ktorý umožňuje takéto poskytnutie, zákon o boji proti terorizmu z roku 2008 (208). Podľa zákona o boji proti terorizmu z roku 2008 môže každá osoba poskytnúť informácie ktorejkoľvek zo spravodajských služieb na účely plnenia ktorejkoľvek z funkcií tejto služby vrátane „národnej bezpečnosti“.

(128)

Pokiaľ ide o podmienky, za ktorých sa údaje môžu poskytovať na účely národnej bezpečnosti, zákon o spravodajských službách a zákon o bezpečnostných službách obmedzujú schopnosť spravodajských služieb získavať údaje na to, čo je nevyhnutné na plnenie ich zákonných funkcií. Príslušné orgány, ktoré patria do rozsahu pôsobnosti časti 3 zákona o ochrane údajov z roku 2018 a ktoré chcú poskytnúť údaje spravodajským službám, musia okrem funkcií týchto služieb, ktoré sú stanovené v zákone o spravodajských službách a v zákone o bezpečnostných službách, zvážiť niekoľko faktorov/obmedzení (209). V § 20 zákona o boji proti terorizmu z roku 2008 sa jasne uvádza, že akékoľvek poskytnutie údajov podľa § 19 zákona o boji proti terorizmu z roku 2008 musí byť stále v súlade s právnymi predpismi o ochrane údajov; čo znamená, že sa uplatňujú všetky obmedzenia a požiadavky zákona o ochrane údajov z roku 2018. Orgány presadzovania práva a spravodajské služby sú okrem toho orgánmi verejnej moci v zmysle zákona o ľudských právach z roku 1998, a preto musia zabezpečiť, aby konali v súlade s právami zaručenými podľa EDĽP vrátane jeho článku 8. Povedané inak, tieto požiadavky znamenajú, že každé poskytnutie údajov medzi orgánmi presadzovania práva a spravodajskými službami musí byť v súlade s právnymi predpismi o ochrane údajov a EDĽP.

(129)

Spracovanie osobných údajov prijatých alebo získaných od orgánov presadzovania práva na účely národnej bezpečnosti spravodajskými službami podlieha viacerým podmienkam a zárukám (210). Časť 4 zákon o ochrane údajov z roku 2018 sa vzťahuje na každé spracúvanie spravodajskými službami alebo v ich mene. Stanovujú sa v nej hlavné zásady ochrany údajov (zákonnosť, spravodlivosť a transparentnosť (211), obmedzenie účelu (212), minimalizácia údajov (213), správnosť (214), minimalizácia uchovávania (215) a bezpečnosť (216)), a zavádzajú sa v ňom podmienky spracúvania osobitných kategórií údajov (217), stanovujú práva dotknutých osôb (218), zavádza požiadavka špecificky navrhnutej ochrany údajov (219) a upravujú sa v ňom medzinárodné prenosy osobných údajov (220).

(130)

Zároveň sa v § 110 zákona o ochrane údajov z roku 2018 stanovuje výnimka z osobitných ustanovení v časti 4 zákona o ochrane údajov z roku 2018, ak je táto výnimka potrebná na zabezpečenie národnej bezpečnosti. V § 110 ods. 2 zákona o ochrane údajov z roku 2018 sa uvádzajú ustanovenia, z ktorých je povolená výnimka. Zahŕňa zásady ochrany údajov (okrem zásady zákonnosti), práva dotknutých osôb, povinnosť informovať Komisára pre informácie o porušení ochrany údajov, kontrolné právomoci Komisára pre informácie v súlade s medzinárodnými záväzkami, ako aj jeho niektoré právomoci v oblasti presadzovania práva, ustanovenia, na základe ktorých sa určité porušenia ochrany údajov považujú za trestný čin, a ustanovenia týkajúce sa osobitných účelov spracúvania, ako sú žurnalistické, akademické alebo umelecké účely. Tejto výnimky sa možno dovolávať na základe analýzy jednotlivých prípadov (221). Ako vysvetlili orgány Spojeného kráľovstva a potvrdila judikatúra súdov Spojeného kráľovstva, prevádzkovatelia musia zvážiť skutočné dôsledky pre národnú bezpečnosť alebo obranu, ak mali povinnosť dodržiavať konkrétne ustanovenia o ochrane údajov a ak mohli primerane dodržať toto obvyklé pravidlo bez toho, aby to malo vplyv na národnú bezpečnosť alebo obranu“ (222). To, či sa výnimka použila primerane, podlieha dohľadu Komisára pre informácie (223).

(131)

Okrem toho, pokiaľ ide o možnosť obmedziť akékoľvek z uvedených práv v záujme ochrany „národnej bezpečnosti“, v § 79 zákona o ochrane údajov z roku 2018 sa stanovuje, že prevádzkovateľ môže požiadať o osvedčenie podpísané ministrom vlády alebo generálnym prokurátorom, v ktorom sa potvrdzuje, že obmedzenie takýchto práv je (resp. v určitom čase bolo) nevyhnutným a primeraným opatrením na ochranu národnej bezpečnosti (224). Vláda Spojeného kráľovstva vydala usmernenie k osvedčeniam o záujme národnej bezpečnosti vydávaným podľa zákona o ochrane údajov z roku 20018, v ktorom sa predovšetkým zdôrazňuje, že akékoľvek obmedzenie práv dotknutých osôb na zaistenie národnej bezpečnosti musí byť primerané a nevyhnutné (225). Všetky osvedčenia o záujme národnej bezpečnosti sa musia uverejniť na webovom sídle Komisára pre informácie (226).

(132)

Osvedčenie by malo mať pevne stanovené obdobie nie dlhšie ako päť rokov, aby ho mohol výkonný orgán pravidelne preskúmavať (227). V osvedčení sa uvedú osobné údaje alebo kategórie osobných údajov, na ktoré sa vzťahuje výnimka, ako aj ustanovenia zákona o ochrane údajov z roku 2018, na ktoré sa výnimka vzťahuje (228).

(133)

Je dôležité poznamenať, že osvedčenia o záujme národnej bezpečnosti nedávajú dodatočný dôvod na to, aby boli obmedzené práva na ochranu údajov z dôvodov národnej bezpečnosti. Inými slovami, prevádzkovateľ alebo sprostredkovateľ sa môžu odvolávať na osvedčenie len vtedy, keď dospeli k záveru, že je potrebné odvolávať sa na výnimku v záujme národnej bezpečnosti, ktorá sa musí uplatňovať od prípadu k prípadu. Aj keď sa na predmetnú vec vzťahuje osvedčenie o záujme národnej bezpečnosti, Komisár pre informácie môže preskúmať, či v konkrétnom prípade bolo uplatnenie výnimky v záujme národnej bezpečnosti odôvodnené (229).

(134)

Každá osoba, ktorej sa vydanie osvedčenia priamo týka, sa môže proti osvedčeniu (230) odvolať na vyšší tribunál (Upper Tribunal) (231) alebo, ak sa v osvedčení identifikujú údaje prostredníctvom všeobecného opisu, napadnúť uplatňovanie osvedčenia na konkrétne údaje (232).

(135)

Tribunál preskúma rozhodnutie o vydaní osvedčenia a rozhodne, či existovali opodstatnené dôvody na vydanie tohto osvedčenia (233). Môže zohľadniť širokú škálu otázok vrátane nevyhnutnosti, primeranosti a zákonnosti pri zvažovaní vplyvu na práva dotknutých osôb a vyvažovaní potreby zabezpečiť národnú bezpečnosť. V dôsledku toho môže tribunál rozhodnúť, že osvedčenie sa nevzťahuje na konkrétne osobné údaje, ktoré sú predmetom odvolania (234).

(136)

Iný súbor možných obmedzení sa týka obmedzení, ktoré sa podľa prílohy 11 k zákonu o ochrane údajov z roku 2018 uplatňujú na určité ustanovenia časti 4 zákona o ochrane údajov z roku 2018 (235) s cieľom chrániť iné dôležité ciele všeobecného verejného záujmu alebo chránené záujmy, ako napríklad parlamentné výsady, dôvernosť komunikácie medzi advokátom a jeho klientom, vedenie súdnych konaní alebo bojovú účinnosť ozbrojených síl. Uplatňovanie týchto ustanovení je buď oslobodené pre určité kategórie informácií („výnimky na základe kategórie“), alebo je oslobodené v rozsahu, v akom by uplatňovanie týchto ustanovení mohlo ohroziť chránený záujem („výnimky na základe ujmy“) (236). Výnimky na základe ujmy sa môžu uplatniť len vtedy, ak by uplatňovanie uvedených ustanovení o ochrane údajov mohlo byť na ujmu príslušnému osobitnému záujmu. Použitie výnimky musí byť preto vždy odôvodnené odkazom na príslušnú ujmu, ktorá by mohla nastať v konkrétnom prípade. Výnimky na základe kategórie možno uplatniť len v súvislosti so špecifickou, úzko vymedzenou kategóriou informácií, pre ktorú sa výnimka udeľuje. Z hľadiska účelu a účinku sú podobné niekoľkým výnimkám zo všeobecného nariadenia Spojeného kráľovstva o ochrane údajov (podľa prílohy 2 k zákonu o ochrane údajov z roku 2018), ktoré zase odrážajú výnimky stanovené v článku 23 všeobecného nariadenia o ochrane údajov.

(137)

Z uvedeného vyplýva, že obmedzenia a podmienky sú zavedené podľa platných právnych predpisov Spojeného kráľovstva, a to aj v zmysle ich výkladu súdmi a Komisie pre informácie, aby sa zabezpečilo, že tieto výnimky a obmedzenia zostanú v medziach toho, čo je nevyhnutné a primerané na ochranu národnej bezpečnosti.

(138)

Na spracúvanie osobných údajov spravodajskými službami podľa časti 4 zákona o ochrane údajov z roku 2018 dozerá Komisár pre informácie (237).

(139)

Všeobecné funkcie Komisára pre informácie v súvislosti so spracúvaním osobných údajov zo strany spravodajských služieb, ktoré patrí do rozsahu pôsobnosti časti 4 zákona o ochrane údajov z roku 2018, sú stanovené v prílohe 13 k zákonu o ochrane údajov z roku 2018. Medzi úlohy patrí (nie však výhradne) monitorovanie a presadzovanie časti 4 zákona o ochrane údajov z roku 2018, podpora informovanosti verejnosti, poradenstvo parlamentu, vláde a iným inštitúciám v oblasti legislatívnych a administratívnych opatrení, podpora informovanosti prevádzkovateľov a sprostredkovateľov o ich povinnostiach, poskytovanie informácií dotknutým osobám o uplatňovaní ich práv a vedenie vyšetrovaní.

(140)

Komisár má, podobne ako v časti 3 zákona o ochrane údajov z roku 2018, právomoc informovať prevádzkovateľov o údajnom porušení a vydávať varovania o tom, že spracúvaním môže porušovať pravidlá, ako aj vydávať napomenutia v prípade, že sa porušenie potvrdí. Môže vydávať aj presadzovacie oznámenia a oznámenia o uložení sankcie za porušenie určitých ustanovení tohto zákona (238). Na rozdiel od ostatných častí zákona o ochrane údajov z roku 2018 však Komisár nemôže národnému bezpečnostnému orgánu predložiť oznámenie o posúdení (239).

(141)

Okrem toho sa v § 110 ods. 6 zákona o ochrane údajov z roku 2018 stanovuje výnimka z využívania určitých právomocí Komisára, ak je to potrebné na účely ochrany národnej bezpečnosti. Patrí sem právomoc Komisára vydávať (akýkoľvek druh) oznámení podľa zákona o ochrane údajov (informačné oznámenie, oznámenie o posúdení, presadzovacie oznámenie a oznámenie o uložení sankcie), právomoc vykonávať inšpekcie v súlade s medzinárodnými záväzkami, právomoci na vstup a inšpekciu a pravidlá týkajúce sa trestných činov (240). Ako sa vysvetľuje v odôvodnení (136), tieto výnimky sa budú uplatňovať len vtedy, ak sú potrebné a primerané, a od prípadu k prípadu. Uplatnenie týchto výnimiek podlieha súdnemu preskúmaniu (241).

(142)

Komisár pre informácie a spravodajské služby Spojeného kráľovstva podpísali memorandum o porozumení (242), ktorým sa stanovuje rámec pre spoluprácu vo viacerých otázkach vrátane oznámení o porušení ochrany údajov a vybavovania sťažností dotknutých osôb. Konkrétne sa v ňom stanovuje, že po prijatí sťažnosti Komisár pre informácie posúdi, či sa primerane uplatnila nejaká výnimka v záujme národnej bezpečnosti. V zmysle usmernenia vlády Spojeného kráľovstva k osvedčeniam o záujme národnej bezpečnosti podľa zákona o ochrane údajov z roku 2018 musia príslušné subjekty poskytnúť odpovede na otázky, ktoré Komisár pre informácie položil v súvislosti s preskúmaním jednotlivých sťažností, do 20 pracovných dní, pričom sa použijú vhodné bezpečné kanály, ak sa týkajú utajovaných skutočností. Od apríla 2018 ku dnešnému dňu dostal Komisár pre informácie od jednotlivcov 21 sťažností na spravodajské služby. Každá sťažnosť bola posúdená a výsledok bol oznámený dotknutej osobe (243).

(143)

Parlamentný výbor pre spravodajstvo a bezpečnosť okrem toho vykonáva parlamentný dohľad nad spracúvaním údajov spravodajskými službami. Tento výbor má svoj právny základ v zákone o spravodlivosti a bezpečnosti z roku 2013 (244). Týmto zákonom sa v parlamente Spojeného kráľovstva zriaďuje výbor pre spravodajstvo a bezpečnosť. Tento výbor pozostáva z členov oboch snemovní parlamentu, pričom za členov výboru ich vymenúva predseda vlády po konzultácii s lídrom opozície (245). Výbor pre spravodajstvo a bezpečnosť je povinný predkladať parlamentu výročnú správu o plnení svojich funkcií a ďalšie správy, ktoré považuje za vhodné (246).

(144)

Od roku 2013 má výbor pre spravodajstvo a bezpečnosť väčšie právomoci vrátane dohľadu nad operačnými činnosťami bezpečnostných služieb. Podľa § 2 zákona o spravodlivosti a bezpečnosti z roku 2013 má tento výbor za úlohu dohliadať na výdavky, správu, politiku a činnosť služieb v oblasti národnej bezpečnosti. V zákone o spravodlivosti a bezpečnosti z roku 2013 sa uvádza, že výbor pre spravodajstvo a bezpečnosť môže prešetrovať operačné záležitosti, ak nesúvisia s prebiehajúcimi operáciami (247). V memorande o porozumení medzi predsedom vlády a výborom pre spravodajstvo a bezpečnosť (248) sa podrobne uvádzajú prvky, ktoré sa majú zohľadniť pri posudzovaní toho, či určitá činnosť nie je súčasťou žiadnej prebiehajúcej operácie (249). Výbor pre spravodajstvo a bezpečnosť môže o prešetrenie prebiehajúcich operácií požiadať aj predseda vlády a tento výbor môže preskúmavať aj informácie, ktoré poskytli služby dobrovoľne.

(145)

Podľa prílohy 1 k zákonu o spravodlivosti a bezpečnosti z roku 2013 môže výbor pre spravodajstvo a bezpečnosť požiadať vedúcich ktorejkoľvek z troch spravodajských služieb o poskytnutie akýchkoľvek informácií. Daná služba nemusí tieto informácie sprístupniť, len ak príslušný minister neuplatnil právo veta (250). Orgány Spojeného kráľovstva ozrejmili, že v praxi bol tomuto výboru zamietnutý prístup len k veľmi málo informáciám (251).

(146)

Pokiaľ ide o prostriedky nápravy, v súlade s § 165 ods. 2 zákona o ochrane údajov z roku 2018 môže dotknutá osoba podať sťažnosť Komisárovi pre informácie, ak sa domnieva, že v súvislosti s osobnými údajmi, ktoré sa jej týkajú, došlo k porušeniu časti 4 zákona o ochrane údajov z roku 2018 vrátane akéhokoľvek zneužitia výnimiek a obmedzení v záujme národnej bezpečnosti.

(147)

Okrem toho podľa časti 4 zákona o ochrane údajov z roku 2018 sú jednotlivci oprávnení podať na Vrchný súd (High Court), resp. v Škótsku na Court of Session, návrh na vydanie príkazu, ktorým sa od prevádzkovateľa vyžaduje, aby dodržiaval právo na prístup k údajom (252), právo namietať voči spracúvaniu (253) a právo na opravu alebo vymazanie.

(148)

Jednotlivci sú tiež oprávnení požadovať od prevádzkovateľa alebo sprostredkovateľa náhradu škody utrpenej v dôsledku porušenia požiadavky časti 4 zákona o ochrane údajov z roku 2018 (254). Škoda zahŕňa tak finančnú ujmu, ako aj škodu, ktorá nezahŕňa finančnú ujmu, ako napríklad nemajetkovú ujmu (255).

(149)

Jednotlivec môže napokon podať sťažnosť na tribunáli pre kontrolu vyšetrovacích právomocí (Investigatory Powers Tribunal) v súvislosti s akýmkoľvek konaním spravodajských služieb Spojeného kráľovstva alebo v ich mene (256). Tento tribunál bol zriadený zákonom o regulácii vyšetrovacích právomocí pre Anglicko, Wales a Severné Írsko z roku 2000 a zákonom o regulácii vyšetrovacích právomocí (Škótsko) z roku 2000 pre Škótsko, pričom je nezávislý od výkonnej moci (257). V súlade s § 65 zákona o regulácii vyšetrovacích právomocí z roku 2000 členov tribunálu pre kontrolu vyšetrovacích právomocí vymenúva jej veličenstvo na obdobie piatich rokov.

(150)

Z funkcie môže člena tribunálu odvolať jej veličenstvo na základe jej určenému prejavu vôle (tzv. Address) (258) oboch snemovní parlamentu (259).

(151)

Keď chce jednotlivec podať návrh na začatie konania na tribunáli pre kontrolu vyšetrovacích právomocí (ďalej len „požiadavka aktívnej legitimácie“), musí byť podľa § 65 zákona o regulácii vyšetrovacích právomocí z roku 2000 presvedčený, že i) spravodajská služba konala vo vzťahu k nemu, k jeho akémukoľvek majetku, k akejkoľvek komunikácii uskutočnenej ním alebo jemu určenej, k jeho využitiu akejkoľvek poštovej služby, telekomunikačnej služby alebo telekomunikačného systému (260), a ii) že k tomuto konaniu došlo za napadnuteľných okolností (261) alebo bolo vykonané spravodajskými službami alebo v ich mene (262). Keďže najmä tento štandard „presvedčenia“ bol vykladaný pomerne široko (263), podanie návrhu na tento tribunál podlieha pomerne nízkym požiadavkám na aktívnu legitimáciu.

(152)

Ak sa tribunál pre kontrolu vyšetrovacích právomocí zaoberá sťažnosťou, ktorá mu bola predložená, je jeho povinnosťou preskúmať, či osoby, voči ktorým sťažnosť smeruje, vyvíjali určité aktivity vo vzťahu k sťažovateľovi, ako aj vyšetriť orgán, ktorý sa údajne dopustil porušenia a či k údajnej aktivite došlo (264). Tribunál je povinný v rámci svojho konania uplatniť pri rozhodovaní v tomto konaní rovnaké zásady, aké by uplatnil súd v prípade návrhu na súdne preskúmanie (265).

(153)

Tribunál musí sťažovateľovi oznámiť, či bolo rozhodnuté v jeho prospech (266). Podľa § 67 ods. 6 a 7 zákona o regulácii vyšetrovacích právomocí z roku 2000 má tribunál právomoc vydať predbežné uznesenie a vydať akékoľvek rozhodnutie o náhrade škody alebo iné rozhodnutie, ktoré považuje za vhodné (267). Podľa § 67A zákona o regulácii vyšetrovacích právomocí z roku 2000 možno proti rozhodnutiu tribunálu podať odvolanie s výhradou povolenia udeleného tribunálom alebo príslušným odvolacím súdom.

(154)

Jednotlivci môžu podať žalobu – a dosiahnuť nápravu – na tribunáli pre kontrolu vyšetrovacích právomocí v prípade, že sa domnievajú, že určitý verejný orgán konal (alebo navrhuje konať) spôsobom, ktorý je nezlučiteľný s právami podľa EDĽP vrátane práva na súkromie a ochranu údajov, a takéto konanie je preto nezákonné podľa § 6 ods. 1 zákona o ľudských právach z roku 1998. Tribunálu pre kontrolu vyšetrovacích právomocí bola udelená výlučná právomoc pre všetky žaloby opierajúce sa o zákon o ľudských právach vo vzťahu k spravodajským službám. To znamená, ako uviedol Vrchný súd (High Court), že to, „či došlo k porušeniu zákona o ľudských právach v súvislosti so skutkovými okolnosťami konkrétneho prípadu, je niečo, čo môže v zásade prerokovať a rozhodnúť nezávislý súd, ktorý môže mať prístup ku všetkým relevantným materiálom vrátane tajných materiálov. […] V tejto súvislosti berieme do úvahy aj to, že aj na tribunál pre kontrolu vyšetrovacích právomocí sa teraz vzťahuje možnosť podať odvolanie na príslušný odvolací súd [v Anglicku a Walese by to bol odvolací súd (Court of Appeal)], pričom najvyšší súd (Supreme Court) nedávno rozhodol, že tribunál pre kontrolu vyšetrovacích právomocí v zásade podlieha súdnemu preskúmaniu: pozri R (Privacy International)/Investigatory Powers Tribunal [2019] UKSC 22; [2019] 2 WLR 1219“ (268). Ak tribunál zistí, že akýkoľvek akt orgánu verejnej moci je nezákonný, môže v rámci svojich právomocí nariadiť akúkoľvek nápravu alebo vydať akýkoľvek príkaz, ktoré považuje za vhodné a primerané (269).

(155)

Jednotlivec môže za porušenie práv zaručených EDĽP vrátane práva na súkromie a ochranu údajov po vyčerpaní vnútroštátnych prostriedkov nápravy dosiahnuť nápravu pred Európskym súdom pre ľudské práva.

(156)

Z uvedeného vyplýva, že poskytnutie údajov prenášaných podľa tohto rozhodnutia orgánmi Spojeného kráľovstva príslušnými na presadzovanie trestného práva iným orgánom verejnej moci vrátane spravodajských služieb je ohraničené obmedzeniami a podmienkami zabezpečujúcimi, že takéto ďalšie poskytnutie bude potrebné a primerané a bude podliehať osobitným zárukám ochrany údajov podľa zákona o ochrane údajov z roku 2018. Okrem toho na spracúvanie údajov dotknutými orgánmi verejnej moci dohliadajú nezávislé orgány a dotknutí jednotlivci majú prístup k účinným prostriedkom súdnej nápravy.

(157)

Komisia sa domnieva, že v časti 3 zákona o ochrane údajov z roku 2018 sa zabezpečuje úroveň ochrany osobných údajov prenášaných príslušnými orgánmi v Únii na účely presadzovania trestného práva príslušným orgánom Spojeného kráľovstva, ktorá je v zásade rovnocenná s úrovňou zaručenou smernicou (EÚ) 2016/680.

(158)

Komisia sa okrem toho domnieva, že mechanizmy dohľadu a možnosti získania nápravy v právnom poriadku Spojeného kráľovstva umožňujú ako celok v praxi odhaliť a postihnúť porušovanie a poskytujú dotknutej osobe právne prostriedky nápravy na získanie prístupu k osobným údajom, ktoré sa jej týkajú, a prípadne aj na dosiahnutie opravy alebo vymazania takýchto údajov.

(159)

Komisia sa napokon na základe dostupných informácií o právnom poriadku Spojeného kráľovstva domnieva, že akýkoľvek zásah do základných práv jednotlivcov, ktorých osobné údaje do Spojeného kráľovstva prenášajú verejné orgány Spojeného kráľovstva z Európskej únie na účely verejného záujmu, a to aj v súvislosti s výmenou osobných údajov medzi orgánmi presadzovania práva a inými orgánmi verejnej moci, ako sú vnútroštátne bezpečnostné orgány, sa obmedzí na to, čo je nevyhnutne potrebné na dosiahnutie dotknutého legitímneho cieľa, a že existuje účinná právna ochrana proti takémuto zásahu.

(160)

Preto by sa malo rozhodnúť, že Spojené kráľovstvo zabezpečuje primeranú úroveň ochrany v zmysle článku 36 ods. 2 smernice (EÚ) 2016/680 vykladaného so zreteľom na Chartu základných práv.

(161)

Tento záver vychádza tak z príslušného vnútroštátneho režimu Spojeného kráľovstva, ako aj z jeho medzinárodných záväzkov, najmä z dodržiavania Európskeho dohovoru o ľudských právach a z podriadenia sa právomoci Európskeho súdu pre ľudské práva. Pretrvávajúce dodržiavanie týchto medzinárodných záväzkov je preto mimoriadne dôležitým prvkom posúdenia, na ktorom sa zakladá toto rozhodnutie.

(162)

Členské štáty a ich orgány sú povinné prijať opatrenia potrebné na dosiahnutie súladu s aktmi inštitúcií Únie, lebo tieto akty požívajú prezumpciu zákonnosti a majú z tohto dôvodu právne účinky dovtedy, kým neuplynie ich platnosť, kým nie sú derogované, zrušené v konaní o žalobe o neplatnosť alebo vyhlásené za neplatné v nadväznosti na návrh na začatie prejudiciálneho konania alebo námietku nezákonnosti.

(163)

Rozhodnutie Komisie o primeranosti prijaté podľa článku 36 ods. 3 smernice (EÚ) 2016/680 je preto záväzné pre všetky orgány členských štátov, ktorým je určené, vrátane ich nezávislých dozorných orgánov. Najmä počas obdobia uplatňovania tohto rozhodnutia sa prenosy od prevádzkovateľa alebo sprostredkovateľa v Únii k prevádzkovateľom alebo sprostredkovateľom v Spojenom kráľovstve môžu uskutočniť bez toho, aby bolo potrebné získať akékoľvek ďalšie povolenie.

(164)

Zároveň treba pripomenúť, že podľa článku 47 ods. 5 smernice (EÚ) 2016/680 a ako Súdny dvor ozrejmil v rozsudku vo veci Schrems, ak vnútroštátny orgán na ochranu údajov spochybňuje, a to aj na základe sťažnosti, zlučiteľnosť rozhodnutia Komisie o primeranosti so základnými právami jednotlivca na súkromie a ochranu údajov, vnútroštátne právo mu musí poskytnúť právny prostriedok nápravy umožňujúci uplatniť tieto výhrady na vnútroštátnom súde, ktorý môže mať povinnosť podať návrh na začatie prejudiciálneho konania na Súdnom dvore (270).

(165)

Podľa článku 36 ods. 4 smernice (EÚ) 2016/680 má Komisia po prijatí tohto rozhodnutia priebežne monitorovať príslušný vývoj v Spojenom kráľovstve, s cieľom posúdiť, či Spojené kráľovstvo stále zabezpečuje v zásade rovnocennú úroveň ochrany. Takéto monitorovanie je v tomto prípade osobitne dôležité, keďže Spojené kráľovstvo bude spravovať, uplatňovať a presadzovať nový režim ochrany údajov, ktorý už nepodlieha právu Únie a ktorý sa môže vyvíjať. V tejto súvislosti sa bude osobitná pozornosť venovať praktickému uplatňovaniu pravidiel Spojeného kráľovstva o prenosoch osobných údajov do tretích krajín, a to aj prostredníctvom uzatvárania medzinárodných dohôd, a dosahu, ktorý tento prenos môže mať na úroveň ochrany poskytovanej údajom prenášaným na základe tohto rozhodnutia, ako aj účinnosti uplatňovania individuálnych práv v oblastiach, na ktoré sa vzťahuje toto rozhodnutie. Monitorovanie Komisie bude okrem iných prvkov vychádzať z informácií o vývoji judikatúry a dohľade zo strany Komisára pre informácie a ďalších nezávislých orgánov.

(166)

V záujme tohto monitorovania by mali orgány Spojeného kráľovstva bezodkladne a pravidelne informovať Komisiu o každej podstatnej zmene právneho poriadku Spojeného kráľovstva, ktorá má vplyv na právny rámec, ktorý je predmetom tohto rozhodnutia, ako aj o akomkoľvek vývoji postupov týkajúcich sa spracúvania osobných údajov posudzovaných v tomto rozhodnutí, a to najmä pokiaľ ide o prvky uvedené v odôvodnení (165).

(167)

Navyše, aby Komisia mohla účinne vykonávať svoju monitorovaciu funkciu, mali by ju členské štáty informovať o všetkých relevantných opatreniach, ktoré prijali vnútroštátne orgány pre ochranu údajov, najmä pokiaľ ide o otázky alebo sťažnosti dotknutých osôb z EÚ týkajúce sa prenosu osobných údajov z Únie príslušným orgánom v Spojenom kráľovstve. Komisia by mala byť informovaná aj o akýchkoľvek známkach toho, že opatrenia orgánov verejnej moci Spojeného kráľovstva zodpovedných za predchádzanie trestným činom, ich vyšetrovanie, odhaľovanie alebo stíhanie vrátane akýchkoľvek dozorných orgánov nezabezpečujú požadovanú úroveň ochrany.

(168)

Ak dostupné informácie, najmä informácie vyplývajúce z monitorovania tohto rozhodnutia alebo poskytnuté orgánmi Spojeného kráľovstva alebo členských štátov, odhalia, že úroveň ochrany poskytovaná Spojeným kráľovstvom už nemusí byť primeraná, Komisia by o tom mala informovať príslušné orgány Spojeného kráľovstva a požiadať o prijatie náležitých opatrení v určenej lehote, ktorá nesmie presiahnuť tri mesiace. Táto lehota sa môže predĺžiť v prípade potreby o určený čas, a to pri zohľadnení povahu príslušnej záležitosti a/alebo opatrenia, ktoré majú byť prijaté.

(169)

Ak po uplynutí uvedenej stanovenej lehoty príslušné orgány Spojeného kráľovstva neprijmú takéto opatrenia alebo inak uspokojivo nepreukážu, že toto rozhodnutie sa naďalej zakladá na primeranej úrovni ochrany, Komisia začne postup uvedený v článku 58 ods. 2 smernice (EÚ) 2016/680 s cieľom čiastočne alebo úplne pozastaviť alebo zrušiť toto rozhodnutie.

(170)

Alternatívne Komisia začne postup s cieľom zmeniť toto rozhodnutie, najmä podriadením prenosu údajov dodatočným podmienkam alebo obmedzením rozsahu konštatovanej primeranosti len na tie prenosy údajov, pri ktorých je naďalej zabezpečená primeraná úroveň ochrany.

(171)

Komisia využije z riadne odôvodnených vážnych a naliehavých dôvodov možnosť prijať v súlade s postupom uvedeným v článku 58 ods. 3 smernice (EÚ) 2016/680 okamžite uplatniteľné vykonávacie akty, ktorými sa pozastaví, zruší alebo zmení toto rozhodnutie.

(172)

Malo by sa zohľadniť, že po skončení prechodného obdobia stanoveného v dohode o vystúpení a hneď, ako sa prestane uplatňovať dočasné ustanovenie podľa článku 782 Dohody o obchode a spolupráci medzi EÚ a Spojeným kráľovstvom, bude Spojené kráľovstvo v porovnaní s režimom uplatňovaným v čase, keď bolo viazané právom Európskej únie, spravovať, uplatňovať a presadzovať nový režim ochrany údajov. Môže to zahŕňať najmä zmeny rámca ochrany údajov, ktorý bol predmetom posúdenia v tomto rozhodnutí, ako aj ďalší relevantný vývoj.

(173)

Preto je vhodné stanoviť, že toto rozhodnutie sa bude uplatňovať počas obdobia štyroch rokov od nadobudnutia jeho účinnosti.

(174)

Ak najmä z informácií vyplývajúcich z monitorovania tohto rozhodnutia vyplynie, že zistenia týkajúce sa primeranosti úrovne ochrany zabezpečenej v Spojenom kráľovstve sú stále fakticky a právne odôvodnené, Komisia by mala najneskôr šesť mesiacov pred skončením uplatňovania tohto rozhodnutia začať postup na zmenu tohto rozhodnutia predĺžením jeho časovej pôsobnosti v zásade o ďalšie štyri roky. Akýkoľvek vykonávací akt, ktorým sa mení toto rozhodnutie, sa má prijať v súlade s postupom uvedeným v článku 58 ods. 2 smernice (EÚ) 2016/680.

(175)

Európsky výbor pre ochranu údajov zverejnil svoje stanovisko (271), ktoré bolo zohľadnené pri príprave tohto rozhodnutia.

(176)

Opatrenia stanovené v tomto rozhodnutí sú v súlade so stanoviskom výboru zriadeného podľa článku 58 smernice (EÚ) 2016/680.

(177)

V súlade s článkom 6a Protokolu č. 21 o postavení Spojeného kráľovstva a Írska s ohľadom na priestor slobody, bezpečnosti a spravodlivosti, ktorý je pripojený k ZEÚ a ZFEÚ, Írsko nie je viazané pravidlami stanovenými v smernici (EÚ) 2016/680, a teda ani týmto vykonávacím rozhodnutím, ktoré sa týkajú spracúvania osobných údajov členskými štátmi pri vykonávaní činností, ktoré patria do rozsahu pôsobnosti tretej časti hlavy V kapitoly 4 alebo kapitoly 5 ZFEÚ, ak Írsko nie je viazané pravidlami, ktorými sa spravujú formy justičnej spolupráce v trestných veciach alebo policajnej spolupráce, v rámci ktorých sa musia dodržiavať ustanovenia prijaté na základe článku 16 ZFEÚ. Napokon, podľa vykonávacieho rozhodnutia Rady (EÚ) 2020/1745 (272), by sa smernica (EÚ) 2016/680 mala v Írsku stať účinnou a uplatňovať na predbežnom základe od 1. januára 2021. Írsko je preto týmto vykonávacím rozhodnutím viazané, a to za rovnakých podmienok, aké sa vzťahujú na uplatňovanie smernice (EÚ) 2016/680 v Írsku, ako sa stanovuje vo vykonávacom rozhodnutí Rady (EÚ) 2020/1745, pokiaľ ide o schengenské acquis, na ktorom sa Írsko zúčastňuje.

(178)

V súlade s článkami 2 a 2a Protokolu č. 22 o postavení Dánska, ktorý je pripojený k Zmluve o Európskej únii a Zmluve o fungovaní Európskej únie, Dánsko nie je viazané pravidlami stanovenými v smernici (EÚ) 2016/680, a teda ani týmto vykonávacím rozhodnutím, ani nepodlieha ich uplatňovaniu, ktoré sa týkajú spracúvania osobných údajov členskými štátmi pri vykonávaní činností, ktoré patria do rozsahu pôsobnosti tretej časti hlavy V kapitoly 4 alebo kapitoly 5 ZFEÚ. Vzhľadom na to, že smernica (EÚ) 2016/680 je založená na schengenskom acquis, Dánsko v súlade s článkom 4 uvedeného protokolu oznámilo 26. októbra 2016 svoje rozhodnutie vykonávať smernicu (EÚ) 2016/680. Dánsko je preto v súlade s medzinárodným právom povinné vykonávať toto vykonávacie rozhodnutie.

(179)

Pokiaľ ide o Island a Nórsko, toto vykonávacie rozhodnutie predstavuje vývoj ustanovení schengenského acquis v zmysle Dohody uzatvorenej medzi Radou Európskej únie a Islandskou republikou a Nórskym kráľovstvom o pridružení týchto dvoch štátov pri vykonávaní, uplatňovaní a rozvoji schengenského acquis (273).

(180)

Pokiaľ ide o Švajčiarsko, toto vykonávacie rozhodnutie predstavuje vývoj ustanovení schengenského acquis v zmysle Dohody medzi Európskou úniou, Európskym spoločenstvom a Švajčiarskou konfederáciou o pridružení Švajčiarskej konfederácie k vykonávaniu, uplatňovaniu a vývoju schengenského acquis (274).

(181)

Pokiaľ ide o Lichtenštajnsko, toto vykonávacie rozhodnutie predstavuje vývoj ustanovení schengenského acquis v zmysle Protokolu medzi Európskou úniou, Európskym spoločenstvom, Švajčiarskou konfederáciou a Lichtenštajnským kniežatstvom o pristúpení Lichtenštajnského kniežatstva k Dohode medzi Európskou úniou, Európskym spoločenstvom a Švajčiarskou konfederáciou o pridružení Švajčiarskej konfederácie k vykonávaniu, uplatňovaniu a vývoju schengenského acquis (275).