Commission Implementing Decision (EU) 2016 / 2571 of 19 December 2025 amending Commission Implementing Decision (EU) 2021 / 1773 pursuant to Directive (EU) 2016 / 680 of the European Parliament and of the Council on the adequate protection of personal data provided by the United Kingdom (notified under document C (2025) 8782)

(1)

Prováděcí rozhodnutí Komise (EU) 2021/1773 (2) dospělo k závěru, že pro účely článku 36 směrnice (EU) 2016/680 Spojené království zajišťuje odpovídající úroveň ochrany osobních údajů předávaných v oblasti působnosti uvedené směrnice z Evropské unie do Spojeného království.

(2)

Při přijímání prováděcího rozhodnutí (EU) 2021/1773 vzala Komise v úvahu, že až skončí přechodné období stanovené v Dohodě o vystoupení Spojeného království Velké Británie a Severního Irska z Evropské unie a Evropského společenství pro atomovou energii (3) a jakmile přestane platit prozatímní ustanovení podle článku 782 Dohody o obchodu a spolupráci mezi Evropskou unií a Evropským společenstvím pro atomovou energii na jedné straně a Spojeným královstvím Velké Británie a Severního Irska na straně druhé (4), Spojené království přijme, bude uplatňovat a prosazovat nový režim ochrany údajů, který se liší od režimu existujícího v době, kdy bylo vázáno právem Unie.

(3)

Vzhledem k tomu, že to může zahrnovat zejména úpravy rámce pro ochranu údajů posuzovaného v prováděcím rozhodnutí (EU) 2021/1773 nebo další relevantní změny, bylo považováno za vhodné stanovit, že uvedené rozhodnutí bude použitelné po dobu čtyř let od svého vstupu v platnost. Použitelnost prováděcího rozhodnutí (EU) 2021/1773 tudíž skončí dne 27. června 2025, pokud nebude prodloužena v souladu s postupem uvedeným v čl. 58 odst. 2 směrnice (EU) 2016/680.

(4)

Aby mohla Komise rozhodnout o případném prodloužení použitelnosti prováděcího rozhodnutí (EU) 2021/1773, musí posoudit, zda závěr, že Spojené království zajišťuje odpovídající úroveň ochrany, zůstává věcně a právně odůvodněný ve světle vývoje, který nastal od přijetí prováděcího rozhodnutí (EU) 2021/1773 s ohledem na prvky uvedené v čl. 36 odst. 2 směrnice (EU) 2016/680.

(5)

Zejména dne 23. října 2024 předložila vláda Spojeného království parlamentu Spojeného království návrh zákona o údajích (o používání údajů a přístupu k nim) (5), v němž navrhuje změny zákona o ochraně údajů z roku 2018, který je posuzován v prováděcím rozhodnutí (EU) 2021/1773. Dne 24. června 2025 přijala Komise prováděcí rozhodnutí Komise (EU) 2025/1225 (6), kterým prodloužila platnost rozhodnutí (EU) 2021/1773 o šest měsíců do 27. prosince 2025. Toto časově omezené technické prodloužení umožnilo Komisi dokončit posouzení odpovídající úrovně ochrany osobních údajů poskytované Spojeným královstvím na základě stabilního právního rámce, tj. po ukončení příslušného legislativního procesu.

(6)

Od přijetí prováděcího rozhodnutí (EU) 2021/1773 Komise průběžně sledovala příslušný vývoj ve Spojeném království (7). V souladu se 165. bodem odůvodnění prováděcího rozhodnutí 2021/1773 byla zvláštní pozornost věnována uplatňování pravidel Spojeného království pro předávání osobních údajů do třetích zemí v praxi a možnému dopadu tohoto uplatňování na úroveň ochrany poskytovanou údajům předávaným podle prováděcího rozhodnutí (EU) 2021/1773 i účinnosti výkonu individuálních práv, včetně případného příslušného vývoje v oblasti práva a praxe, pokud jde o výjimky z těchto práv nebo omezení těchto práv. V rámci sledování ze strany Komise byl kromě jiných prvků zohledněn vývoj judikatury a dohledu ze strany Úřadu komisaře pro informace a ostatních nezávislých subjektů.

(7)

Na základě posouzení tohoto vývoje, včetně změn zákona o ochraně údajů z roku 2018 zavedených zákonem o údajích (o používání údajů a přístupu k nim), dospěla Komise k závěru, že Spojené království nadále zajišťuje odpovídající úroveň ochrany osobních údajů předávaných v oblasti působnosti směrnice (EU) 2016/680 z Evropské unie do Spojeného království.

(8)

Při přijetí prováděcího rozhodnutí (EU) 2021/1773 byl právní rámec pro zpracování osobních údajů příslušnými orgány za účelem předcházení trestným činům, jejich vyšetřování, odhalování či stíhání nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení ve Spojeném království, stanoven v příslušných částech zákona o ochraně údajů z roku 2018 (8) ve znění pozměněném nařízeními v oblasti ochrany údajů, soukromí a elektronických komunikací (změny atd.) (vystoupení z EU) z roku 2019 (nařízení o v oblasti ochrany údajů, soukromí a elektronických komunikací) (9), a zejména v části 3 uvedeného zákona.

(9)

Tento zákon, který přesně odrážel odpovídající pravidla platná v Evropské unii, sice nadále tvoří právní předpisy Spojeného království o ochraně údajů pro příslušné činnosti zpracování, ale od té doby prošel omezenými změnami, což odráží skutečnost, že Spojené království již nepodléhá právu Evropské unie.

(10)

Zaprvé, zákon o zachovaném právu EU (o zrušení a reformě) z roku 2023 (10) upřesnil, že obecné zásady práva EU již nejsou po konci roku 2023 součástí vnitrostátního práva Spojeného království (11). Kromě toho soudy Spojeného království již nesmí vykládat nepozměněné „začleněné právní předpisy“, které byly dříve označovány jako „zachované právo EU“, v souladu s obecnými zásadami práva EU, ale takové právo musí být místo toho vykládáno v souladu s vnitrostátním právem Spojeného království (12). Nepozměněné začleněné právní předpisy však musí být nadále vykládány příslušnými soudy Spojeného království v souladu s příslušnou judikaturou Evropského soudního dvora vydanou před koncem přechodného období (13), jak je rovněž uvedeno v 12. bodě odůvodnění prováděcího rozhodnutí (EU) 2021/1773. Zákon o ochraně údajů z roku 2018 byl pozměněn zákonem o údajích (o používání údajů a přístupu k nim), aby se vyjasnil účinek zákona o zachovaném právu EU (o zrušení a reformě) na právní předpisy Spojeného království o ochraně údajů. Například čl. 183 A odst. 1 zákona o ochraně údajů z roku 2018 obecně stanoví, že se předpokládá, že veškeré nové právní předpisy (přijaté 20. srpna 2025 nebo později), které zavádějí nové povinnosti nebo pravomoci ke zpracování osobních údajů, podléhají právním předpisům Spojeného království o ochraně údajů. To znamená, že rámec ochrany údajů ve Spojeném království má i nadále přednost před ostatními právními předpisy. Podle čl. 183 A odst. 2 písm. b) zákona o ochraně údajů z roku 2018 lze tuto domněnku neuplatnit, pokud se tak parlament Spojeného království záměrně rozhodne výslovně v právních předpisech, čímž se zachová parlamentní svrchovanost. Kromě toho čl. 186 odst. 2 A zákona o ochraně údajů z roku 2018 upřesňuje, že čl. 186 odst. 1 zákona o ochraně údajů z roku 2018, který stanoví, že právní předpisy zakazující nebo omezující poskytování informací nemají přednost před určitými právy na ochranu údajů, není nadřazen omezením práv subjektů údajů uvedených v čl. 186 odst. 3 zákona o ochraně údajů z roku 2018. Tím je zajištěno, že například omezení práv subjektu údajů stanovená v zákoně o ochraně údajů z roku 2018 sama o sobě nespadají pod obecnou „nadřazenost ochrany údajů“ v čl. 186 odst. 1 zákona o ochraně údajů z roku 2018.

(11)

Zadruhé, od přijetí prováděcího rozhodnutí (EU) 2021/1773 byly právní předpisy Spojeného království o ochraně údajů pozměněny prostřednictvím změny nařízení o ochraně údajů (o základních právech a svobodách) z roku 2023 (14). Tato nařízení definují odkazy na základní práva nebo základní svobody v zákoně o ochraně údajů z roku 2018 (které byly dříve definovány tak, že se vztahují na základní práva a svobody EU (15)), jako odkazy na práva podle Evropské úmluvy o lidských právech, kterým byla přiznána účinnost ve vnitrostátním právu Spojeného království na základě zákona o lidských právech z roku 1998 (16). Zákon o lidských právech z roku 1998 začleňuje práva obsažená v Evropské úmluvě o lidských právech do práva Spojeného království. Zákon o lidských právech přiznává každému jednotlivci základní práva a svobody stanovené v článcích 2 až 12 a v článku 14 Evropské úmluvy o lidských právech, v článcích 1, 2 a 3 prvního protokolu této úmluvy a v článku 1 jejího třináctého protokolu ve spojení s články 16, 17 a 18 uvedené úmluvy. To zahrnuje právo na respektování soukromého a rodinného života (a ochranu osobních údajů jako součást tohoto práva) a právo na spravedlivý proces (17).

(12)

A konečně, zákon o ochraně údajů z roku 2018 byl předmětem cílených reforem, které byly uvedeny v páté a šesté části zákona o údajích (o používání údajů a přístupu k nim). Ačkoli oblast působnosti zákona o údajích (o používání údajů a přístupu k nim) značně přesahuje ochranu osobních údajů, stanoví omezené změny několika aspektů režimu ochrany údajů, jako jsou mimo jiné způsoby výkonu práv subjektů údajů, podmínky pro automatizované rozhodování a rozsah některých požadavků na odpovědnost. Nadto zákon o údajích (o používání údajů a přístupu k nim) mění strukturu řízení Úřadu komisaře pro informace. Po zavedení těchto opatření bude Úřad komisaře pro informace nahrazen novým subjektem, a to Komisí pro informace. Úloha a funkce regulačního orgánu jakožto nezávislého dozorového úřadu pro ochranu údajů ve Spojeném království se nemění. Zákon rovněž zavádí nové donucovací pravomoci regulačního orgánu.

(13)

Toto rozhodnutí posuzuje legislativní, regulační a další vývoj, který má význam pro závěr o úrovni ochrany zaručené Spojeným královstvím učiněný v prováděcím rozhodnutí (EU) 2021/1773. Posouzení provedené v prováděcím rozhodnutí (EU) 2021/1773 zůstává v platnosti pro ty aspekty rámce Spojeného království pro ochranu údajů, které nebyly od přijetí prováděcího rozhodnutí (EU) 2021/1773 změněny nebo ovlivněny jiným vývojem.

(14)

Legislativní, regulační a další relevantní vývoj je podrobně analyzován v následujících oddílech na základě standardu odpovídající ochrany, podle něhož musí Komise určit, zda daná třetí země zaručuje úroveň ochrany „v podstatě rovnocennou“ té, která je zajištěna v Evropské unii (18). Jak objasnil Soudní dvůr Evropské unie, nevyžaduje to zjištění stejné úrovně ochrany (19). Zejména prostředky, které dotyčná třetí země k ochraně osobních údajů využívá, se mohou lišit od prostředků zavedených v Evropské unii, pokud se v praxi ukážou jako účinné k zajištění odpovídající úrovně ochrany (20). Standard odpovídající ochrany tedy nevyžaduje opakování pravidel Unie slovo od slova. Kritériem je spíše to, zda zahraniční právní systém jako celek zajišťuje prostřednictvím podstaty práv na ochranu údajů a jejich účinného uplatňování, dozoru nad nimi a vymáhání těchto práv požadovanou úroveň ochrany (21).

(15)

V režimu ochrany údajů ve Spojeném království nadále platí základní pojmy ochrany údajů, které odrážejí terminologii směrnice (EU) 2016/680. Tyto pojmy byly posouzeny v 26. a 27. bodě odůvodnění prováděcího rozhodnutí (EU) 2021/1773.

(16)

Zákon o údajích (o používání údajů a přístupu k nim) zejména upřesňuje definici a podmínky pro získání souhlasu, čímž potvrzuje právní rámec upravující používání souhlasu jako zákonného základu pro zpracování osobních údajů (22). Aktualizovaná ustanovení kopírují znění britského nařízení GDPR, čímž se zvyšuje konzistentnost režimů ochrany údajů ve Spojeném království. Tento soulad usnadňuje přesnější výklad ze strany příslušných orgánů, pokud se spoléhají na souhlas jako na zákonný základ pro zpracování.

(17)

Zaprvé, článek 69 zákona o údajích (o používání údajů a přístupu k nim) zavádí do zákona o ochraně údajů z roku 2018 nový odstavec 33(1 A), který definuje „souhlas“ jako svobodný, konkrétní, informovaný a jednoznačný projev vůle subjektu údajů. Tento projev vůle musí být dán v prohlášení nebo zjevným potvrzením a musí vyjadřovat souhlas fyzické osoby se zpracováním jejích osobních údajů.

(18)

Zadruhé se stejným článkem do zákona o ochraně údajů z roku 2018 přidává článek 40 A, který stanoví podmínky, jež musí být splněny, pokud je třeba se opřít o souhlas. Správce musí být schopen prokázat, že subjekt údajů platný souhlas poskytl. Pokud je souhlas získán písemně jako součást širšího dokumentu, musí být prezentován způsobem, který jej jasně odlišuje od ostatních záležitostí, a to za použití jasných a jednoduchých jazykových prostředků. Ustanovení dokumentu, která nejsou v souladu s těmito standardy, nejsou závazná (23).

(19)

Správci nebo zpracovatelé musí také před získáním souhlasu informovat jednotlivce o jeho právu na odvolání souhlasu. Proces odvolání musí být stejně snadný jako proces udělení souhlasu. Tím je zajištěno, že si subjekt údajů zachová skutečnou kontrolu nad používáním svých osobních údajů po celou dobu (24).

(20)

A konečně, zákon o údajích (o používání údajů a přístupu k nim) objasňuje, že při posuzování, zda je souhlas „svobodně udělen“, je třeba zvážit, zda bylo poskytnutí služby podmíněno souhlasem subjektu údajů se zpracováním osobních údajů, které se pro poskytnutí této služby nevyžaduje. Pokud ano, může to zpochybnit platnost souhlasu (25).

(21)

Důležité je, že podle revidované části 3 zákona o ochraně údajů z roku 2018 není souhlas nadále právním základem, který je relevantní pro operace zpracování spadající do oblasti působnosti tohoto rozhodnutí, jak je vysvětleno v 35. bodě odůvodnění prováděcího rozhodnutí (EU) 2021/1773. Kromě toho, jak je uvedeno v 36. bodě odůvodnění prováděcího rozhodnutí (EU) 2021/1773, zpracování v souvislosti s prosazováním práva nadále není možné pouze na základě souhlasu, protože příslušný orgán musí mít vždy základní pravomoc, která mu umožňuje údaje zpracovávat. To konkrétně znamená, že – podobně, jako je povoleno podle směrnice (EU) 2016/680 (26), – souhlas slouží jako další podmínka umožňující určité omezené a specifické operace zpracování, které by jinak nemohly být provedeny, například odběr a zpracování vzorku DNA jednotlivce, který není podezřelou osobou.

(22)

Rámec Spojeného království pro ochranu údajů nadále poskytuje zvláštní záruky v případech, kdy se jedná o zvláštní kategorie údajů, jak je posouzeno v 38. až 42. bodě odůvodnění prováděcího rozhodnutí (EU) 2021/1773.

(23)

Definice zvláštních kategorií osobních údajů i zvláštní pravidla pro zpracování těchto kategorií údajů v části 3 zákona o ochraně údajů z roku 2018 zůstávají v platnosti. Zákon o údajích (o používání údajů a přístupu k nim) zároveň svěřuje ministrovi nové regulační pravomoci, které mu umožňují přidávat zvláštní kategorie údajů a v případě potřeby upravovat podmínky pro jejich používání (27). Důležité je, že tato pravomoc ministrovi neumožňuje odstranit nebo změnit stávající zvláštní kategorie údajů ani změnit podmínky pro zpracování těchto kategorií (28).

(24)

Tyto změny proto nemají vliv na úroveň ochrany zvláštních kategorií osobních údajů, která je v podstatě rovnocenná ochraně v rámci EU podle prováděcího rozhodnutí (EU) 2021/1773.

(25)

Podle právního rámce Spojeného království mají subjekty údajů nadále stejná individuální práva jako podle směrnice (EU) 2016/680, která lze uplatnit vůči správci nebo zpracovateli, zejména právo na přístup k údajům, právo vznést námitku proti zpracování a právo na opravu a výmaz údajů, jak je posouzeno v 57. až 65 bodě odůvodnění prováděcího rozhodnutí (EU) 2021/1773.

(26)

Zákon o údajích (o používání údajů a přístupu k nim) objasňuje určité způsoby, jakými lze tato práva vykonávat.

(27)

Zaprvé, podle stávajícího režimu jsou správci údajů oprávněni žádost odmítnout nebo si účtovat přiměřený poplatek, pokud je žádost zjevně nedůvodná nebo nepřiměřená (29). V tomto ohledu zákon o údajích (o používání údajů a přístupu k nim) svěřuje ministrovi novou regulační pravomoc, která mu umožňuje vydávat nařízení, jež správcům údajů ukládají povinnost vypracovat a zveřejnit pokyny týkající se poplatků, které za těchto okolností účtují. Pokud správci údajů nadto odmítnou vyhovět žádosti z výše uvedeného důvodu, zákon o údajích (o používání a přístupu k nim) upřesnil, že stále mají povinnost oznámit subjektu údajů důvody odmítnutí a jeho právo podat stížnost u komisaře pro informace. Toto oznámení musí být poskytnuto bez zbytečného odkladu (30).

(28)

Zadruhé, zákon o údajích (o používání údajů a přístupu k nim) stanoví lhůty, v nichž musí správci na žádosti subjektů údajů reagovat. Přesněji řečeno, sjednocuje požadované lhůty pro reakci s lhůtami stanovenými v britském nařízení GDPR. Revidovaná ustanovení rovněž umožňují prodloužení lhůty pro reakci až o další dva měsíce v případech, kdy je žádost složitá nebo kdy jsou obdrženy vícenásobné žádosti. V takových případech musí správce informovat subjekt údajů o prodloužení a jeho důvodech (31). Zákon o údajích (o používání údajů a přístupu k nim) rovněž zavedl mechanismus, který správcům umožňuje pozastavit lhůtu pro reakci na žádost v případech, kdy jsou k identifikaci požadovaných údajů zapotřebí další informace od subjektu údajů (32).

(29)

Zatřetí, pokud jde pouze o právo na přístup k informacím a osobním údajům, zákon o údajích (o používání údajů a přístupu k nim) mění článek 45 zákona o ochraně údajů z roku 2018 tak, aby zahrnoval upřesnění vytvořené na základě stávající vnitrostátní judikatury, vycházející z principu proporcionality podle práva EU, že správci musí provádět pouze důvodné a přiměřené vyhledávání požadovaných informací a osobních údajů (33). Očekává se, že nové ustanovení bude vykládáno v souladu se stávající judikaturou, která stanoví, že „[…] při posuzování proporcionality se zvažuje konečný cíl vyhledávání, tedy potenciální prospěch, který by poskytnutí informací mohlo subjektu údajů přinést, v porovnání s prostředky, jimiž jsou tyto informace získávány. V každém konkrétním případě je třeba posoudit, zda vyhledání a poskytnutí informací nebude spojeno s nepřiměřeným úsilím v porovnání s výhodami, které by mohly subjektu údajů přinést“  (34).

(30)

Ačkoli tedy způsoby reakce na žádosti subjektů údajů podléhají podrobnějším pravidlům, systém Spojeného království nadále zajišťuje, že žádosti subjektů údajů musí být vyřízeny v přiměřených lhůtách stanovených na základě objektivních faktorů. Hmotněprávní povinnosti správce při reakci na žádosti o přístup jsou kromě toho stanoveny na základě zavedených právních standardů, které zohledňují i zájmy subjektu údajů. Konečně, v současných pokynech Úřadu komisaře pro informace je již stanoveno, že správce není povinen provádět vyhledávání, které by bylo nepřiměřené nebo neúměrné významu poskytování přístupu k informacím (35).

(31)

Nadto zákon o údajích (o používání údajů a přístupu k nim) zavedl do zákona o ochraně údajů z roku 2018 nový článek 45 A, který vytváří výslovnou výjimku z povinnosti poskytnout přístup nebo informace subjektu údajů, pokud jsou informace chráněny povinností mlčenlivosti (36). Tato výjimka se vztahuje konkrétně na povinnosti podle čl. 44 odst. 2 a čl. 45 odst. 1 zákona o ochraně údajů z roku 2018, které správcům ukládají povinnost informovat fyzické osoby o zpracování jejich osobních údajů a umožnit jim přístup k těmto údajům (37). Objasňuje, že správci nejsou povinni zveřejňovat informace, pokud by tím porušili povinnost mlčenlivosti. Podobná výjimka existuje i v britském nařízení GDPR (38).

(32)

Pokud jde o záruky, správci musí při uplatnění této výjimky bez zbytečného odkladu písemně informovat subjekt údajů o tom, že výjimka byla uplatněna, vysvětlit důvody tohoto postupu a informovat jej o jeho právu požádat o přezkum u Komise pro informace nebo využít opravné prostředky (39). Pro zajištění odpovědnosti vyžaduje čl. 45 A odst. 4 zákona o ochraně údajů z roku 2018, aby správci vedli záznam o důvodech svého rozhodnutí uplatnit výjimku a aby tento záznam na požádání poskytli Komisi pro informace (40).

(33)

A konečně, zákon o údajích (o používání údajů a přístupu k nim) změnil a konsolidoval stávající výjimky v části 3 zákona o ochraně údajů z roku 2018, které jsou k dispozici příslušným orgánům pro účely národní bezpečnosti. Výjimka týkající se národní bezpečnosti umožňuje příslušným orgánům neuplatňovat některá ustanovení části 3 zákona o ochraně údajů z roku 2018, pokud je výjimka z tohoto ustanovení nutná pro účely ochrany národní bezpečnosti (41). Zrcadlí výjimky týkající se národní bezpečnosti stanovené pro zpracování osobních údajů podle britského nařízení GDPR (stanovené v článku 26 zákona o ochraně údajů z roku 2018) a podle části 4 zákona o ochraně údajů z roku 2018 (stanovené v článku 110 zákona o ochraně údajů z roku 2018).

(34)

Výjimka týkající se národní bezpečnosti podléhá stejným omezením a ochranným opatřením jako výjimky podle britského nařízení GDPR a části 4 zákona o ochraně údajů z roku 2018 analyzované v 64. až 67. a 126. bodě odůvodnění prováděcího rozhodnutí (EU) 2021/1772. Výjimku lze zejména použít pouze v případě, že je to nezbytné k zajištění národní bezpečnosti nebo obrany. Nejedná se o obecnou výjimku a správce ji musí posoudit a případně uplatnit individuálně (42). Jakékoli použití výjimky musí být navíc v souladu se standardy lidských práv (podle zákona o lidských právech z roku 1998 a Evropské úmluvy o lidských právech), podle nichž by jakýkoli zásah do práv na soukromí měl být v demokratické společnosti nezbytný a přiměřený (43). To potvrzují i pokyny Úřadu komisaře pro informace k uplatňování výjimek týkajících se národní bezpečnosti (44).

(35)

Úroveň ochrany osobních údajů předávaných z Evropské unie donucovacím orgánům ve Spojeném království nesmí být oslabena dalším předáváním těchto údajů příjemcům ve třetích zemích. Režim mezinárodního předávání osobních údajů ze Spojeného království zůstává velmi blízký pravidlům stanoveným v kapitole V směrnice (EU) 2016/680, jak je posouzeno v 74. až 87. bodě odůvodnění prováděcího rozhodnutí (EU) 2021/1773.

(36)

Zákon o údajích (o používání údajů a přístupu k nim) sice změnil kapitolu 5 části 3 zákona o ochraně údajů z roku 2018 týkající se předávání osobních údajů příslušným orgánům ve třetích zemích, zachovává však základní požadavek, že a) předání musí být nezbytné pro účely prosazování práva; b) předání musí být založeno na i) předpisech, kterými se předání schvaluje (nahrazujících předchozí nařízení o odpovídající ochraně), ii) podléhá vhodným zárukám, nebo iii) je založeno na zvláštních okolnostech a c) příjemce předání musí být: i) relevantní orgán (tj. ekvivalent příslušného orgánu) ve třetí zemi; ii) mezinárodní organizace, iii) zpracovatel zpracovávající údaje jménem příslušného orgánu, nebo iv) jiná osoba než relevantní orgán, pouze však v případě, že je předání nezbytně nutné pro provedení některého z účelů prosazování práva (45). Tyto obecné zásady pro předávání údajů jsou zohledněny v článku 73 zákona o ochraně údajů z roku 2018, který rovněž stanoví, že předávání osobních údajů do třetí země nebo mezinárodní organizaci je povoleno pouze tehdy, pokud je předávání prováděno v souladu s ostatními ustanoveními části 3 zákona o ochraně údajů u roku 2018 (46).

(37)

Pokud jde konkrétně o nařízení schvalující předání, čl. 74AA odst. 2 zákona o ochraně údajů z roku 2018 stanoví, že ministr může vydat taková nařízení pouze tehdy, pokud se domnívá, že je splněn test ochrany údajů. To znamená, že možnost ministra zavedená v čl. 74AA odst. 3 zákona o ochraně údajů z roku 2018 zohlednit při přijímání takových nařízení vhodné usnadnění toku údajů je vždy podmíněna splněním testu ochrany údajů. Nový článek 74AB (47) zákona o ochraně údajů z roku 2018 formuluje právní standardy pro splnění testu ochrany údajů, a požaduje, aby standard ochrany subjektů údajů v přijímajících zemích nebo v mezinárodních organizacích nebyl podstatně nižší než standard poskytovaný subjektům údajů podle příslušných právních předpisů Spojeného království o ochraně údajů. Ustanovení čl. 74AB odst. 2 zákona o ochraně údajů z roku 2018 pak stanoví demonstrativní výčet prvků, které je třeba vzít v úvahu při posuzování, zda je tento test splněn, jako je dodržování zásad právního státu a lidských práv, existence a pravomoci orgánu pro ochranu údajů, opatření pro soudní nebo mimosoudní nápravu, pravidla pro předávání osobních údajů ze země nebo organizací do jiných zemí nebo mezinárodním organizacím, příslušné mezinárodní závazky země nebo organizace a ústava, tradice a kultura země nebo organizace. Nové ustanovení sice přeformuluje výčet příslušných prvků podle dřívějšího článku 74 A zákona o ochraně údajů z roku 2018, zachovává však základní prvky tohoto výčtu, a proto zůstává blízké tomu, co je uvedeno v článku 36 (EU) směrnice 2016/680. Orgány Spojeného království navíc potvrdily, že ministr zohlední prvky, které nejsou uvedeny v čl. 74AB odst. 2, jako jsou zákony a postupy ve třetí zemi týkající se způsobu, jakým orgány veřejné moci přistupují k osobním údajům pro účely, jako je národní bezpečnost nebo prosazování práva, pokud mají dopad na celkovou úroveň ochrany. Kromě toho se orgány Spojeného království domnívají, že příslušná judikatura ve třetí zemi bude nezbytnou součástí posouzení záležitostí uvedených neúplně v čl. 74AB odst. 2 zákona o ochraně údajů z roku 2018.

(38)

Nařízení o schválení předávání nadále podléhají „obecným“ procesním požadavkům stanoveným v článku 182 zákona o ochraně údajů z roku 2018, jak je uvedeno v 77. bodě odůvodnění prováděcího rozhodnutí 2021/1773. V rámci tohoto postupu musí ministr při navrhování přijetí britských nařízení o odpovídající ochraně Spojeného království konzultovat komisaře pro informace (48). Jakmile ministr nařízení přijme, jsou předložena parlamentu Spojeného království a podléhají postupu „zamítavého rozhodnutí“, v němž mohou obě komory parlamentu tato nařízení přezkoumat a podat návrh na zrušení těchto nařízení ve lhůtě 40 dnů (49).

(39)

Pokud jde o vhodné záruky, článek 75 zákona o ochraně údajů z roku 2018, ve znění bodu 6 přílohy 8 zákona o údajích (o používání údajů a přístupu k nim), stanoví, že k takovému předávání může dojít pouze tehdy, pokud: a) zamýšleného příjemce údajů zavazuje vhodný právní nástroj, čímž se rozumí nástroj, který splňuje podmínky stanovené v nově vloženém odstavci 4, zejména že každý příslušný orgán Spojeného království, který je stranou tohoto nástroje, se při důvodném a přiměřeném jednání domnívá, že je splněn test ochrany údajů, nebo b) správce se při důvodném a přiměřeném jednání domnívá, že je splněn test ochrany údajů ve vztahu k předání nebo tomuto typu předání. Vložený čl. 75 odst. 5 zákona o ochraně údajů z roku 2018 objasňuje, že test ochrany údajů je splněn, pokud díky požadovaným zárukám není standard ochrany poskytovaný subjektům údajů po předání podstatně nižší než standard podle příslušných právních předpisů Spojeného království o ochraně údajů. To je obdoba opatření stanoveným v článku 37 směrnice (EU) 2016/680. V důsledku toho platí v EU i ve Spojeném království stejné právní normy týkající se schválení předání založeného na vhodných zárukách. Podle nově vloženého čl. 75 odst. 6 zákona o ochraně údajů z roku 2018 se důvodnost a přiměřenost určuje s ohledem na všechny okolnosti nebo pravděpodobné okolnosti předání nebo typu předání, včetně povahy a objemu předávaných osobních údajů.

(40)

Pokud jde o předávání na základě zvláštních okolností podle článku 76 zákona o ochraně údajů z roku 2018, zavádí se několik technických změn za účelem upřesnění podmínek, na základě nichž se taková předání mohou uskutečnit, ale nemají vliv na úroveň ochrany osobních údajů ve Spojeném království (50).

(41)

Pokud jde o provádění pravidel Spojeného království pro mezinárodní předávání, došlo od přijetí prováděcího rozhodnutí (EU) 2021/1773 k několika změnám.

(42)

Zaprvé, v návaznosti na uzavření memoranda o porozumění v roce 2022 mezi ministerstvem vnitra a Úřadem komisaře pro informace, které vymezilo jejich příslušné úlohy při provádění posouzení odpovídající ochrany v oblasti prosazování práva (51), provedlo Spojené království hodnocení rámců ochrany údajů v Bailiwicku Jersey a Guernsey a na ostrově Man. V důsledku toho Spojené království přijalo nařízení o odpovídající ochraně pro Guernsey v červenci 2023 (52), pro Jersey v listopadu 2023 (53) a pro ostrov Man v lednu 2025 (54). Tato nařízení potvrzují, že každá jurisdikce zajišťuje odpovídající úroveň ochrany osobních údajů předávaných podle části 3 zákona o ochraně údajů z roku 2018. Ačkoli tato nařízení byla původně přijata podle předchozího právního rámce, hodnocení, z něhož vycházejí, zůstává v platnosti i podle aktualizovaného rámce. Nařízení tak nadále usnadňují mezinárodní spolupráci v oblasti prosazování práva.

(43)

Při hodnocení fungování rozhodnutí o odpovídající ochraně přijatých na základě čl. 25 odst. 6 směrnice 95/46/ES v souladu s článkem 97 nařízení (EU) 2016/679 Komise rovněž posuzovala rámce ochrany údajů pro zpracování osobních údajů v souvislosti s prosazováním trestního práva a pravidla pro přístup orgánů veřejné moci k osobním údajům pro účely národní bezpečnosti v Bailwicku Jersey a Guernsey a na ostrově Man. Na základě tohoto posouzení Komise mimo jiné dospěla k závěru, že všechny tři jurisdikce nadále poskytují přiměřenou úroveň osobních údajů předávaných z EU (55).

(44)

Zadruhé, v roce 2022 uzavřely Spojené království a Spojené státy dohodu o ochraně údajů a soukromí mezi Spojeným královstvím a USA (56), která obdobně uplatňuje podmínky zastřešující dohody mezi EU a USA (57) a zajišťuje rovnocennou ochranu v souvislosti s výměnou údajů mezi Spojeným královstvím a Spojenými státy pro účely prosazování práva.

(45)

Zatřetí, Úřad komisaře pro informace v roce 2023 a 2025 aktualizoval své pokyny k mezinárodnímu předávání podle části 3 kapitoly 5 zákona o ochraně údajů z roku 2018 (58). Aktualizace z roku 2023 objasnila význam požadavku „nezbytně nutné“ pro předávání údajů jiným příjemcům než příslušným donucovacím orgánům, čímž správcům údajů poskytuje větší jistotu při posuzování zákonnosti takového předávání. V roce 2025 byl seznam zemí a území s odpovídající ochranou aktualizován v návaznosti na nařízení Spojeného království o odpovídající ochraně pro ostrov Man.

(46)

Zákon o údajích (o používání údajů a přístupu k nim) sice zachovává některé prvky pravidel pro automatizované rozhodování, které jsou posouzeny v 72. a 73. bodě odůvodnění prováděcího rozhodnutí (EU) 2021/1773, některé aspekty těchto pravidel však mění.

(47)

Zaprvé, nově zavedený článek 50B zákona o ochraně údajů z roku 2018 stanoví obecný zákaz významných rozhodnutí založených zcela nebo částečně na zpracování zvláštních kategorií osobních údajů. Uvádí však dvě výjimky z tohoto zákazu: subjekt údajů poskytl výslovný souhlas s takovým zpracováním; nebo je rozhodnutí vyžadováno či povoleno zákonem (59).

(48)

Zadruhé, nově zavedený článek 50C zákona o ochraně údajů z roku 2018 ukládá správcům povinnost zavést záruky pro každé významné rozhodnutí založené zcela nebo částečně na osobních údajích a založené výhradně na základě automatizovaného zpracování. Tyto záruky musí zahrnovat poskytnutí informací subjektu údajů o rozhodovacím procesu, umožnění subjektu údajů rozhodnutí napadnout nebo se k němu vyjádřit a zajištění možnosti subjektu údajů požádat o lidský zásah do rozhodovacího procesu (60). Zatímco čl. 50C odst. 4 zákona o ochraně údajů z roku 2018 zavádí výjimku z uplatňování těchto záruk, pokud je tato výjimka nutná k tomu, aby se zabránilo maření úředního nebo zákonného vyšetřování, šetření nebo postupu, aby se zabránilo nepříznivému ovlivňování prevence, odhalování, vyšetřování či stíhání trestných činů nebo výkonu trestů, k ochraně veřejné bezpečnosti nebo k ochraně národní bezpečnosti nebo k ochraně práv a svobod jiných osob, je uplatňování těchto záruk pouze dočasně pozastaveno za předpokladu, že správce je povinen rozhodnutí co nejdříve přezkoumat a že přezkoumání rozhodnutí dochází na základě smysluplného lidského zapojení (61).

(49)

Nový článek 50 A zákona o ochraně údajů z roku 2018 navíc upřesňuje definici rozhodnutí, které je „založeno výhradně na automatizovaném zpracování“, a stanoví, že se jedná o rozhodnutí, u něhož nedochází k významnému lidskému zapojení do rozhodovacího procesu. Důležité je, že správci jsou povinni posoudit, do jaké míry profilování přispívá k rozhodnutí, aby bylo možné určit, zda bylo lidské zapojení smysluplné. Článek 50 A zákona o ochraně údajů z roku 2018 rovněž upřesňuje, že „významné rozhodnutí“ je rozhodnutí, které má nepříznivé právní účinky nebo podobně významné nepříznivé účinky na subjekt údajů (62). Toto omezení na rozhodnutí, která mají nepříznivé účinky na subjekt údajů, odráží skutečnost, že na rozdíl od zpracování podle britského nařízení GDPR je nepravděpodobné, že by příslušné orgány přijímaly rozhodnutí, která by subjekty údajů považovaly za pozitivní.

(50)

A konečně nově zavedený článek 50D zákona o ochraně údajů z roku 2018 uděluje ministrovi pravomoc vydat sekundární právní předpisy, které by popsaly, co představuje a co nepředstavuje smysluplné lidské zapojení, jaká rozhodnutí se považují a jaká se nepovažují za rozhodnutí s podobně významným nepříznivým účinkem na subjekty údajů. Umožňuje také ministrovi vydávat sekundární právní předpisy, které i) přidávají nové záruky; ii) ukládají požadavky doplňující stávající záruky a iii) definují opatření, která záruky nesplňují (63). Důležité je, že před přijetím nařízení v souladu s článkem 50D zákona o ochraně údajů z roku 2018 musí ministr konzultovat Úřad komisaře pro informace (64) a nařízení podléhají postupu souhlasného usnesení (65), což znamená, že před jejich přijetím je musí schválit obě komory parlamentu Spojeného království.

(51)

Ačkoli tedy zákon o údajích (o používání údajů a přístupu k nim) změnil rámec pro automatizované rozhodování, je důležité poznamenat, že podle právního rámce Spojeného království se na automatizované rozhodování i nadále vztahují klíčová záruka vyžadující právo na lidský zásah ve všech případech automatizovaného rozhodování, tj. na základě zpracování citlivých osobních údajů i údajů, které nejsou citlivé (66).

(52)

Právní rámec Spojeného království nadále zachovává zásadu odpovědnosti zakotvenou ve směrnici (EU) 2016/680, která vyžaduje, aby orgány veřejné moci zavedly vhodná technická a organizační opatření k zajištění a prokázání souladu s povinnostmi v oblasti ochrany údajů, jak je posouzeno v 88. až 92. bodě odůvodnění prováděcího rozhodnutí (EU) 2021/1773.

(53)

Jedním z opatření uvedeným v zákoně o ochraně údajů z roku 2018, která mají zajistit odpovědnost a umožnit správcům a zpracovatelům prokázat soulad, je požadavek, aby příslušné orgány vedly záznamy o svých činnostech zpracování, včetně shromažďování, změn, nahlížení, zpřístupňování, zkombinování a výmazu osobních údajů (67). Zákon o údajích (o používání údajů a přístupu k nim) mění konkrétní povinnosti správců podle tohoto ustanovení pouze tím, že v článku 62 zákona o ochraně údajů z roku 2018 odstraňuje požadavek, aby správci zaznamenávali odůvodnění při nahlížení nebo zpřístupnění osobních údajů (68). Důležité je, že požadavek, aby správci zaznamenávali činnosti zpracování jako takové, zůstává zachován, tudíž je zachován hlavní mechanismus pro zajištění odpovědnosti.

(54)

Ve Spojeném království vykonává dohled nad dodržováním rámce pro ochranu údajů a jeho prosazování i nadále nezávislý dozorový úřad pro ochranu údajů, jak je uvedeno v 93. až 99. bodě odůvodnění prováděcího rozhodnutí (EU) 2021/1773. Zákon o údajích (o používání údajů a přístupu k nim) reformuje strukturu řízení tohoto úřadu tím, že zřizuje právnickou osobu, Komisi pro informace, která nahradí komisaře pro informace, jenž byl vytvořen jako tzv. výhradní korporace.

(55)

Přesněji řečeno, opatření v oblasti řízení stanovená v zákoně o údajích (o používání údajů a přístupu k nim) po jeho provedení zruší pozici komisaře pro informace a převedou funkce, zaměstnance a majetek z Úřadu komisaře pro informace na nový orgán, Komisi pro informace. Komise pro informace se skládá z výkonných a nevýkonných členů (69). Zákon rovněž stanoví, že funkce komisaře pro informace přechází na funkci předsedy Komise pro informace, který je jedním z nevýkonných členů (70). Zákon o údajích (o používání a přístupu k nim) dále stanoví, že pokud je to vhodné v důsledku převedení funkcí, odkazy na komisaře pro informace ve všech právních předpisech nebo jiných dokumentech (ať už byly přijaty nebo vydány kdykoli) se považují za odkazy na Komisi pro informace. K výkonu svých funkcí může komise zřizovat výbory a pověřovat funkcemi člena, zaměstnance nebo výbor komise (71) a může přijmout opatření pro úpravu svého postupu a postupu výborů, včetně usnášeníschopnosti a přijímání rozhodnutí většinou. Tyto postupy musí být zveřejněny (72).

(56)

Důležité je, že nezávislost Komise pro informace podléhá stejným zárukám, včetně pravidel pro jmenování a odvolání předsedy, jako záruky posuzované v 95. až 98. bodě odůvodnění prováděcího rozhodnutí (EU) 2021/1773 (73). Obdobná ochrana se vztahuje i na ostatní nevýkonné členy komise pro informace. Předseda Komise pro informace je jmenován Jeho Veličenstvem na doporučení ministra. Je vybrán na základě zásluh a spravedlivého a otevřeného výběrového řízení (74). Ostatní nevýkonné členy jmenuje ministr po konzultaci s předsedou komise. Uchazeči mohou být doporučeni ke jmenování nebo jmenováni pouze tehdy, pokud jsou vybráni na základě zásluh v rámci spravedlivého a otevřeného výběrového řízení a pokud je ministr přesvědčen, že nejsou ve střetu zájmů (75). Výkonní členové jsou zaměstnanci Komise pro informace, kteří jsou zaměstnáni za podmínek stanovených nevýkonnými členy (76). Výkonného ředitele jmenuje předseda a ostatní nevýkonní členové po konzultaci s ministrem. Jmenování do vedoucích funkcí rovněž podléhá výběru na základě zásluh v rámci spravedlivého a otevřeného výběrového řízení (77).

(57)

Předseda může být odvolán z funkce pouze Jeho Veličenstvem na základě návrhu obou komor Parlamentu a pouze tehdy, pokud ministr předloží této komoře zprávu, v níž uvede, že je ministr přesvědčen, že se předseda dopustil závažného pochybení, je ve střetu zájmů, nesplnil zvláštní požadavky na informace týkající se možného střetu zájmů nebo není schopen, způsobilý nebo ochotný vykonávat funkci předsedy (78). Nevýkonné členy může ministr odvolat z funkce pouze tehdy, pokud je přesvědčen, že jsou splněny zvláštní podmínky stanovené v právních předpisech. Patří mezi ně střet zájmů, závažné pochybení nebo neschopnost, neochota či nezpůsobilost vykonávat své povinnosti. Pokud jde o další záruky, je ministr povinen zveřejnit rozhodnutí o tomto kroku a poskytnout členovi prohlášení o důvodech odvolání (79).

(58)

Zákon o údajích (o používání údajů a přístupu k nim) nemění základní povinnosti Komise pro informace, která bude nadále vykonávat funkce stanovené v příloze 13 zákona o ochraně údajů z roku 2018. Patří mezi ně monitorování a prosazování dodržování části 3 zákona o ochraně údajů z roku 2018, poskytování poradenství Parlamentu a vládě, zvyšování povědomí veřejnosti, podpora správců a zpracovatelů údajů při plnění jejich povinností a informování jednotlivců o jejich právech (80). Zákon o údajích (o používání údajů a přístupu k nim) objasňuje, že při plnění povinnosti zajistit přiměřenou úroveň ochrany osobních údajů bude Komise pro informace muset zohlednit zájmy subjektů údajů, správců a dalších osob, zvážit širší veřejný zájem a podporovat důvěru veřejnosti ve zpracování osobních údajů. (81).

(59)

Zákon o údajích (o používání údajů a přístupu k nim) navíc stanoví, že Komise pro informace při výkonu své funkce podle právních předpisů o ochraně údajů zohledňuje v rozsahu, v jakém je to za daných okolností relevantní, podporu inovací a hospodářské soutěže, význam předcházení trestným činům, jejich vyšetřování, odhalování a stíhání, potřebu ochrany veřejné bezpečnosti a národní bezpečnosti a zvláštní potřeby související s ochranou dětí (82). Právo EU v oblasti ochrany údajů rovněž uznává potřebu vyvážit ochranu osobních údajů s několika dalšími základními právy a cíli, jako je bezpečnost a spravedlnost (83).

(60)

Pravomoci a úkoly Komise pro informace nadále odpovídají pravomocím a úkolům dozorových úřadů členských států pro ochranu údajů podle příslušných článků směrnice (EU) 2016/680 (84), jak je posouzeno v 100. až 109. bodě odůvodnění prováděcího rozhodnutí (EU) 2021/1773.

(61)

Zákon o údajích (o používání údajů a přístupu k nim) zavedl určitá upřesnění týkající se výkonu některých z těchto pravomocí.

(62)

Článek 97 zákona o údajích (o používání údajů a přístupu k nim) mění článek 142 zákona o ochraně údajů z roku 2018 tak, aby to Komisi pro informace výslovně umožnilo vyžadovat nejen informace, ale i konkrétní dokumenty, čímž se zlepšila její schopnost vyšetřovat a ověřovat dodržování předpisů.

(63)

Článek 98 zákona o údajích (o používání údajů a přístupu k nim) rozšiřuje pravomoci Komise pro informace podle článku 146 zákona o ochraně údajů z roku 2018 tím, že jí umožňuje požadovat, aby správce nebo zpracovatel údajů zadal vypracování nezávislé zprávy o určité záležitosti. Zprávu musí vypracovat „schválená osoba“, přičemž Komise pro informace má konečnou pravomoc schválit kandidáta nebo někoho jmenovat, pokud není navržen žádný vhodný kandidát nebo pokud správce nekoná (85). V oznámení o posouzení lze uvést formát, obsah a termín zprávy (86). Veškeré související náklady, včetně odměny schválené osoby musí hradit správce nebo zpracovatel (87).

(64)

Článek 100 zákona o údajích (o používání údajů a přístupu k nim) zavádí oznámení o výslechu jako nový nástroj prosazování práva podle článku 148 A zákona o ochraně osobních údajů z roku 2018. Komise pro informace může po jednotlivcích požadovat účast na výslechu, přičemž musí být zajištěny záruky, jako je ochrana proti výpovědi ve vlastní neprospěch a povinnost mlčenlivosti (88).

(65)

Článek 101 zákona o údajích (o používání údajů a přístupu k nim) mění přílohu 16 zákona o ochraně údajů z roku 2018, aby byla Komisi pro informace poskytnuta větší flexibilita při vydávání oznámení o sankci. Zatímco současná šestiměsíční lhůta pro vydání konečného oznámení o sankci po oznámení o záměru zůstává obecným pravidlem, článek umožňuje Komisi pro informace vydat oznámení o sankci i po uplynutí této lhůty, pokud není prakticky proveditelné lhůtu dodržet. V takových případech musí být oznámení vydáno, jakmile je to prakticky proveditelné. Pokud se Komise pro informace rozhodne nevydat oznámení o sankci, musí o tom dotyčnou osobu písemně informovat do šesti měsíců, nebo jakmile je to prakticky proveditelné. Článek rovněž zavádí nový požadavek, aby Komise pro informace zveřejnila pokyny k okolnostem, za nichž může být k vydání oznámení o sankci zapotřebí více než šest měsíců.

(66)

Článek 102 zákona o údajích (o používání údajů a přístupu k nim) zavádí pro Komisi pro informace nové povinnosti podávání zpráv. Mění článek 139 a do zákona o ochraně údajů z roku 2018 vkládá nový článek 161 A, který ukládá Komisi pro informace zveřejňovat výroční zprávu o regulačních opatřeních. V této zprávě musí být podrobně popsáno, jak byly uplatněny vyšetřovací a donucovací pravomoci podle britského nařízení GDPR a částí 3 a 4 zákona o ochraně údajů z roku 2018. Musí také zveřejnit počet oznámení o sankci vydaných po uplynutí šestiměsíční lhůty od oznámení o záměru a uvést odůvodnění pozdního vydání. Dále musí zpráva vysvětlit, jakým způsobem se Komise pro informace při přijímání regulačních rozhodnutí řídila svými vlastními pokyny.

(67)

Článek 103 zákona o údajích (o používání údajů a přístupu k nim) posiluje postup podávání stížností, který mají subjekty údajů k dispozici. Do zákona o ochraně údajů z roku 2018 vkládá nové články 164 A a 164B. Článek 164 A stanoví, že subjekty údajů mají právo podat stížnost přímo správci údajů, pokud se domnívají, že byla porušena jejich práva podle britského nařízení GDPR nebo části 3 zákona o ochraně údajů z roku 2018. Správci musí tento proces usnadnit, potvrdit stížnosti do 30 dnů a reagovat na ně bez zbytečného odkladu. Musí také informovat stěžovatele o průběhu a výsledku. Článek 164B dává ministrovi pravomoc vydávat nařízení, která vyžadují, aby správci podávali zprávy o počtu obdržených stížností.

(68)

Článek 104 zákona o údajích (o používání údajů a přístupu k nim) vkládá do zákona o ochraně údajů z roku 2018 nový článek 180 A, který objasňuje pravomoci soudu v řízeních o žádostech subjektů údajů o přístup. Podle tohoto ustanovení mohou soudy požadovat, aby správci údajů poskytli sporné informace k nahlédnutí soudu při rozhodování o tom, zda na ně má subjekt údajů nárok. Tyto informace však nemohou být subjektu údajů poskytnuty, pokud soud neurčí, že má právo na přístup k těmto informacím. Tento článek objasňuje, že soudy mohou zkoumat sporné materiály, aniž by je předčasně zpřístupnily stěžovateli, čímž se obnovuje záruka, která dříve existovala podle zákona o ochraně údajů z roku 1998.

(69)

Pokud jde o provádění těchto pravomocí, od přijetí prováděcího rozhodnutí (EU) 2021/1773 se komisař pro informace zabýval mnoha stížnostmi (89) a provedl několik šetření a přijal donucovací opatření v souvislosti se zpracováním údajů donucovacími orgány. V období 2021–2025 provedl komisař pro informace šetření a udělil napomenutí různým policejním orgánům za různá pochybení při plnění povinností v oblasti ochrany údajů, například při reakci na žádosti o přístup k údajům, při zavádění bezpečnostních opatření pro údaje z kamerových systémů, při nakládání s citlivými záznamy o trestné činnosti, při slučování údajů různých osob nebo při poskytování osobních údajů třetím stranám (90). Komisař pro informace rovněž vydal a aktualizoval pokyny, stanoviska a metodické dokumenty, například o právu na přístup nebo o tom, jak vyřizovat zjevně nedůvodné nebo nepřiměřené žádosti podle části 3 zákona o ochraně údajů z roku 2018 (91), nebo aktualizoval stávající pokyny, například svou příručku o zpracování údajů pro účely prosazování práva (92).

(70)

Komise má za to, že část 3 zákona o ochraně údajů z roku 2018 i nadále zajišťuje úroveň ochrany osobních údajů předávaných pro účely prosazování trestního práva příslušnými orgány v Evropské Unii příslušným orgánům Spojeného království, která je v zásadě rovnocenná úrovni ochrany zaručené směrnicí (EU) 2016/680.

(71)

Kromě toho má Komise za to, že jako celek mechanismy dohledu a způsoby ochrany v právních předpisech Spojeného království umožňují, aby porušení právních předpisů byla identifikována a v praxi sankcionována, a subjektu údajů nabízejí právní prostředky pro získání přístupu k osobním údajům, které se ho týkají, a případně pro dosažení opravy nebo výmazu takovýchto údajů.

(72)

Mělo by tedy být rozhodnuto, že Spojené království i nadále zajišťuje odpovídající úroveň ochrany ve smyslu čl. 36 odst. 2 směrnice (EU) 2016/680 vykládaného ve světle Listiny základních práv.

(73)

Členské státy a jejich orgány musí přijmout opatření nezbytná k dosažení souladu s akty orgánů Unie, neboť jim v zásadě svědčí presumpce legality, a tudíž zakládají právní účinky tak dlouho, dokud nejsou vzaty zpět, zrušeny v rámci žaloby na neplatnost nebo prohlášeny za neplatné v návaznosti na žádost o rozhodnutí o předběžné otázce nebo na námitku protiprávnosti.

(74)

V důsledku toho je rozhodnutí Komise o odpovídající ochraně podle čl. 36 odst. 3 směrnice (EU) 2016/680 závazné pro všechny orgány členských států, kterým je určeno, a to i pro nezávislé dozorové úřady. Během období použitelnosti prováděcího rozhodnutí (EU) 2021/1773, které mění toto rozhodnutí, se může zejména uskutečnit předávání od správce nebo zpracovatele v Unii správcům nebo zpracovatelům ve Spojeném království, aniž by bylo nutné získat další povolení.

(75)

Současně je třeba připomenout, že podle čl. 47 odst. 5 směrnice (EU) 2016/680 a podle vysvětlení Soudního dvora v rozsudku ve věci Schrems, jestliže vnitrostátní orgán pro ochranu údajů zpochybňuje, a to i na základě stížnosti, slučitelnost rozhodnutí Komise o odpovídající ochraně se základními právy fyzické osoby na soukromí a ochranu údajů, musí mu vnitrostátní právo poskytnout procesní prostředek, který mu umožní uplatnit tyto výtky před vnitrostátním soudem, který může být povinen předložit Soudnímu dvoru žádost o rozhodnutí o předběžné otázce (93).

(76)

Podle čl. 36 odst. 4 směrnice (EU) 2016/680 musí Komise průběžně sledovat příslušný vývoj ve Spojeném království, aby mohla posoudit, zda stále zajišťuje v zásadě rovnocennou úroveň ochrany. Toto sledování je obzvláště důležité, protože Spojené království bude uplatňovat a prosazovat upravený režim ochrany údajů. Upravený rámec Spojeného království pro ochranu údajů navíc poskytuje ministrovi pravomoc tento rámec dále upřesnit prostřednictvím sekundárních právních předpisů. V tomto ohledu je třeba věnovat zvláštní pozornost těmto dodatečným specifikacím, jakož i uplatňování upravených pravidel Spojeného království pro předávání osobních údajů do třetích zemí v praxi; na účinnost výkonu individuálních práv, včetně jakéhokoli relevantního vývoje práva a praxe týkajícího se nově zavedených výjimek z těchto práv nebo jejich omezení, a na fungování restrukturalizovaného Úřadu komisaře pro informace, včetně vyřizování stížností a uplatňování nápravných pravomocí. V rámci sledování ze strany Komise by měl být kromě jiných prvků zohledňován vývoj judikatury a dohledu ze strany Úřadu komisaře pro informace a ostatních nezávislých subjektů.

(77)

Za účelem usnadnění tohoto sledování by orgány Spojeného království měly neprodleně a pravidelně informovat Komisi o každé podstatné změně právního řádu Spojeného království, která má dopad na právní rámec, který je předmětem prováděcího rozhodnutí (EU) 2021/1773 ve znění tohoto rozhodnutí, jakož i o vývoji postupů souvisejících se zpracováním osobních údajů, které jsou posuzovány v prováděcím rozhodnutí (EU) 2021/1773 ve znění tohoto rozhodnutí, zejména pokud jde o prvky zmiňované v 39. bodě odůvodnění.

(78)

Aby Komise navíc mohla účinně plnit svou kontrolní funkci, měly by ji členské státy informovat o veškerých relevantních krocích vnitrostátních úřadů pro ochranu údajů, zejména v souvislosti s dotazy nebo stížnostmi subjektů údajů z EU týkajícími se předávání osobních údajů z Unie příslušným orgánům ve Spojeném království. Komise by rovněž měla být informována o jakýchkoli známkách toho, že kroky orgánů veřejné moci Spojeného království odpovědných za prevenci, vyšetřování, odhalování nebo stíhání trestných činů, včetně jakýchkoli dozorových úřadů, nezajišťují požadovanou úroveň ochrany.

(79)

Pokud z dostupných informací, zejména z informací vyplývajících ze sledování tohoto rozhodnutí nebo poskytnutých orgány Spojeného království nebo členských států, vyplyne, že úroveň ochrany poskytované Spojeným královstvím již nemusí být odpovídající, měla by Komise neprodleně informovat příslušné orgány Spojeného království a požadovat, aby byla ve stanovené lhůtě, která nesmí přesáhnout dobu tří měsíců, přijata vhodná opatření. V případě potřeby lze tuto lhůtu prodloužit o určitou dobu s přihlédnutím k povaze dané záležitosti a/nebo daných opatření, která mají být přijata.

(80)

Pokud po uplynutí stanovené lhůty příslušné orgány Spojeného království tato opatření nepřijmou nebo jiným způsobem uspokojivě neprokážou, že toto rozhodnutí je nadále založeno na odpovídající úrovni ochrany, zahájí Komise postup podle čl. 58 odst. 2 směrnice (EU) 2016/680 s cílem zrušit toho rozhodnutí nebo částečně či úplně pozastavit jeho platnost.

(81)

Alternativně Komise tento postup zahájí s cílem změnit prováděcí rozhodnutí (EU) 2021/1773, které mění toto rozhodnutí, zejména tak, že se na předávání údajů budou vztahovat další podmínky nebo že se omezí oblasti působnosti zjištění o odpovídající úrovni ochrany jen na předávání údajů, u nichž je odpovídající úroveň ochrany nadále zaručena.

(82)

V závažných, naléhavých a řádně odůvodněných případech Komise využije možnost postupem podle čl. 58 odst. 3 směrnice (EU) 2016/680 přijmout okamžitě použitelné prováděcí akty, kterými se rozhodnutí zruší, změní nebo se dočasně pozastaví jeho platnost.

(83)

V souladu s čl. 36 odst. 3 směrnice (EU) 2016/680 a s ohledem na skutečnost, že úroveň ochrany poskytovaná právním rámcem Spojeného království se může změnit, by Komise po přijetí tohoto rozhodnutí měla pravidelně přezkoumávat, zda zjištění týkající se odpovídající úrovně ochrany zajištěné Spojeným královstvím jsou nadále skutkově i právně podložená. Tato hodnocení by se měla provádět nejméně jednou za čtyři roky a měla by zahrnovat všechny aspekty fungování tohoto rozhodnutí, včetně fungování příslušných mechanismů dohledu a donucovacích mechanismů.

(84)

Za účelem provedení přezkumu by se Komise měla sejít s příslušnými zástupci orgánů Spojeného království, včetně Komise pro informace. Účast na této schůzce by měla být otevřena zástupcům členů Evropského sboru pro ochranu osobních údajů. V rámci přezkumu by Komise měla požadovat, aby Spojené království poskytlo souhrnné informace o všech aspektech relevantních pro zjištění o odpovídající ochraně. Komise by měla rovněž požadovat vysvětlení jakýchkoli obdržených informací relevantních pro toto rozhodnutí, včetně informací od sboru EDPB, jednotlivých úřadů pro ochranu osobních údajů, skupin občanské společnosti, veřejných zpráv a zpráv sdělovacích prostředků nebo jakéhokoli jiného dostupného zdroje informací.

(85)

Na základě přezkumu by Komise měla připravit veřejně přístupnou zprávu, kterou předloží Evropskému parlamentu a Radě.

(86)

Komise musí rovněž vzít v úvahu, že rámec ochrany údajů posuzovaný v tomto rozhodnutí a v prováděcím rozhodnutí (EU) 2021/1773 se může dále vyvíjet.

(87)

Je proto vhodné stanovit, že toto rozhodnutí bude použitelné po dobu šesti let ode dne svého vstupu v platnost.

(88)

Pokud zejména z informací získaných při sledování tohoto rozhodnutí vyplyne, že zjištění týkající se odpovídající úrovně ochrany zajištěné ve Spojeném království jsou stále věcně a právně odůvodněná, měla by Komise nejpozději šest měsíců před koncem platnosti tohoto rozhodnutí zahájit postup pro změnu tohoto rozhodnutí prodloužením jeho časové působnosti v zásadě o další čtyřleté období. Jakýkoli takový prováděcí akt, kterým se mění toto rozhodnutí, se přijímá postupem podle čl. 58 odst. 2 směrnice (EU) 2016/680.

(89)

Evropský sbor pro ochranu osobních údajů zveřejnil stanovisko (94), které bylo při přípravě tohoto rozhodnutí zohledněno.

(90)

Opatření stanovené tímto rozhodnutím je v souladu se stanoviskem výboru zřízeného podle článku 58 směrnice (EU) 2016/680.

(91)

V souladu s článkem 6a Protokolu č. 21 o postavení Spojeného království a Irska s ohledem na prostor svobody, bezpečnosti a práva, připojeného ke Smlouvě o EU a Smlouvě o fungování EU, není Irsko vázáno pravidly stanovenými ve směrnici (EU) 2016/680, a tudíž ani v tomto prováděcím rozhodnutí, která se týkají zpracování osobních údajů členskými státy, vykonávají-li činnosti spadající do oblasti působnosti části třetí hlavy V kapitoly 4 nebo 5 Smlouvy o fungování EU, pokud Irsko není vázáno pravidly upravujícími formy justiční spolupráce v trestních věcech nebo policejní spolupráce, v jejichž rámci musí být dodržována pravidla přijatá na základě článku 16 Smlouvy o fungování EU. Nicméně na základě prováděcího rozhodnutí Rady (EU) 2020/1745 (95) je směrnice (EU) 2016/680 v Irsku uvedena v účinnost a prozatímně uplatňována ode dne 1. ledna 2021. Irsko je tudíž tímto rozhodnutím vázáno za stejných podmínek, jaké se vztahují na uplatňování směrnice (EU) 2016/680 v Irsku, které jsou vymezeny v prováděcím rozhodnutí Rady (EU) 2020/1745, pokud jde o část schengenského acquis, kterého se Irsko účastní.

(92)

V souladu s články 2 a 2a Protokolu č. 22 o postavení Dánska, připojeného ke Smlouvě o Evropské Unii a Smlouvě o fungování Evropské Unie, nejsou pro Dánsko závazná ani použitelná pravidla stanovená ve směrnici (EU) 2016/680, a tudíž ani v tomto prováděcím rozhodnutí, která se týkají zpracování osobních údajů členskými státy, vykonávají-li činnosti spadající do oblasti působnosti části třetí hlavy V kapitoly 4 nebo 5 Smlouvy o fungování EU. Avšak vzhledem k tomu, že směrnice (EU) 2016/680 vychází ze schengenského acquis, dne 26. října 2016 oznámilo Dánsko v souladu s článkem 4 uvedeného protokolu své rozhodnutí směrnici (EU) 2016/680 provádět. Ve smyslu mezinárodního práva je tudíž toto rozhodnutí pro Dánsko závazné.

(93)

Pokud jde o Island a Norsko, rozvíjí toto rozhodnutí ustanovení schengenského acquis ve smyslu Dohody uzavřené mezi Radou Evropské unie a Islandskou republikou a Norským královstvím o přidružení těchto dvou států k provádění, uplatňování a rozvoji schengenského acquis (96).

(94)

Pokud jde o Švýcarsko, rozvíjí toto rozhodnutí ustanovení schengenského acquis ve smyslu Dohody mezi Evropskou unií, Evropským společenstvím a Švýcarskou konfederací o přidružení Švýcarské konfederace k provádění, uplatňování a rozvoji schengenského acquis (97).

(95)

Pokud jde o Lichtenštejnsko, rozvíjí toto rozhodnutí ustanovení schengenského acquis ve smyslu Protokolu mezi Evropskou unií, Evropským společenstvím, Švýcarskou konfederací a Lichtenštejnským knížectvím o přistoupení Lichtenštejnského knížectví k Dohodě mezi Evropskou unií, Evropským společenstvím a Švýcarskou konfederací o přidružení Švýcarské konfederace k provádění, uplatňování a rozvoji schengenského acquis (98).

(96)

Prováděcí rozhodnutí (EU) 2021/1773 by proto mělo být odpovídajícím způsobem změněno,