Prováděcí rozhodnutí Komise (EU) 2025/2574 ze dne 19. prosince 2025, kterým se mění prováděcí rozhodnutí Komise (EU) 2021/1772 podle nařízení Evropského parlamentu a Rady (EU) 2016/679 o odpovídající ochraně osobních údajů poskytované Spojeným královstvím (oznámeno pod číslem C(2025) 8771)

(1)

Prováděcí rozhodnutí Komise (EU) 2021/1772 (2) dospělo k závěru, že pro účely článku 45 nařízení (EU) 2016/679 Spojené království zajišťuje odpovídající úroveň ochrany osobních údajů předávaných v oblasti působnosti uvedeného nařízení z Evropské unie do Spojeného království (3).

(2)

Při přijímání prováděcího rozhodnutí (EU) 2021/1772 vzala Komise v úvahu, že až skončí přechodné období stanovené v Dohodě o vystoupení Spojeného království Velké Británie a Severního Irska z Evropské unie a Evropského společenství pro atomovou energii (4) a až přestane platit prozatímní ustanovení podle článku 782 Dohody o obchodu a spolupráci mezi Evropskou unií a Evropským společenstvím pro atomovou energii na jedné straně a Spojeným královstvím Velké Británie a Severního Irska na straně druhé (5), Spojené království přijme, bude uplatňovat a prosazovat nový režim ochrany údajů, který se liší od režimu existujícího v době, kdy bylo vázáno právem Unie.

(3)

Vzhledem k tomu, že to může zahrnovat úpravy rámce pro ochranu údajů posuzovaného v prováděcím rozhodnutí (EU) 2021/1772 nebo další relevantní změny, bylo považováno za vhodné stanovit, že uvedené rozhodnutí bude použitelné po dobu čtyř let od svého vstupu v platnost. Použitelnost prováděcího rozhodnutí (EU) 2021/1772 tudíž skončila dne 27. června 2025, pokud by nebyla prodloužena v souladu s postupem uvedeným v čl. 93 odst. 2 nařízení (EU) 2016/679.

(4)

Aby mohla Komise rozhodnout o případném prodloužení použitelnosti prováděcího rozhodnutí (EU) 2021/1772, musí posoudit, zda závěr, že Spojené království zajišťuje odpovídající úroveň ochrany, zůstává věcně a právně odůvodněný ve světle vývoje, který nastal od přijetí prováděcího rozhodnutí (EU) 2021/1772 s ohledem na prvky uvedené v čl. 45 odst. 2 nařízení (EU) 2016/679.

(5)

Zejména dne 23. října 2024 předložila vláda Spojeného království parlamentu Spojeného království návrh zákona o údajích (o používání údajů a přístupu k nim) (6), v němž navrhuje změny obecného nařízení Spojeného království o ochraně osobních údajů (dále jen „britské nařízení GDPR“) a zákona o ochraně údajů z roku 2018, které jsou posuzovány v prováděcím rozhodnutí (EU) 2021/1772. Dne 24. června 2025 přijala Komise prováděcí rozhodnutí (EU) 2025/1226 (7), kterým prodloužila platnost prováděcího rozhodnutí (EU) 2021/1772 o šest měsíců do 27. prosince 2025. Toto časově omezené technické prodloužení umožnilo Komisi dokončit posouzení odpovídající úrovně ochrany osobních údajů poskytované Spojeným královstvím na základě stabilního právního rámce, tj. po ukončení příslušného legislativního procesu (8).

(6)

Od přijetí prováděcího rozhodnutí (EU) 2021/1772 Komise průběžně sledovala příslušný vývoj ve Spojeném království (9). V souladu s 281. bodem odůvodnění prováděcího rozhodnutí (EU) 2021/1772 byla zvláštní pozornost věnována uplatňování pravidel Spojeného království pro předávání osobních údajů do třetích zemí v praxi a možnému dopadu tohoto uplatňování na úroveň ochrany poskytovanou údajům předávaným podle prováděcího rozhodnutí (EU) 2021/1772, účinnosti výkonu individuálních práv včetně případného příslušného vývoje v oblasti práva a praxe, pokud jde o výjimky z těchto práv nebo omezení těchto práv (zejména výjimky týkající se zachování účinné kontroly imigrace), jakož i dodržování omezení a záruk týkajících se přístupu vlády. V rámci sledování ze strany Komise byl kromě jiných prvků zohledněn vývoj judikatury a dohledu ze strany Úřadu komisaře pro informace a ostatních nezávislých subjektů.

(7)

Na základě posouzení tohoto vývoje, včetně změn britského nařízení GDPR a zákona o ochraně údajů z roku 2018 zavedených zákonem o údajích (o používání údajů a přístupu k nim), dospěla Komise k závěru, že Spojené království nadále zajišťuje odpovídající úroveň ochrany osobních údajů předávaných v oblasti působnosti nařízení (EU) 2016/679 z Evropské unie do Spojeného království.

(8)

Komise rovněž dospěla k závěru, že s ohledem na změny příslušných ustanovení právních předpisů Spojeného království (10) již není vyloučení osobních údajů předávaných pro účely kontroly imigrace ve Spojeném království nebo údajů, které jinak spadají do oblasti působnosti výjimky z určitých práv subjektu údajů pro účely zachování účinné kontroly imigrace („imigrační výjimka“) podle bodu 4 odst. 1 přílohy 2 zákona Spojeného království o ochraně údajů, z oblasti působnosti prováděcího rozhodnutí (EU) 2021/1772 odůvodněné, jak je vysvětleno v 37. bodě odůvodnění tohoto rozhodnutí.

(9)

V době přijetí prováděcího rozhodnutí (EU) 2021/1772 se právní rámec ochrany osobních údajů ve Spojeném království skládal z:

(10)

Tyto dva zákony, které přesně odrážejí odpovídající pravidla platná v Evropské unii, sice nadále tvoří právní předpisy Spojeného království o ochraně údajů, ale od té doby byly v omezené míře změněny, což odráží skutečnost, že Spojené království již nepodléhá právu Evropské unie.

(11)

Zaprvé, zákon o zachovaném právu EU (o zrušení a reformě) z roku 2023 (15) upřesnil, že obecné zásady práva EU již nejsou po konci roku 2023 součástí vnitrostátního práva Spojeného království (16). Kromě toho soudy Spojeného království již nesmí vykládat nepozměněné „začleněné právní předpisy“, které byly dříve označovány jako „zachované právo EU“, v souladu s obecnými zásadami práva EU, ale takové právo musí být místo toho vykládáno v souladu s vnitrostátním právem Spojeného království (17). Nepozměněné začleněné právní předpisy však musí být nadále vykládány soudy Spojeného království v souladu s příslušnou judikaturou Evropského soudního dvora vydanou před koncem přechodného období (18), jak je rovněž uvedeno v 13. bodě odůvodnění prováděcího rozhodnutí (EU) 2021/1772. Zákon o ochraně údajů z roku 2018 byl pozměněn zákonem o údajích (o používání údajů a přístupu k nim), aby se vyjasnil účinek zákona o zachovaném právu EU (o zrušení a reformě) na právní předpisy Spojeného království o ochraně údajů. Například čl. 183 A odst. 1 zákona o ochraně údajů z roku 2018 obecně stanoví, že se předpokládá, že veškeré nové právní předpisy (přijaté 20. srpna 2025 nebo později), které zavádějí nové povinnosti nebo pravomoci ke zpracování osobních údajů, podléhají právním předpisům Spojeného království o ochraně údajů. To znamená, že rámec ochrany údajů ve Spojeném království má i nadále přednost před ostatními právními předpisy. Podle čl. 183 A odst. 2 písm. b) zákona o ochraně údajů z roku 2018 lze tuto domněnku neuplatnit, pokud se tak parlament Spojeného království záměrně rozhodne výslovně v právních předpisech, čímž se zachová parlamentní svrchovanost. Kromě toho čl. 186 odst. 2 A zákona o ochraně údajů z roku 2018 upřesňuje, že čl. 186 odst. 1 zákona o ochraně údajů z roku 2018, který stanoví, že právní předpisy zakazující nebo omezující poskytování informací nemají přednost před určitými právy na ochranu údajů, není nadřazen omezením práv subjektů údajů uvedených v čl. 186 odst. 3 zákona o ochraně údajů z roku 2018. Tím je zajištěno, že například omezení práv subjektu údajů stanovená v zákoně o ochraně údajů z roku 2018 sama o sobě nespadají pod obecnou „nadřazenost ochrany údajů“ v čl. 186 odst. 1 zákona o ochraně údajů z roku 2018.

(12)

Za druhé, od přijetí prováděcího rozhodnutí (EU) 2021/1772 byly právní předpisy Spojeného království o ochraně údajů pozměněny prostřednictvím změny nařízení o ochraně údajů (o základních právech a svobodách) z roku 2023 (19). Tato nařízení definují odkazy na základní práva nebo základní svobody v britském nařízení GDPR a v zákoně o ochraně údajů z roku 2018 (které byly dříve definovány tak, že se vztahují na základní práva a svobody EU (20)), jako odkazy na práva podle Evropské úmluvy o lidských právech, kterým byla přiznána účinnost ve vnitrostátním právu Spojeného království na základě zákona o lidských právech z roku 1998 (21). Zákon o lidských právech z roku 1998 začleňuje práva obsažená v Evropské úmluvě o lidských právech do práva Spojeného království. Zákon o lidských právech přiznává každému jednotlivci základní práva a svobody stanovené v článcích 2 až 12 a v článku 14 Evropské úmluvy o lidských právech, v článcích 1, 2 a 3 prvního protokolu této úmluvy a v článku 1 jejího třináctého protokolu ve spojení s články 16, 17 a 18 uvedené úmluvy. To zahrnuje právo na respektování soukromého a rodinného života (a ochranu osobních údajů jako součást tohoto práva) a právo na spravedlivý proces (22).

(13)

A konečně, britské nařízení GDPR a zákon o ochraně údajů z roku 2018 ve Spojeném království byly předmětem cílených reforem, které byly stanoveny v páté a šesté části zákona o údajích (o používání údajů a přístupu k nim). Ačkoli oblast působnosti zákona o údajích (o používání a přístupu k nim) značně přesahuje ochranu osobních údajů, stanoví omezené změny několika aspektů režimu ochrany údajů, jako jsou mimo jiné pravidla pro zpracování údajů pro účely vědeckého výzkumu, právní základy pro zpracování údajů, pravidla týkající se zásady omezení účelu a podmínky pro automatizované rozhodování. Nadto zákon o údajích (o používání údajů a přístupu k nim) mění strukturu řízení Úřadu komisaře pro informace. Po zavedení těchto opatření bude Úřad komisaře pro informace nahrazen novým subjektem, a to Komisí pro informace. Úloha a funkce regulačního orgánu jakožto nezávislého dozorového úřadu pro ochranu údajů ve Spojeném království se nemění. Zákon rovněž zavádí nové donucovací pravomoci regulačního orgánu.

(14)

Toto rozhodnutí posuzuje legislativní, regulační a další vývoj, který má význam pro závěr o úrovni ochrany zaručené Spojeným královstvím učiněný v prováděcím rozhodnutí (EU) 2021/1772. Posouzení provedené v prováděcím rozhodnutí (EU) 2021/1772 zůstává v platnosti pro ty aspekty rámce Spojeného království pro ochranu údajů, které nebyly od přijetí prováděcího rozhodnutí (EU) 2021/1772 změněny nebo ovlivněny jiným vývojem.

(15)

Legislativní, regulační a další relevantní vývoj je podrobně analyzován v následujících oddílech na základě standardu odpovídající ochrany, podle něhož musí Komise určit, zda daná třetí země zaručuje úroveň ochrany „v podstatě rovnocennou“ té, která je zajištěna v Evropské unii (23). Jak objasnil Soudní dvůr Evropské unie, toto nevyžaduje zjištění stejné úrovně ochrany (24). Zejména prostředky, které dotyčná třetí země k ochraně osobních údajů využívá, se mohou lišit od prostředků zavedených v Evropské unii, pokud se v praxi ukážou jako účinné k zajištění odpovídající úrovně ochrany (25). Standard odpovídající ochrany tedy nevyžaduje opakování pravidel Unie slovo od slova. Kritériem je spíše to, zda zahraniční systém jako celek zajišťuje prostřednictvím podstaty práv na ochranu údajů a jejich účinného uplatňování, dozoru nad nimi a vymáhání těchto práv požadovanou úroveň ochrany (26).

(16)

V režimu ochrany údajů ve Spojeném království nadále platí základní pojmy ochrany údajů, které odrážejí terminologii nařízení (EU) 2016/679. Tyto pojmy byly posouzeny ve 23. bodě odůvodnění prováděcího rozhodnutí (EU) 2021/1772.

(17)

Zatímco zákon o údajích (o používání údajů a přístupu k nim) ponechává naprostou většinu definic beze změny, v čl. 4 odst. 2, 3, 4 a 5 britského nařízení GDPR zavádí zvláštní definice týkající se zpracování osobních údajů pro vědecké, historické a statistické účely. Odstavec 2 definuje „zpracování pro vědecké účely“ jako zpracování osobních údajů prováděné pro účely jakéhokoli výzkumu, který lze důvodně označit za vědecký. Tento výzkum může být financován z veřejných nebo soukromých zdrojů a může být prováděn jako komerční nebo nekomerční činnost. Odstavec 3, který odráží obsah 159. bodu odůvodnění nařízení (EU) 2016/679, uvádí neúplný seznam příkladů výzkumných činností, které lze považovat za činnosti pro vědecké účely, včetně technického vývoje, demonstrací, základního výzkumu a aplikovaného výzkumu. Odstavec 4 objasňuje, že „historický výzkum“ zahrnuje genealogický výzkum, který je rovněž uznán jako historický účel ve 160. bodě odůvodnění nařízení (EU) 2016/679. Konečně odstavec 5 definuje zpracování pro statistické účely jako zpracování údajů pro statistická šetření nebo za účelem získání statistických výsledků, přičemž údaje jsou uvedeny v souhrnu do té míry, že již nepředstavují osobní údaje. Zpracovávané údaje nebo výsledné informace navíc nesmí být použity k rozhodování nebo přijímání opatření namířených proti jednotlivcům. Tato definice je v souladu s chápáním statistických účelů nastíněným ve 162. bodě odůvodnění nařízení (EU) 2016/679.

(18)

Závěrem lze říci, že ačkoli změny článku 4 britského nařízení GDPR doplňují zvláštní definice zpracování údajů pro vědecké, historické a statistické účely, jsou tyto definice v souladu s literou a duchem nařízení (EU) 2016/679, jak je uvedeno ve výše uvedených bodech odůvodnění 159, 160 a 162.

(19)

Zákon o údajích (o používání údajů a přístupu k nim) doplnil článek 4 britského nařízení GDPR o odstavec 6 a stanovil zvláštní rámec pro získání souhlasu subjektu údajů se zpracováním osobních údajů pro vědecké účely. Velmi podobně jako 33. bod odůvodnění nařízení (EU) 2016/679, který uznává, že v oblasti vědeckého výzkumu nelze vždy získat souhlas pro konkrétní účel zpracování, umožňuje nové ustanovení širší formy souhlasu tím, že umožňuje, aby subjekty údajů mohly udělit platný souhlas i v případě, že v době sběru údajů nelze zcela určit přesné účely výzkumu, za předpokladu, že snaha o získání souhlasu je v souladu s obecně uznávanými etickými normami relevantními pro konkrétní oblast výzkumu. V každém případě musí mít subjekty údajů možnost dát souhlas se zpracováním osobních údajů pouze pro určité části výzkumu, pokud je to možné.

(20)

A konečně, zákon o údajích (o používání údajů a přístupu k nim) dále upřesnil záruky, které se dříve nacházely v článku 89 britského nařízení GDPR a v článku 19 zákona o ochraně osobních údajů z roku 2018, pro zpracování údajů pro účely archivace ve veřejném zájmu, vědeckého, historického a statistického výzkumu v nové kapitole 8 A britského nařízení GDPR (27). Tato ochranná opatření jsou podobná těm, která vyžaduje článek 89 nařízení (EU) 2016/679, a zahrnují požadavek na zajištění technických a organizačních opatření pro účely zajištění dodržování zásady minimalizace údajů.

(21)

Rámec ochrany údajů ve Spojeném království nadále vyžaduje, aby byly údaje zpracovávány zákonným, spravedlivým a legitimním způsobem, jak je posouzeno ve 24. až 26. bodě odůvodnění prováděcího rozhodnutí (EU) 2021/1772.

(22)

Zásady zákonnosti a korektnosti a důvody pro zákonné zpracování jsou v právu Spojeného království nadále zaručeny prostřednictvím čl. 5 odst. 1 písm. a) a čl. 6 odst. 1 britského nařízení GDPR, jak je posouzeno v prováděcím rozhodnutí (EU) 2021/1772. Zatímco tato ustanovení zůstávají do značné míry totožná (28) s příslušnými ustanoveními nařízení (EU) 2016/679, zákon o údajích (o používání údajů a přístupu k nim) nejprve mění čl. 6 odst. 1 britského nařízení GDPR tím, že zavádí další zákonný důvod pro zpracování osobních údajů podle čl. 6 odst. 1 písm. ea) (29). Podle tohoto ustanovení je zpracování zákonné, pokud je „nezbytné pro účely uznaného oprávněného zájmu“. Na rozdíl od právního důvodu oprávněného zájmu podle čl. 6 odst. 1 písm. f) britského nařízení GDPR nevyžaduje nově zavedený právní důvod uznaného oprávněného zájmu vyvažování oprávněných zájmů správce s ohledem na zájmy nebo základní práva a svobody subjektu údajů v jednotlivých případech, který má poskytnout větší právní jistotu správcům, kteří nejsou veřejnými orgány. Nově zavedený čl. 6 odst. 5 britského nařízení GDPR stanoví, že zpracování je nezbytné pro účely uznaného oprávněného zájmu, pouze pokud splňuje podmínku uvedenou v příloze 1 (30), která dále uvádí situace, kdy je zpracování považováno za nezbytné pro účely uznaného oprávněného zájmu, například pokud probíhá v reakci na žádost obdrženou orgánem veřejné moci, který údaje potřebuje pro účely plnění úkolu prováděného ve veřejném zájmu, který má právní základ splňující čl. 6 odst. 3 britského nařízení GDPR, pokud je zpracování nezbytné pro zajištění národní bezpečnosti, ochranu veřejné bezpečnosti nebo pro účely obrany, pro reakci na mimořádné události, odhalování, vyšetřování nebo předcházení trestné činnosti nebo pro ochranu zranitelných osob (31).

(23)

Zákon o údajích (o používání údajů a přístupu k nim) tak sice rozšiřuje seznam právních důvodů pro zpracování osobních údajů, které má správce k dispozici, ale nově zavedený právní důvod uznaného oprávněného zájmu podléhá několika významným omezením. Zaprvé, uznané oprávněné zájmy jsou omezeny na konkrétní situace, které jsou v zákoně taxativně vyjmenovány. Zadruhé, na tento právní důvod se nemohou orgány veřejné moci při plnění svých úkolů odvolávat (32). Zatřetí, týká se pouze oblastí, kde existuje jasný veřejný zájem na činnosti zpracování (na základě podmínek uvedených v příloze 1), tj. kde zpracování slouží cílům uvedeným v článku 23 britského nařízení GDPR (který odpovídá článku 23 nařízení (EU) 2016/679), a nelze se tedy na něj odvolávat u komerčních účelů. Začtvrté, zatímco zákon o údajích (o používání údajů a přístupu k nim) přiznává ministrovi právo měnit seznam v příloze 1 prostřednictvím nařízení (33), ministr může vydat takové nařízení po konzultaci Úřadu komisaře pro informace (34) a přidat do tohoto seznamu uznaný oprávněný zájem pouze tehdy, pokud je toto zpracování opět nezbytné k zajištění cíle veřejného zájmu uvedeného v čl. 23 odst. 1 písm. c) až j) britského nařízení GDPR (35). A konečně, jak potvrzují i pokyny Úřadu komisaře pro informace (36), správci údajů, kteří se opírají o uznaný oprávněný zájem jako právní základ, musí splnit všechny ostatní požadavky podle britského nařízení GDPR, včetně zajištění toho, aby zpracování bylo nezbytné a přiměřené k dosažení oprávněného zájmu.

(24)

Zadruhé, zákon o údajích (o používání údajů a přístupu k nim) v čl. 6 odst. 3, čl. 9 odst. 2 písm. g) a čl. 10 odst. 1 britského nařízení GDPR, které odpovídají příslušným ustanovením nařízení (EU) 2016/679, upřesňuje, že základ pro zpracování osobních údajů, zvláštních kategorií osobních údajů a osobních údajů týkajících se rozsudků v trestních věcech a trestných činů při plnění právní povinnosti nebo pro plnění úkolu ve veřejném zájmu může mít základ nejen ve vnitrostátním právu, ale také v příslušném mezinárodním právu (37). Příslušné mezinárodní právo je pak nově zavedeným článkem 9 A britského nařízení GDPR ve spojení s přílohou A1 omezeno na jedinou dohodu, a to Dohodu mezi vládou Spojeného království Velké Británie a Severního Irska a vládou Spojených států amerických o přístupu k elektronickým údajům za účelem boje proti závažné trestné činnosti, podepsanou dne 3. října 2019 (dále jen „dohoda mezi Spojeným královstvím a USA“) (38). Záruky stanovené uvedenou dohodou byly posouzeny ve 153. až 155. bodě odůvodnění prováděcího rozhodnutí (EU) 2021/1772 a jejich provádění je analyzováno v 87. až 93. bodě odůvodnění tohoto rozhodnutí.

(25)

Rámec Spojeného království pro ochranu údajů nadále poskytuje zvláštní záruky v případech, kdy se jedná o zvláštní kategorie údajů, jak je posouzeno v 27. až 42. bodě odůvodnění prováděcího rozhodnutí (EU) 2021/1772.

(26)

Definice zvláštních kategorií osobních údajů i zvláštní pravidla pro zpracování těchto kategorií údajů v britském nařízení GDPR a zákoně o ochraně údajů z roku 2018 zůstávají v platnosti. Zákon o údajích (o používání údajů a přístupu k nim) zároveň svěřuje ministrovi nové regulační pravomoci, které mu umožňují přidávat zvláštní kategorie údajů, upravovat podmínky pro jejich používání a v případě potřeby přidávat nové definice (39). Důležité je, že ministrovi neumožňuje odstranit nebo změnit stávající zvláštní kategorie údajů ani změnit podmínky pro zpracování těchto kategorií (40). Nově zavedená regulační pravomoc tak vládě umožňuje pouze přidávat nové kategorie citlivých údajů a určovat podmínky pro zpracování těchto kategorií, což má vládě umožnit reagovat na budoucí technologický a společenský vývoj, pokud to bude nutné.

(27)

Tyto změny proto nemají vliv na úroveň ochrany zvláštních kategorií osobních údajů, která je v podstatě rovnocenná ochraně v rámci EU podle prováděcího rozhodnutí (EU) 2021/1772.

(28)

Režim Spojeného království pro ochranu osobních údajů i nadále vyžaduje, aby údaje byly zpracovávány pro konkrétní účel a následně použity pouze v rozsahu, který není neslučitelný s původním účelem zpracování, jak je posouzeno ve 43. až 48. bodě odůvodnění prováděcího rozhodnutí (EU) 2021/1772.

(29)

Zaprvé, zákon o údajích (o používání údajů a přístupu k nim) zavádí několik cílených změn zásady omezení účelu stanovené v čl. 5 odst. 1 písm. b) britského nařízení GDPR. Tyto změny upřesňují uplatňování této zásady, aniž mění její podstatu. Ustanovení čl. 71 odst. 1, 2 a 3 zákona o údajích (o používání údajů a přístupu k nim) stanoví, že zásada omezení účelu se použije v případě, že jsou údaje shromažďovány od subjektu údajů nebo jinak, že se použije pouze v případě, kdy jsou osobní údaje dále zpracovávány stejným správcem nebo jeho jménem (tj. že se nepoužije, pokud dojde ke změně správce), a že zpracování není zákonné pouze z toho důvodu, že je slučitelné s účely, pro které byly osobní údaje shromážděny.

(30)

Zadruhé, zákon o údajích (o používání údajů a přístupu k nim) objasňuje pravidla pro další zpracování osobních údajů tím, že je přeskupuje do nově přidaného článku 8 A britského nařízení GDPR, který stanoví úplný režim dalšího zpracování osobních údajů. V čl. 8 A odst. 2 britského nařízení GDPR jsou uvedeny prvky, které je třeba zohlednit při určování, zda je nový účel zpracování slučitelný s původním účelem. Tyto prvky byly dříve uvedeny v čl. 6 odst. 4 britského nařízení GDPR, který odpovídá čl. 6 odst. 4 nařízení (EU) 2016/679 (41). Ustanovení čl.8 A odst. 3 britského nařízení GDPR shrnuje do jednoho ustanovení situace, kdy je třeba zpracování osobních údajů pro nový účel považovat za slučitelné s původním účelem. Zahrnuje situace, kdy subjekt údajů souhlasí se zpracováním osobních údajů pro nový účel nebo kdy je zpracování nezbytné k zajištění cíle uvedeného v čl. 23 odst. 1 (42), kdy je zpracování prováděno pro účely vědeckého nebo historického výzkumu, archivace ve veřejném zájmu nebo pro statistické účely (43). A konečně zákon o údajích (o používání údajů a přístupu k nim) objasňuje, že jakékoli zpracování prováděné za účelem zajištění souladu zpracování se zásadami ochrany údajů stanovenými v čl. 5 odst. 1 britského nařízení GDPR nebo prokázání, že tomu tak je, se považuje za slučitelné s původním účelem. Výše uvedené situace nadále odpovídají tomu, co je považováno za slučitelné další zpracování také v nařízení (EU) 2016/679.

(31)

Zatřetí, zákon o údajích (o používání údajů a přístupu k nim) zavádí v čl. 8 A odst. 3 písm. d) britského nařízení GDPR také nové dodatečné situace, kdy se další zpracování osobních údajů pro nový účel považuje za slučitelné s původním účelem. Tyto situace jsou uvedeny v příloze 2 britského nařízení GDPR (44) a zahrnují například případy, kdy ke zpracování dochází v reakci na žádost obdrženou orgánem veřejné moci, který údaje potřebuje pro účely plnění úkolu prováděného ve veřejném zájmu, který má právní základ splňující čl. 6 odst. 3 britského nařízení GDPR, pokud je zpracování nezbytné pro ochranu veřejné bezpečnosti, reakci na mimořádné události, odhalování, vyšetřování nebo předcházení trestné činnosti, ochranu životně důležitých zájmů subjektu údajů a dalších osob, ochranu zranitelných osob, pro daňové účely nebo je-li to nezbytné pro splnění právní povinnosti (45).

(32)

Zákon o údajích (o používání údajů a přístupu k nim) tak sice rozšiřuje seznam situací, kdy je další zpracování pro jiný účel považováno za slučitelné s původním účelem zpracování, toto rozšíření však podléhá významným omezením. Zaprvé je omezeno na konkrétní situace, které jsou v zákoně taxativně vyjmenovány. Zadruhé se týká pouze oblastí, kde existuje jasný veřejný zájem na činnosti zpracování, tj. kde další zpracování slouží cílům uvedeným v článku 23 britského nařízení GDPR (který odpovídá článku 23 nařízení (EU) 2016/679). Nelze se na něj tedy spoléhat pro komerční účely. Zatřetí, zatímco zákon o údajích (o používání údajů a přístupu k nim) přiznává ministrovi právo měnit seznam v příloze 2 prostřednictvím nařízení (46), ministr může do tohoto seznamu přidat druhy zpracování pouze tehdy, pokud je toto zpracování opět nezbytné k zajištění cíle veřejného zájmu uvedeného v čl. 23 odst. 1 písm. c) až j) britského nařízení GDPR (47). Začtvrté, pokud je shromažďování osobních údajů správcem založeno na souhlasu subjektu údajů, považuje se zpracování pro nový účel v situacích uvedených v příloze 2 za slučitelné s původním účelem pouze tehdy, pokud nelze důvodně očekávat, že správce získá od subjektu údajů nový souhlas (48).

(33)

Podle rámce Spojeného království pro ochranu osobních údajů mají subjekty údajů nadále stejná individuální práva jako podle nařízení (EU) 2016/679 bez jakýchkoli významných změn (49), která lze uplatnit vůči správci nebo zpracovateli, zejména právo na přístup k údajům, právo vznést námitku proti zpracování a právo na opravu a výmaz údajů, jak je posouzeno v 51. až 54. bodě odůvodnění prováděcího rozhodnutí (EU) 2021/1772.

(34)

Zaprvé, zákon o údajích (o používání údajů a přístupu k nim) objasňuje určité způsoby, jakými lze tato práva vykonávat. Na jedné straně se změnou článku 12 a zavedením nového článku 12 A britského nařízení GDPR (50) upřesňují lhůty, v nichž musí správci reagovat na žádosti subjektů údajů. Konkrétně se mění článek 12 britského nařízení GDPR tak, že správce již není povinen poskytnout informace o přijatých opatřeních (nebo o důvodech, proč žádná opatření nepřijal) v reakci na žádost subjektu údajů podle článků 15 až 22 britského nařízení GDPR „do jednoho měsíce od obdržení žádosti“, nýbrž „před koncem příslušné lhůty“. Příslušná lhůta je dále definována v nově zavedeném článku 12 A britského nařízení GDPR jako období jednoho měsíce počínající rozhodným okamžikem, kterým je okamžik, kdy správce obdrží žádost, kdy správce obdrží veškeré informace požadované v souvislosti s žádostí podle čl. 12 odst. 6 britského nařízení GDPR nebo kdy je uhrazen poplatek, který byl účtován v souvislosti s žádostí podle čl. 12 odst. 5 britského nařízení GDPR, podle toho, co nastane později (51). Ustanovení čl. 12 A odst. 3 dále umožňuje správci prodloužit příslušnou lhůtu o další dva měsíce, pokud je to nezbytné vzhledem k tomu, že žádosti podané subjektem údajů jsou složité nebo jich je mnoho. Na druhou stranu, pokud jde pouze o právo na přístup k informacím a osobním údajům, zákon o údajích (o používání údajů a přístupu k nim) mění článek 15 britského nařízení GDPR, aby zahrnoval upřesnění vytvořené na základě stávající vnitrostátní judikatury, vycházející z principu proporcionality podle práva EU, že správci musí provádět pouze důvodné a přiměřené vyhledávání požadovaných informací a osobních údajů (52). Očekává se, že nové ustanovení bude vykládáno v souladu se stávající judikaturou, která stanoví, že „[…] při posuzování proporcionality se zvažuje konečný cíl vyhledávání, tedy potenciální prospěch, který by poskytnutí informací mohlo subjektu údajů přinést, v porovnání s prostředky, jimiž jsou tyto informace získávány. V každém konkrétním případě je třeba posoudit, zda vyhledání a poskytnutí informací nebude spojeno s nepřiměřeným úsilím v porovnání s výhodami, které by mohly subjektu údajů přinést“  (53).

(35)

Ačkoli tedy lhůty pro odpověď na žádosti subjektů údajů a konkrétní povinnosti správců údajů v souvislosti s právem na přístup podléhají podrobnějším pravidlům, systém Spojeného království nadále zajišťuje, že žádosti subjektů údajů musí být vyřízeny v přiměřených lhůtách stanovených na základě objektivních faktorů. Hmotněprávní povinnosti správce při reakci na žádosti o přístup jsou kromě toho stanoveny na základě zavedených právních norem, které zohledňují i zájmy subjektu údajů. Konečně, v současných pokynech Úřadu komisaře pro informace je již stanoveno, že správce není povinen provádět vyhledávání, které by bylo nepřiměřené nebo neúměrné významu poskytování přístupu k informacím (54).

(36)

Omezení těchto individuálních práv stanovená v zákoně o ochraně údajů z roku 2018 a zapadající do rámce článku 23 britského nařízení GDPR, jakož i omezení a záruky, které vymezují uplatňování těchto omezení, nadále platí v rámci Spojeného království (55), jak je podrobně popsáno v 55. až 67. bodě odůvodnění prováděcího rozhodnutí (EU) 2021/1772.

(37)

Pokud jde konkrétně o omezení pro osobní údaje zpracovávané pro účely zachování účinné kontroly imigrace nebo vyšetřování či odhalování činností, které by narušovaly zachování účinné kontroly imigrace, v rozsahu, v jakém by uplatnění těchto ustanovení mohlo poškodit některou z těchto záležitostí (imigrační výjimka) (56), vláda Spojeného království změnila odstavec 4 přílohy 2 zákona o ochraně údajů z roku 2018 (změna přílohy 2 Výjimky) nařízení z roku 2022 (57) a zákona o ochraně údajů z roku 2018 (změna přílohy 2 Výjimky) nařízení z roku 2024 (58), která doplňují nařízení z roku 2022 (59). Změny začleňují do odstavců 4 A a 4B přílohy 2 zákona o ochraně údajů z roku 2018 záruky pro uplatnění imigrační výjimky, které vyžaduje čl. 23 odst. 2 britského nařízení GDPR. Zejména vyžadují, aby i) imigrační výjimka byla uplatňována pouze v individuálních případech, a to samostatně pro každé z příslušných ustanovení britského nařízení GDPR a nově při každé příležitosti, kdy ministr zvažuje neuplatnění nebo omezení uplatňování některého z příslušných ustanovení britského nařízení GDPR (60), ii) aby při uplatňování imigrační výjimky byla zohledněna práva a svobody subjektu údajů a jeho potenciální zranitelnost (61), iii) aby ministr vedl záznamy o použití imigrační výjimky a informoval subjekt údajů o jejím použití (s výjimkou zvláštních okolností, kdy by informování bylo na újmu cíli výjimky) (62), a iv) objasnil, že použití imigrační výjimky je omezeno na zpracování osobních údajů ministrem (63), tj. v praxi ministerstvem vnitra pro jeho funkce související s bodem 4 odst. 1 přílohy 2 k zákonu o ochraně údajů z roku 2018. Nadto také vysvětlují vyvažování, které je nutné při určování, zda je pravděpodobné, že výkon práv subjektu údajů bude na újmu účinné kontroly imigrace, a zda je v důsledku toho nezbytné a přiměřené tato práva omezit.

(38)

Kromě toho vydal Úřad komisaře pro informace ve Spojeném království podrobné pokyny k používání tohoto specifického omezení (64). Pokyny zejména uvádějí: „Výjimku týkající se imigrace byste neměli používat jako plošnou výjimku k omezení […] práv, pokud jde o veškeré údaje ve vašem držení. Rozsah výjimky je omezen na ta práva, u nichž by jejich výkon u držených údajů byl na újmu určených účelů v oblasti imigrace. […]. Výchozí situace správce by proto měla být pokud možno v souladu s požadavky nařízení (EU) 2016/679 a zákona o ochraně údajů. […] Test újmy má vysokou prahovou hranici a výjimku byste neměli používat plošně. […] Musíte zvážit, zda je použití výjimky přiměřenou reakcí na žádost jednotlivce o ochranu údajů. Můžete mít za to, že existuje naléhavá společenská potřeba použít výjimku týkající se imigrace, musíte však také vzít v úvahu, zda to převáží nad vaší povinností vůči jednotlivcům podle nařízení (EU) 2016/679. Ti mají práva ke svým osobním údajům, která musíte za každých okolností zohlednit, zejména právo na přístup. Je proto v každém případě důležité zvážit, zda práva jednotlivce na ochranu údajů převažují nad zjištěným rizikem újmy. Vaše použití výjimky musí být přiměřené okolnostem a každý případ musíte pečlivě posoudit a zdokumentovat.“

(39)

Celkově lze říci, že omezení imigrace stanovené v článku 4 přílohy 2 zákona o ochraně údajů z roku 2018, jak byl revidován vládou Spojeného království v letech 2022 a 2024 a jak je vykládán judikaturou (65), a pokyny Úřadu komisaře pro informace, podléhá řadě přísných podmínek, které rámují jeho uplatňování a jsou velmi podobné podmínkám stanoveným v unijním právu, zejména v článku 23 nařízení (EU) 2016/679, pro omezení práv a povinností v oblasti ochrany údajů pro důležité cíle veřejného zájmu, jako je kontrola imigrace.

(40)

Úroveň ochrany osobních údajů předávaných z Evropské unie správcům nebo zpracovatelům ve Spojeném království i nadále nesmí být oslabena dalším předáváním těchto údajů příjemcům ve třetí zemi. Režim mezinárodního předávání osobních údajů ze Spojeného království zůstává velmi blízký pravidlům stanoveným v kapitole V nařízení (EU) 2016/679, jak je posouzeno v 74. až 82. bodě odůvodnění prováděcího rozhodnutí (EU) 2021/1772.

(41)

Zákon o údajích (o používání údajů a přístupu k nim) sice změnil kapitolu 5 britského nařízení GDPR o předávání osobních údajů do třetích zemí nebo mezinárodním organizacím, ale zachovává základní požadavek, že osobní údaje mohou být předány do třetí země nebo mezinárodní organizaci pouze tehdy, pokud je předání založeno na i) nařízení, kterými se předání schvaluje (nová terminologie pro to, co se dříve označovalo jako „nařízení o odpovídající ochraně“), ii) vhodných zárukách nebo iii) výjimce pro konkrétní situace. Tyto obecné zásady pro předávání údajů jsou zohledněny v novém článku 44 A, který nahrazuje článek 44 britského nařízení GDPR (66) a který rovněž stanoví, že předávání osobních údajů do třetí země nebo mezinárodní organizaci je povoleno pouze tehdy, pokud je předávání prováděno v souladu s ostatními ustanoveními britského nařízení GDPR.

(42)

Pokud jde konkrétně o nařízení schvalující předání, čl. 45 A odst. 2 britského nařízení GDPR stanoví, že ministr může vydat taková nařízení pouze tehdy, pokud se domnívá, že je splněn test ochrany údajů. To znamená, že možnost ministra zavedená v čl. 45 A odst. 3 britského nařízení GDPR zohlednit při přijímání takových nařízení vhodné usnadnění toku údajů je vždy podmíněna splněním testu ochrany údajů. Právní standard pro splnění testu ochrany údajů je stanoven v novém čl. 45B odst. 1 britského nařízení GDPR a požaduje, aby standard ochrany subjektů údajů v přijímajících zemích nebo v mezinárodních organizacích nebyl podstatně nižší než standard poskytovaný subjektům údajů podle příslušných právních předpisů Spojeného království o ochraně údajů. Ustanovení čl. 45B odst. 2 britského nařízení GDPR pak stanoví demonstrativní výčet prvků, které je třeba vzít v úvahu při posuzování, zda je tento test splněn, jako je dodržování zásad právního státu a lidských práv, existence a pravomoci orgánu pro ochranu údajů, opatření pro soudní nebo mimosoudní nápravu, pravidla pro předávání osobních údajů ze země nebo organizací do jiných zemí nebo mezinárodním organizacím, příslušné mezinárodní závazky země nebo organizace a ústava, tradice a kultura země nebo organizace. Nový čl. 45B odst. 2 sice přeformuloval výčet příslušných prvků podle dřívějšího článku 45 britského nařízení GDPR, ale zachoval základní prvky tohoto výčtu, a proto zůstává blízký tomu, co je uvedeno v kapitole V nařízení (EU) 2016/679. Orgány Spojeného království navíc potvrdily, že ministr zohlední prvky, které nejsou uvedeny v čl. 45B odst. 2, jako jsou zákony a postupy ve třetí zemi týkající se způsobu, jakým orgány veřejné moci přistupují k osobním údajům pro účely, jako je národní bezpečnost nebo prosazování práva, pokud mají dopad na celkovou úroveň ochrany. Kromě toho se orgány Spojeného království domnívají, že příslušná judikatura ve třetí zemi bude nezbytnou součástí při posouzení záležitostí uvedených neúplně v čl. 45B odst. 2 britského nařízení GDPR.

(43)

Nařízení o schválení předávání nadále podléhají „obecným“ procesním požadavkům stanoveným v článku 182 zákona o ochraně údajů z roku 2018, jak je uvedeno v 77. bodě odůvodnění prováděcího rozhodnutí (EU) 2021/1772. V rámci tohoto postupu musí ministr při navrhování přijetí britských nařízení o odpovídající ochraně Spojeného království konzultovat komisaře pro informace (67). Jakmile ministr nařízení přijme, jsou předložena parlamentu Spojeného království a podléhají postupu „zamítavého rozhodnutí“, v němž mohou obě komory parlamentu tato nařízení přezkoumat a podat návrh na zrušení těchto nařízení ve lhůtě 40 dnů (68).

(44)

Pokud jde o vhodné záruky, nový odstavec čl. 46 odst. 1 A britského nařízení GDPR stanoví, že k takovému předávání může dojít pouze tehdy, pokud jsou v dostupných nástrojích podle čl. 46 odst. 2 a 3 (69) britského nařízení GDPR stanoveny příslušné záruky a správce, zpracovatel nebo příslušné veřejné orgány, jednající důvodně a přiměřeně, se domnívají, že je splněn test ochrany údajů. Nově vložené odstavce 6 a 7 objasňují, že test ochrany údajů je splněn, pokud díky požadovaným zárukám není standard ochrany poskytovaný subjektům údajů po předání podstatně nižší než standard podle příslušných právních předpisů Spojeného království o ochraně údajů, tj. stejně jako v případě nařízení (EU) 2016/679 platí stejné právní standardy pro oba předpisy, kterými se předání schvaluje, a příslušné záruky. Podle téhož odstavce se důvodnost a přiměřenost určuje s ohledem na všechny okolnosti nebo pravděpodobné okolnosti předání nebo typu předání, včetně povahy a objemu předávaných osobních údajů.

(45)

Pokud jde o odchylky pro zvláštní situace, v článku 49 britského nařízení GDPR, který se týká podmínek, za nichž lze uplatnit odchylky pro zvláštní situace, se zavádí řada technických změn, které toto ustanovení uvádějí do souladu se změnami v jiných ustanoveních, ale nemají vliv na úroveň ochrany osobních údajů ve Spojeném království. Kromě toho je s cílem znásobit účinek čl. 18 odst. 1 zákona o ochraně údajů z roku 2018 vložen nový odstavec 4 A, který uděluje ministrovi pravomoc stanovit nařízením okolnosti předávání údajů, které jsou považovány za nezbytné z důvodu veřejného zájmu. A konečně, nový článek 49 A reprodukuje účinek čl. 18 odst. 2 zákona o ochraně údajů z roku 2018, který zavádí možnost ministra prostřednictvím nařízení uložit omezení předávání údajů, pokud nejsou schválena podle článku 45 A (předávání, které se schvaluje nařízeními) a pokud jsou považována za nezbytná z důvodů důležitého veřejného zájmu.

(46)

Pokud jde o provádění pravidel Spojeného království pro mezinárodní předávání, došlo od přijetí prováděcího rozhodnutí (EU) 2021/1772 k několika změnám.

(47)

Pokud jde o nařízení, kterými se předávání schvaluje, byla dosud přijata dvě nová nařízení, která odrážejí rozhodnutí o odpovídající ochraně, jež platí i v rámci Unie, tj. pro předávání do Korejské republiky a pro předávání obchodním subjektům, které přistoupily k rozšíření rámce mezi EU a USA pro ochranu osobních údajů na Spojené království. Nařízení o odpovídající ochraně pro Korejskou republiku (70) vstoupilo v platnost dne 19. prosince 2022 a umožňuje předávání osobních údajů ze Spojeného království do Korejské republiky. Rozšíření rámce mezi EU a USA pro ochranu osobních údajů na Spojené království, jehož příslušná nařízení (71) vstoupila v platnost dne 12. října 2023, umožňuje volný tok osobních údajů certifikovaným americkým organizacím.

(48)

Pokud jde o vhodné záruky, Spojené království zveřejnilo vlastní standardní smluvní doložky o ochraně údajů, mezinárodní dohodu o předávání údajů (72) a dodatek ke standardním smluvním doložkám EU, které vstoupily v platnost v březnu 2022. Mezinárodní dohoda o předávání údajů poskytuje mechanismus specifický pro Spojené království pro zajištění vhodných záruk pro předávání osobních údajů a má různé podobnosti se standardními smluvními doložkami EU. Dodatek, který vydal Úřad komisaře pro informace, umožňuje správcům a zpracovatelům údajů ve Spojeném království spoléhat se při mezinárodním předávání na standardní smluvní doložky EU podle britského nařízení GDPR. Úřad komisaře pro informace rovněž vydal nástroj pro hodnocení rizik předávání, který má britským organizacím pomoci při vyhodnocování rizik spojených s mezinárodním předáváním.

(49)

Spojené království rovněž zefektivnilo proces schvalování závazných podnikových pravidel prostřednictvím nových pokynů a nových možností schvalování závazných podnikových pravidel. V červenci 2022 zveřejnil Úřad komisaře pro informace pokyny a referenční tabulky, které vysvětlují přístup Spojeného království k závazným podnikovým pravidlům po Brexitu, a v prosinci 2023 byl zveřejněn dodatek k závazným podnikovým pravidlům EU, který má zajistit, aby závazná podniková pravidla schválená podle rámce Unie byla vymahatelná ve Spojeném království (73).

(50)

A konečně, v červenci 2023 se Spojené království stalo přidruženým členem Globálního fóra pro pravidla pro ochranu soukromí na přeshraničním základě (74). Důležité je, že toto členství neznamená žádné usnadnění předávání údajů ze Spojeného království ostatním členům fóra pro pravidla pro ochranu soukromí na přeshraničním základě. Spojené království objasnilo, že jakékoli předávání osobních údajů ze Spojeného království do třetích zemí nebo mezinárodním organizacím musí splňovat podmínky stanovené v právních předpisech Spojeného království, jak je popsáno výše, zejména test ochrany údajů, který vyžaduje, aby poskytované standardy ochrany „nebyly podstatně nižší“ než standardy podle britského nařízení GDPR.

(51)

Jak již Komise vysvětlila, přeshraniční pravidla ochrany soukromí nezajišťují dostatečnou úroveň ochrany osobních údajů pocházejících z EU. Zejména nestanoví vymahatelná individuální práva (75). Je proto obzvláště důležité, že i když je Spojené království přidruženým členem Globálního fóra pro pravidla pro ochranu soukromí na přeshraničním základě, nemůže toto fórum představovat platný mechanismus předávání údajů podle právních předpisů Spojeného království o ochraně údajů. Pokud by se to změnilo, narušilo by to úroveň ochrany, která je v současnosti zaručena osobním údajům předávaným z EU do Spojeného království. Komise proto bude i nadále pozorně sledovat další vývoj v této oblasti.

(52)

Zákon o údajích (o používání údajů a přístupu k nim) sice zachovává některé prvky pravidel pro automatizované rozhodování, které jsou posouzeny v 54. bodě odůvodnění prováděcího rozhodnutí (EU) 2021/1772, ale některé aspekty těchto pravidel mění.

(53)

Zaprvé, nově zavedený článek 22B britského nařízení GDPR stanoví obecný zákaz zpracování zvláštních kategorií osobních údajů (uvedených v čl. 9 odst. 1 britského nařízení GDPR) pro rozhodnutí založená výhradně na automatizovaném zpracování. Uvádí však tři výjimky z tohoto zákazu: subjekt údajů poskytl výslovný souhlas s takovým zpracováním; nebo je rozhodnutí nezbytné pro uzavření nebo plnění smlouvy mezi správcem a subjektem údajů; nebo je zpracování vyžadováno či povoleno zákonem. V případě dvou posledně zmíněných výjimek musí být automatizované zpracování nezbytné z důvodů důležitého veřejného zájmu (76). Obecný zákaz se nevztahuje na významná rozhodnutí založená na automatizovaném zpracování jiných než zvláštních kategorií údajů.

(54)

Nový článek 22 A britského nařízení GDPR navíc upřesňuje definici rozhodnutí, které je „založeno výhradně na automatizovaném zpracování“, a stanoví, že se jedná o rozhodnutí, u něhož nedochází k významnému lidskému zapojení do rozhodovacího procesu. Důležité je, že správci jsou povinni posoudit, do jaké míry profilování přispívá k rozhodnutí, aby bylo možné určit, zda bylo lidské zapojení smysluplné. Článek 22 A britského nařízení GDPR rovněž upřesňuje, že „významné rozhodnutí“ je rozhodnutí, které má právní účinky nebo podobně významné dopady na subjekt údajů (77).

(55)

Zadruhé, nově zavedený článek 22C britského GDPR ukládá správcům povinnost zavést opatření k zajištění příslušných záruk pro každé významné rozhodnutí založené zcela nebo částečně na osobních údajích a založené výhradně na základě automatizovaného zpracování (včetně jiných než zvláštních kategorií osobních údajů). Tyto záruky musí zahrnovat poskytnutí informací subjektu údajů o rozhodovacím procesu, umožnění subjektu údajů rozhodnutí napadnout a vyjádřit se k němu a zajištění možnosti subjektu údajů obdržet lidský zásah do rozhodovacího procesu (78).

(56)

A konečně nově zavedený článek 22D britského nařízení GDPR uděluje ministrovi pravomoc vydat sekundární právní předpisy, které by popsaly, co představuje a co nepředstavuje smysluplné lidské zapojení, jaká rozhodnutí se považují a jaká se nepovažují za rozhodnutí s podobně významným účinkem na subjekty údajů. Umožňuje také ministrovi vydávat sekundární právní předpisy, které i) přidávají nové záruky; ii) ukládají požadavky doplňující stávající záruky a iii) definují opatření, která záruky nesplňují (79). Důležité je, že před přijetím nařízení v souladu s článkem 22D britského nařízení GDPR musí ministr konzultovat Úřad komisaře pro informace (80), nařízením nelze změnit čl. 22C britského nařízení GDPR (81) a nařízení podléhají postupu souhlasného usnesení (82), což znamená, že před jejich přijetím je musí schválit obě komory parlamentu Spojeného království.

(57)

Ačkoli tedy zákon o údajích (o používání údajů a přístupu k nim) změnil rámec pro automatizované rozhodování, je důležité poznamenat, že podle právního rámce Spojeného království se na automatizované rozhodování i nadále vztahují klíčové záruky vyžadující právo na lidský zásah ve všech případech významných rozhodnutí založených výhradně na automatizovaném zpracování, tj. na základě zpracování citlivých osobních údajů i údajů, které nejsou citlivé (83). Kromě toho, jak Komise uvedla v předchozích rozhodnutích o odpovídající ochraně (84), je nepravděpodobné, že by zvláštní pravidla pro automatizované rozhodování v britském nařízení GDPR ovlivnila úroveň ochrany osobních údajů předávaných z Unie do Spojeného království. Pokud jde o osobní údaje, které byly shromážděny v Unii, jakékoli rozhodnutí založené na automatizovaném zpracování bude obvykle činit správce v Unii (který má přímý vztah s dotyčným subjektem údajů), a vztahují se tedy na něj pravidla nařízení (EU) 2016/679.

(58)

Ve Spojeném království vykonává dohled nad dodržováním rámce pro ochranu údajů a jeho prosazování i nadále nezávislý dozorový úřad pro ochranu údajů, jak je uvedeno v 85. až 91. bodě odůvodnění prováděcího rozhodnutí (EU) 2021/1772. Zákon o údajích (o používání údajů a přístupu k nim) reformuje strukturu řízení tohoto úřadu tím, že zřizuje právnickou osobu, Komisi pro informace, která nahradí komisaře pro informace, jenž byl vytvořen jako tzv. výhradní korporace.

(59)

Přesněji řečeno, opatření v oblasti řízení stanovená v zákoně o údajích (o používání údajů a přístupu k nim) po jeho provedení zruší pozici komisaře pro informace a převedou funkce, zaměstnance a majetek z Úřadu komisaře pro informace na nový orgán, Komisi pro informace. Komise pro informace se skládá z výkonných a nevýkonných členů (85). Zákon rovněž stanoví, že funkce komisaře pro informace přechází na funkci předsedy Komise pro informace, který je jedním z nevýkonných členů (86). Zákon o údajích (o používání a přístupu k nim) dále stanoví, že pokud je to vhodné v důsledku převedení funkcí, odkazy na komisaře pro informace ve všech právních předpisech nebo jiných dokumentech (ať už byly přijaty nebo vydány kdykoli) se považují za odkazy na Komisi pro informace. K výkonu svých funkcí může komise zřizovat výbory a pověřovat funkcemi člena, zaměstnance nebo výbor komise (87) a může přijmout opatření pro úpravu svého postupu a postupu výborů, včetně usnášeníschopnosti a přijímání rozhodnutí většinou. Tyto postupy musí být zveřejněny (88).

(60)

Důležité je, že nezávislost Komise pro informace podléhá stejným zárukám, včetně pravidel pro jmenování a odvolání předsedy a členů Komise pro informace, jako záruky posuzované v 87. až 90. bodě odůvodnění prováděcího rozhodnutí (EU) 2021/1772 (89). Obdobná ochrana se vztahuje i na ostatní nevýkonné členy Komise pro informace. Předseda Komise pro informace je jmenován Jeho Veličenstvem na doporučení ministra. Je vybrán na základě zásluh a spravedlivého a otevřeného výběrového řízení (90). Ostatní nevýkonné členy jmenuje ministr po konzultaci s předsedou komise. Uchazeči mohou být doporučeni ke jmenování nebo jmenováni pouze tehdy, pokud jsou vybráni na základě zásluh v rámci spravedlivého a otevřeného výběrového řízení a pokud je ministr přesvědčen, že nejsou ve střetu zájmů (91). Výkonní členové jsou zaměstnanci Komise pro informace, kteří jsou zaměstnáni za podmínek stanovených nevýkonnými členy (92). Výkonného ředitele jmenuje předseda a ostatní nevýkonní členové po konzultaci s ministrem. Jmenování do vedoucích funkcí rovněž podléhá výběru na základě zásluh v rámci spravedlivého a otevřeného výběrového řízení (93).

(61)

Předseda může být odvolán z funkce pouze Jeho Veličenstvem na základě návrhu obou komor Parlamentu a pouze tehdy, pokud ministr předloží této komoře zprávu, v níž uvede, že je ministr přesvědčen, že se předseda dopustil závažného pochybení, je ve střetu zájmů, nesplnil zvláštní požadavky na informace týkající se možného střetu zájmů nebo není schopen, způsobilý nebo ochotný vykonávat funkci předsedy (94). Nevýkonné členy může ministr odvolat z funkce pouze tehdy, pokud je přesvědčen, že jsou splněny zvláštní podmínky stanovené v právních předpisech. Patří mezi ně střet zájmů, závažné pochybení nebo neschopnost, neochota či nezpůsobilost vykonávat své povinnosti. Pokud jde o další záruky, je ministr povinen zveřejnit rozhodnutí o tomto kroku a poskytnout členovi prohlášení o důvodech odvolání (95).

(62)

Hlavní úlohou Komise pro informace bude i nadále monitorování a prosazování rámce ochrany údajů ve Spojeném království „s cílem chránit základní práva a svobody“ jednotlivců (96). Pokud jde o funkci Komise pro informace zajistit odpovídající úroveň ochrany osobních údajů, zákon o údajích (o používání údajů a přístupu k nim) konkrétně vyžaduje, že aby Komise pro informace přihlížela k zájmům subjektů údajů, správců a dalších osob, k záležitostem obecného veřejného zájmu a podporovala důvěru veřejnosti ve zpracování osobních údajů (97). Tyto cíle jsou rovněž uvedeny v 7. bodě odůvodnění nařízení (EU) 2016/679.

(63)

Zákon o údajích (o používání údajů a přístupu k nim) navíc stanoví, že Komise pro informace při výkonu své funkce podle právních předpisů o ochraně údajů zohlední podporu inovací a hospodářské soutěže, význam předcházení trestným činům, jejich vyšetřování, odhalování a stíhání, potřebu ochrany veřejné bezpečnosti a národní bezpečnosti a zvláštní potřeby související s ochranou dětí (98). Právo EU v oblasti ochrany údajů rovněž uznává potřebu vyvážit ochranu osobních údajů s několika dalšími základními právy a cíli, jako je hospodářský a sociální pokrok, bezpečnost a spravedlnost a svoboda podnikání (99).

(64)

Pravomoci a úkoly Komise pro informace nadále odpovídají pravomocím a úkolům dozorových úřadů členských států pro ochranu údajů podle příslušných článků nařízení (EU) 2016/679 (100), jak je posouzeno v 91. až 95. bodě odůvodnění prováděcího rozhodnutí (EU) 2021/1772.

(65)

Zákon o údajích (o používání údajů a přístupu k nim) zavedl určitá upřesnění týkající se výkonu některých z těchto pravomocí.

(66)

Na jedné straně zákon o údajích (o používání údajů a přístupu k nim) upřesňuje, že Komise může požadovat konkrétní „dokumenty“ a „informace“, pokud využívá pravomoc vydat výzvu k podání informací (101). Na druhé straně zákon o údajích (o používání údajů a přístupu k nim) zavádí pro Komisi pro informace dvě nové vyšetřovací pravomoci: novou pravomoc vyžadovat zprávu (102) a novou pravomoc vydávat správcům „oznámení o výslechu“ v případě podezření na porušení britského nařízení GDPR nebo zákona o ochraně údajů z roku 2018 (103).

(67)

Pokud jde o výkon těchto pravomocí komisí pro informace, od vstupu prováděcího rozhodnutí (EU) 2021/1772 v platnost vyřídil komisař pro informace přibližně 40 000 stížností od subjektů údajů ročně, což je podobné množství stížností, které bylo vyřízeno v době, kdy Spojené království bylo ještě součástí Unie a uplatňovalo nařízení (EU) 2016/679 (104). Úřad komisaře pro informace rovněž prováděl šetření z moci úřední, která se týkala široké škály odvětvových otázek a otázek dodržování předpisů, včetně práv subjektů údajů (105).

(68)

Pokud jde o donucovací opatření, od vstupu prováděcího rozhodnutí (EU) 2021/1772 v platnost vydal komisař 120 napomenutí, 32 výzev k podání informací, 3 oznámení o posouzení, 12 oznámení o vymáhání, 2 varování a udělil 12 pokut (106). To zahrnuje několik významných peněžních pokut uložených podle britského nařízení GDPR a zákona o ochraně údajů z roku 2018. Například v dubnu 2023 udělil komisař pro informace pokutu 12,7 milionu liber jedné platformě sociálních médií za zneužití údajů dětí (107). V březnu 2025 byla softwarová společnost pokutována částkou 3,07 milionu liber za bezpečnostní chyby, které ohrozily osobní údaje více než 70 000 lidí (108). Zcela nedávno, v červnu 2025, udělil komisař pro informace pokutu 2,31 milionu liber společnosti zabývající se genetickým testováním za to, že po rozsáhlém kybernetickém útoku v roce 2023 nezavedla vhodná bezpečnostní opatření na ochranu osobních údajů uživatelů ve Spojeném království (109).

(69)

Od přijetí prováděcího rozhodnutí (EU) 2021/1772 Úřad komisaře pro informace rovněž vypracoval a zveřejnil značný počet pokynů, stanovisek a dalších metodických dokumentů, které objasňují uplatňování pravidel ochrany údajů v důležitých oblastech, jako je rozpoznávání obličeje, spravedlnost v oblasti umělé inteligence, údaje o dětech, přímý marketing, kamerový dohled, právo na přístup, transparentnost ve zdravotnictví a sociální péči atd., a to pro různé skupiny uživatelů, včetně malých a středních podniků, konkrétních subjektů, jako jsou školy, školky nebo malé orgány veřejné správy, jakož i pro podniky obecně, širokou veřejnost nebo subjekty údajů (110).

(70)

Spojené království je i nadále členem Rady Evropy, dodržuje Evropskou úmluvu o lidských právech a podléhá jurisdikci Evropského soudu pro lidská práva. Nadále se na něj proto vztahují závazky zakotvené v mezinárodním právu, jak jsou popsány ve 116. až 119. bodě odůvodnění prováděcího rozhodnutí (EU) 2021/1772, které rámují jeho systém přístupu vlády k osobním údajům na základě zásad, záruk a individuálních práv, jež jsou totožné se zásadami, zárukami a právy, které se vztahují na 27 členských států jako smluvních stran EÚLP a které jsou do značné míry zohledněny v příslušné judikatuře Soudního dvora Evropské unie.

(71)

Zvláštní záruky a práva na ochranu údajů jsou i nadále zaručeny zákonem o ochraně údajů z roku 2018, pokud údaje zpracovávají orgány veřejné moci Spojeného království, včetně donucovacích orgánů a orgánů národní bezpečnosti, jak je uvedeno ve 121. až 132. bodě odůvodnění prováděcího rozhodnutí (EU) 2021/1772. Zákon o údajích (o používání údajů a přístupu k nim) provedl pouze omezené a cílené změny těch částí zákona o ochraně údajů z roku 2018, které stanoví pravidla pro zpracování osobních údajů v souvislosti s prosazováním trestního práva (část 3 zákona o ochraně údajů z roku 2018) a národní bezpečností (část 4 zákona o ochraně údajů z roku 2018).

(72)

Pokud jde o zpracování osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení, část 3 zákona o ochraně osobních údajů z roku 2018 nadále stanoví zásady, práva a povinnosti podobné těm, které jsou stanoveny ve směrnici (EU) 2016/680 (111).

(73)

Ke stejnému datu jako toto rozhodnutí Komise konkrétně přijala rozhodnutí podle čl. 36 odst. 3 směrnice (EU) 2016/680, v němž konstatuje, že režim ochrany údajů použitelný na zpracování donucovacími orgány ve Spojeném království zajišťuje úroveň ochrany v podstatě rovnocennou úrovni ochrany, kterou zaručuje směrnice (EU) 2016/680.

(74)

Zákon o údajích (o používání údajů a přístupu k nim) změnil a konsolidoval stávající výjimky v části 3 zákona o ochraně údajů z roku 2018, které jsou k dispozici příslušným orgánům pro účely národní bezpečnosti. Výjimka týkající se národní bezpečnosti umožňuje příslušným orgánům neuplatňovat některá ustanovení části 3 zákona o ochraně údajů z roku 2018, pokud je výjimka z tohoto ustanovení nutná pro účely ochrany národní bezpečnosti (112). Zrcadlí výjimky týkající se národní bezpečnosti stanovené pro zpracování osobních údajů podle britského nařízení GDPR (stanovené v článku 26 zákona o ochraně údajů z roku 2018) a podle části 4 zákona o ochraně údajů z roku 2018 (stanovené v článku 110 zákona o ochraně údajů z roku 2018).

(75)

Výjimka týkající se národní bezpečnosti podléhá stejným omezením a ochranným opatřením jako výjimky podle britského nařízení GDPR a části 4 zákona o ochraně údajů z roku 2018 analyzované v 64. až 67. a 126. bodě odůvodnění prováděcího rozhodnutí (EU) 2021/1772. Výjimku lze zejména použít pouze v případě, že je to nezbytné k zajištění národní bezpečnosti nebo obrany. Nejedná se o obecnou výjimku a správce ji musí posoudit a případně uplatnit individuálně (113). Jakékoli použití výjimky musí být navíc v souladu se standardy lidských práv (podle zákona o lidských právech z roku 1998 a Evropské úmluvy o lidských právech), podle nichž by jakýkoli zásah do práv na soukromí měl být v demokratické společnosti nezbytný a přiměřený (114). To potvrzují i pokyny Úřadu komisaře pro informace k uplatňování výjimek týkajících se národní bezpečnosti (115).

(76)

Na základě změn zavedených zákonem o údajích (o používání údajů a přístupu k nim) (116) se na konkrétní činnost zpracování prováděnou orgány příslušnými pro prosazování trestního práva mohou navíc vztahovat také ustanovení části 4 zákona o ochraně osobních údajů z roku 2018, která se obvykle vztahují pouze na zpracování údajů vnitrostátními bezpečnostními orgány.

(77)

Ačkoli je tedy režim ochrany údajů pro zpracování v oblasti národní bezpečnosti v určitých situacích rozšířen i na zpracování údajů orgány činnými v trestním řízení, děje se tak pouze za specifických okolností a za přísných podmínek a záruk, tj. pokud i) je příslušný orgán uveden jako „kvalifikovaný příslušný orgán“ v nařízeních vydaných ministrem, která vyžadují schválení parlamentem (117), a ii) ministr prostřednictvím oznámení určí konkrétní činnost zpracování prováděnou kvalifikovaným příslušným orgánem. Důležité je, že k takovému určení může dojít pouze tehdy, pokud se ministr domnívá, že určení činnosti zpracování je nezbytné pro účely zajištění národní bezpečnosti, tj. pokud orgán činný v trestním řízení jedná pro účely národní bezpečnosti a činnost zpracování provádí kvalifikovaný příslušný orgán jako společný správce s alespoň jednou zpravodajskou službou (118). Jako další záruky musí ministr před vydáním oznámení o určení konzultovat komisaře (119), text oznámení musí být v zásadě zveřejněn (120) a osoba přímo dotčená oznámením o určení může požádat o soudní přezkum (121). Cílem této změny je proto v zásadě vyjasnit, že pokud mají orgány Spojeného království pravomoci jak v oblasti prosazování práva, tak v oblasti národní bezpečnosti a zpracovávají údaje v souvislosti s těmito pravomocemi, lze použít režim ochrany údajů pro národní bezpečnostní služby.

(78)

Část 4 zákona o ochraně údajů z roku 2018 upravuje zpracování údajů prováděné zpravodajskými službami Spojeného království. Nadále stanoví hlavní zásady ochrany údajů, ukládá podmínky pro zpracování zvláštních kategorií údajů, stanoví práva subjektů údajů, vyžaduje záměrnou ochranu údajů a upravuje předávání osobních údajů, jak je popsáno ve 125. až 132. bodě odůvodnění prováděcího rozhodnutí (EU) 2021/1772.

(79)

Změny tohoto režimu zavedené zákonem o údajích (o používání údajů a přístupu k nim) jsou omezené. Pokud jde o právo subjektů údajů na přístup stanovené v článku 94 zákona o ochraně údajů z roku 2018, zákon o údajích (o používání údajů a přístupu k nim) zavádí nový odstavec 2 A, který objasňuje, že subjekt údajů má nárok na příslušné informace pouze v rozsahu, v jakém je správce schopen je poskytnout na základě důvodného a přiměřeného vyhledávání (122). Jak je vysvětleno v 35. bodě odůvodnění, tato změna vymezuje právo na přístup na základě zavedených právních standardů, které zohledňují i zájmy subjektu údajů. Zatímco v oblasti automatizovaného rozhodování je správcům i nadále zakázáno přijímat rozhodnutí, které se významně dotýká subjektu údajů a které je založeno výhradně na automatizovaném zpracování osobních údajů týkajících se subjektu údajů, ledaže je takové rozhodnutí vyžadováno nebo povoleno zákonem, subjekt údajů dal k rozhodnutí na tomto základě souhlas nebo je rozhodnutí přijímáno v souvislosti se smlouvou (123); zákon o údajích (o používání údajů a přístupu k nim) zavádí v části 4 zákona o ochraně údajů z roku 2018 (124) stejnou definici pojmu „rozhodnutí založená výhradně na automatizovaném zpracování“, jaká je uvedena v článku 22 A britského nařízení GDPR a rozebrána v 53. bodě odůvodnění tohoto rozhodnutí.

(80)

Právní předpisy Spojeného království nadále ukládají důležitá omezení přístupu k osobním údajům a jejich používání pro účely prosazování trestního práva a stanoví mechanismy dohledu a nápravy v této oblasti, jak je uvedeno ve 134. až 174. bodě odůvodnění prováděcího rozhodnutí (EU) 2021/1772.

(81)

Shromažďování osobních údajů od podnikatelských subjektů ve Spojeném království pro účely prosazování trestního práva je v právním řádu Spojeného království i nadále přípustné na základě příkazů k domovní prohlídce a příkazů k předání za podmínek a záruk popsaných ve 135. až 138. bodě odůvodnění prováděcího rozhodnutí (EU) 2021/1772.

(82)

Kromě toho zákon o národní bezpečnosti z roku 2023 (125), jehož cílem je řešit ohrožení národní bezpečnosti prostřednictvím špionáže, sabotáže a osob jednajících ve prospěch cizích mocností, zavedl pro policii Spojeného království nové pravomoci ke vstupu, prohlídce a zajištění, včetně možnosti získat osobní údaje, pokud existuje důvodné podezření, že budou získány materiály, které mohou být důkazem, že byl nebo má být spáchán některý ze závažnějších trestných činů nebo činností ohrožujících národní bezpečnost podle zákona o národní bezpečnosti z roku 2023 (126). Tyto pravomoci podléhají podobným podmínkám a zárukám, které byly analyzovány v prováděcím rozhodnutí (EU) 2021/1772 pro pravomoci zavedené v té době. Jejich použití musí být povoleno zejména na základě soudního příkazu, příkazu k předání nebo příkazu k podání vysvětlení vydaného nezávislým justičním orgánem na žádost strážníka/vyšetřovatele (127). Pro důvěrné materiály, jako jsou novinářské materiály a předměty podléhající povinnosti mlčenlivosti, existuje zvláštní ochrana (128). Podobně i vydávání příkazů k zpřístupnění informací (129), příkazů k poskytnutí informací o zákaznících (130) a příkazů ke sledování účtů (131), které byly rovněž vytvořeny zákonem o národní bezpečnosti z roku 2023, musí být povoleno soudcem na žádost příslušného úředníka a podléhá zvláštním podmínkám a zárukám, včetně toho, že příkaz je požadován ve vztahu ke konkrétní osobě, pro účely vyšetřování činnosti cizí mocnosti představující hrozbu, že příkaz zvýší účinnost vyšetřování a že se nepoužije k získání informací, které podléhají povinnosti mlčenlivosti nebo jsou jinak vyloučené, jako jsou novinářské materiály a některé zdravotní záznamy (132).

(83)

Jak je popsáno ve 139. až 141. bodě odůvodnění prováděcího rozhodnutí (EU) 2021/1772, v právním rámci Spojeného království mohou konkrétní donucovací orgány, například Národní kriminální agentura nebo Metropolitní policie, rovněž využívat cílené vyšetřovací pravomoci podle zákona o vyšetřovacích pravomocích z roku 2016 (133) pro účely předcházení závažným trestným činům nebo jejich odhalování. Zvláštní vyšetřovací pravomoci, které mohou tyto donucovací orgány využít, zahrnují: cílené odposlechy (část 2 zákona o vyšetřovacích pravomocích z roku 2016), získávání komunikačních údajů (část 3 zákona o vyšetřovacích pravomocích z roku 2016) a cílený vzdálený síťový přístup k zařízení (část 5 zákona o vyšetřovacích pravomocích z roku 2016). V případech, kdy ministr vydá výzvu k uchovávání údajů podle části 4 zákona o vyšetřovacích pravomocích z roku 2016, mohou donucovací orgány rovněž využít přístupu k uchovávaným komunikačním údajům prostřednictvím pravomocí k získávání komunikačních údajů podle části 3 zákona o vyšetřovacích pravomocích z roku 2016.

(84)

Od přijetí prováděcího rozhodnutí (EU) 2021/1772 upravuje tyto cílené pravomoci zákon o vyšetřovacích pravomocích z roku 2016, který společně se zákonem o úpravě vyšetřovacích pravomocí z roku 2000 pro Anglii, Wales a Severní Irsko a zákonem o úpravě vyšetřovacích pravomocí (Skotsko) z roku 2000 pro Skotsko nadále stanoví právní základ a příslušná omezení a záruky pro použití těchto pravomocí, jak je popsáno v prováděcím rozhodnutí (EU) 2021/1772. Důležité je, že právní rámec k výkonu těchto pravomocí i nadále vyžaduje, aby orgány získaly příkaz (134) vydaný příslušným orgánem (135) a schválený nezávislým soudním komisařem (136) (tzv. postup dvojitého zámku). Získání takového příkazu i nadále podléhá testu nezbytnosti a přiměřenosti (137).

(85)

Současně od přijetí prováděcího rozhodnutí (EU) 2021/1772 byly zákonem o vyšetřovacích pravomocích (změnou zákona) z roku 2024, který obdržel královský souhlas v dubnu 2024, změněny některé konkrétní prvky zákona o vyšetřovacích pravomocích z roku 2016 (138). V rozsahu, v jakém se tyto změny a další významný vývoj týkají podmínek, omezení a záruk souvisejících s využíváním výše uvedených zvláštních vyšetřovacích pravomocí orgány veřejné moci ve Spojeném království pro účely prosazování trestního práva, jak jsou posouzeny ve 177. až 215. bodě odůvodnění prováděcího rozhodnutí (EU) 2021/1772, jsou analyzovány v následujících odstavcích. Pokud jde o prvky rámce Spojeného království, které nebyly výše uvedeným zákonem změněny nebo ovlivněny jiným významným vývojem, zůstává analýza provedená v prováděcím rozhodnutí (EU) 2021/1772 nadále platná.

(86)

Pokud jde o cílené získávání a uchovávání komunikačních údajů (139), podmínky a záruky, kterými se tyto pravomoci řídí, jak jsou posouzeny v prováděcím rozhodnutí (EU) 2021/1772, zůstávají v platnosti. Zákon o vyšetřovacích pravomocích (změna zákona) z roku 2024 vyjasnil stávající záruky tím, že do článku 11 zákona o vyšetřovacích pravomocích z roku 2016 (který zavádí trestný čin nezákonného získávání komunikačních údajů od telekomunikačního operátora) zavedl seznam příkladů toho, co se v tomto ustanovení rozumí pod pojmem „zákonné oprávnění“ (140). Zákon o vyšetřovacích pravomocích (změna zákona) z roku 2024 nadto dále upřesnil definici komunikačních údajů v článku 261 zákona o vyšetřovacích pravomocích z roku 2016 tím, že výslovně uvedl, že údaje o účastnících se považují za komunikační údaje (141).

(87)

Vydávání výzev vyžadujících uchovávání komunikačních údajů (142) nadále podléhá omezením a zárukám, jak je popsáno v 208. a 209. bodě odůvodnění prováděcího rozhodnutí (EU) 2021/1772, zejména požadavkům na nezbytnost a přiměřenost a schválení nezávislým soudním komisařem. Zákon o vyšetřovacích pravomocích (změna zákona) z roku 2024 sice zavedl možnost obnovení těchto výzev, ale každé obnovení podléhá stejným podmínkám týkajícím se nezbytnosti a přiměřenosti a schválení soudním komisařem (143).

(88)

Pokud jde o komunikační údaje, zákon o vyšetřovacích pravomocích (změna zákona) z roku 2024 rovněž změnil definici telekomunikačního operátora, tj. možných adresátů výzvy k uchovávání údajů. Tato definice nyní zahrnuje jakoukoli osobu, která „ovládá nebo poskytuje telekomunikační systém, který i) se nenachází (zcela nebo zčásti) ve Spojeném království nebo není řízen ze Spojeného království a ii) je používán jinou osobou k nabízení nebo poskytování telekomunikačních služeb osobám ve Spojeném království“ (144). Důležité je, že pozměněná definice nadále vyžaduje vždy úzkou vazbu na trh Spojeného království. Novela tak objasňuje, že velké společnosti se složitou podnikovou strukturou spadají do působnosti zákona o vyšetřovacích pravomocích z roku 2016 v celém rozsahu, aniž by se rozsah definice rozšířil na poskytovatele telekomunikačních služeb, které nejsou určeny osobám ve Spojeném království. To je rovněž potvrzeno vysvětlivkami k zákonu o vyšetřovacích pravomocích (změna zákona) z roku 2024, které stanoví, že není cílem této změny zahrnout do působnosti příslušných pravomocí podle zákona o vyšetřovacích pravomocích z roku 2016 další společnosti (145), ale má v podstatě objasňující funkci.

(89)

Konečně zákon o vyšetřovacích pravomocích (změna zákona) z roku 2024 zavedl některé cílené úpravy postupu při vydávání příkazů, mimo jiné pokud jde o cílené odposlechy a cílený vzdálený síťový přístup k zařízení, tj. pravomoci, které mohou využívat i konkrétní donucovací orgány ve Spojeném království za účelem předcházení závažným trestným činům a jejich odhalování. Úpravy se týkají pouze specifické situace, kdy jsou tyto pravomoci použity k získání sdělení nebo soukromých informací o osobě, která je členem příslušného zákonodárného sboru (146). Zatímco příkazy týkající se cíleného odposlechu a cíleného vzdáleného síťového přístupu k zařízení může obvykle vydávat ministr a schvaluje je soudní komisař (viz 186. až 196. a 210. až 215. bod odůvodnění prováděcího rozhodnutí (EU) 2021/1772), články 26 a 111 zákona o vyšetřovacích pravomocích vyžadují navíc schválení předsedou vlády, pokud se příkaz týká poslance Parlamentu nebo jiného příslušného zákonodárce (tzv. postup „trojitého zámku“). Zákon o vyšetřovacích pravomocích (změna zákona) z roku 2024 nyní umožňuje předsedovi vlády jmenovat pět ministrů, kteří budou oprávněni vykonávat pravomoc předsedy vlády schvalovat tyto příkazy za předpokladu, že potřeba schválení je naléhavá a předseda vlády ji nemůže schválit z důvodu zdravotní nezpůsobilosti nebo nedostatku přístupu k zabezpečené komunikaci. Důležité je, že omezení a záruky týkající se vydávání těchto příkazů, jak jsou popsány ve výše uvedených bodech odůvodnění prováděcího rozhodnutí (EU) 2021/1772, zůstávají v platnosti.

(90)

Sdílení údajů donucovacím orgánem s jiným orgánem pro jiné účely, než pro které byly údaje původně shromážděny (tzv. další sdílení), i nadále podléhá určitým podmínkám uvedenými v 142. až 156. bodě odůvodnění prováděcího rozhodnutí (EU) 2021/1772.

(91)

Pokud jde o specifickou situaci dalšího předávání ze Spojeného království do Spojených států, vstoupila v platnost „Dohoda mezi vládou Spojeného království Velké Británie a Severního Irska a vládou Spojených států amerických o přístupu k elektronickým údajům za účelem boje proti závažné trestné činnosti (dále jen „dohoda mezi Spojeným královstvím a USA“) (147), která byla uzavřena v říjnu 2019 a je prováděna od října 2022. Přesněji řečeno, jakmile dohoda vstoupí v platnost, mohly by podle dohody mezi Spojeným královstvím a USA údaje předané z EU poskytovatelům služeb ve Spojeném království podléhat příkazům k předání elektronických důkazů vydaným příslušnými donucovacími orgány v USA, které jsou na základě uvedené dohody použitelné ve Spojeném království.

(92)

Důležité je, že podmínky a záruky, za nichž lze takové příkazy vydávat a vykonávat, jak jsou posouzeny ve 154. bodě odůvodnění prováděcího rozhodnutí (EU) 2021/1772, zůstávají v platnosti. Zejména jsou údaje získané v rámci této dohody předmětem ochranných opatření rovnocenných zvláštním zárukám, které poskytuje tzv. „zastřešující dohoda mezi EU a USA“ (148), jež jsou do dohody mezi Spojeným královstvím a USA obdobně začleněna odkazem (149).

(93)

Od přijetí prováděcího rozhodnutí (EU) 2021/1772 Spojené království vysvětlilo, že rovněž prostřednictvím zapojení příslušných stran v souvislosti s prováděním dohody mezi Spojeným královstvím a USA objasnilo, jak jsou zvláštní záruky poskytované zastřešující dohodou, které byly navrženy pro spolupráci mezi donucovacími orgány, přizpůsobeny a uplatňovány na konkrétní předávání, na něž se vztahuje dohoda mezi Spojeným královstvím a USA. Spojené království zejména vysvětlilo, že ustanovení zastřešující dohody, která předpokládají určitou úlohu příslušného orgánu (který neexistuje v situaci přímé spolupráce mezi poskytovatelem služeb ze Spojeného království a donucovacím orgánem v USA), se vykládají obdobně tak, že se vztahují na určený orgán (jak je definován v dohodě mezi Spojeným královstvím a USA) (150) příslušné strany.

(94)

Například pokud jde o oznámení incidentu v oblasti bezpečnosti informací podle článku 10 zastřešující dohody mezi EU a USA, který vyžaduje oznámení předávajícímu příslušnému orgánu, Spojené království vysvětlilo, že toto ustanovení se použije obdobně v tom smyslu, že oznámení by mělo být učiněno určenému orgánu té strany, z níž byly údaje předány.

(95)

Pokud jde o povolení předávajícího příslušného orgánu před jakýmkoli dalším předáním osobních údajů podle článku 7 zastřešující dohody, Spojené království objasnilo, že bude toto ustanovení uplatňovat obdobně, což znamená, že určený orgán strany, z níž byly údaje předány, bude muset povolit jakékoli další předání.

(96)

Pokud jde o povinnosti podle článku 8 zastřešující dohody týkající se zachování kvality a integrity informací, obdobný výklad tohoto ustanovení by znamenal, že určený orgán strany, která údaje přijímá, je odpovědný za spojení s poskytovatelem, který údaje předal, v případě jakýchkoli problémů týkajících se kvality a integrity údajů.

(97)

Pokud jde o soudní ochranu, Spojené království zdůraznilo, že předávání podle dohody mezi Spojeným královstvím a USA bude vždy zahrnovat určený orgán každé strany. Pokud jsou USA stranou, která přijímá údaje od poskytovatelů služeb ve Spojeném království, bude jako pověřený orgán vystupovat Ministerstvo spravedlnosti USA. Podle výkladu Spojeného království se tedy v případě každé žádosti podané na základě dohody mezi Spojeným královstvím a USA bude jednat o ministerstvo spravedlnosti jakožto federální orgán určený podle amerického zákona o soudní ochraně, a soudní ochrana tak může být uplatněna vůči ministerstvu spravedlnosti v souladu s článkem 19 zastřešující dohody. Kromě toho Spojené království potvrdilo útvarům Komise, že zákon o soudní ochraně není jediným mechanismem pro zjednání nápravy. V závislosti na okolnostech a kontextu konkrétního případu poskytují další platné právní předpisy USA alternativní cesty, kterými lze žádat o soudní ochranu.

(98)

V závislosti na pravomocích, které příslušné orgány využívají při zpracování osobních údajů pro účely prosazování práva (ať už podle zákona o ochraně údajů z roku 2018 nebo podle zákona o vyšetřovacích pravomocích z roku 2016), zajišťují dohled nad využíváním těchto pravomocí i nadále různé orgány, jak je posouzeno v 158. až 174. bodě odůvodnění prováděcího rozhodnutí (EU) 2021/1772, a i nadále jsou k dispozici mechanismy nápravy podle části 3 zákona o ochraně údajů z roku 2018, podle zákona o vyšetřovacích pravomocích z roku 2016 a podle zákona o lidských právech z roku 1998, jak je analyzováno v 250. až 269. bodě odůvodnění prováděcího rozhodnutí (EU) 2021/1772.

(99)

Pokud jde o dohled nad částí 3 zákona o ochraně údajů z roku 2018, funkce a pravomoci Komise pro informace jsou analyzovány v 158. až 160. a 162. bodě odůvodnění prováděcího rozhodnutí (EU) 2021/1772, s výhradou změn zavedených zákonem o údajích (o používání údajů a přístupu k nim) popsaným v oddílech 2.3.1 a 2.3.2 tohoto rozhodnutí.

(100)

Pokud jde o provádění těchto pravomocí, od přijetí prováděcího rozhodnutí (EU) 2021/1772 se komisař pro informace zabýval mnoha stížnostmi (151) a provedl několik šetření a přijal donucovací opatření v souvislosti se zpracováním údajů donucovacími orgány. V období 2021–2025 provedl komisař pro informace šetření a udělil napomenutí různým policejním orgánům za různá pochybení při plnění povinností v oblasti ochrany údajů, například při reakci na žádosti o přístup k údajům, při zavádění bezpečnostních opatření pro údaje z kamerových systémů, při nakládání s citlivými záznamy o trestné činnosti, při slučování údajů různých osob nebo při poskytování osobních údajů třetím stranám (152). Komisař pro informace rovněž vydal pokyny, stanoviska a metodické dokumenty, například o právu na přístup nebo o tom, jak vyřizovat zjevně nedůvodné nebo nepřiměřené žádosti podle části 3 zákona o ochraně údajů z roku 2018 (153).

(101)

Pokud jde o využívání vyšetřovacích pravomocí podle zákona o vyšetřovacích pravomocích z roku 2016, nezávislý a soudní dohled nadále zajišťují komisaři pro kontrolu vyšetřovacích pravomoci, kterému pomáhají další soudní komisaři, kteří jsou společně označováni jako soudní komisaři (154). V této oblasti zákon o vyšetřovacích pravomocích (změna zákona) z roku 2024 provedl pouze omezené a cílené úpravy, které nemají vliv na nezávislost, úkoly a pravomoci soudních komisařů, ale mají za cíl posílit fungování stávajícího režimu dohledu v praxi, zejména zavedením zástupců komisařů pro kontrolu vyšetřovacích pravomoci, na které může komisař pro kontrolu vyšetřovacích pravomocí přenést konkrétní pravomoci v případě, že není schopen nebo zrovna nemůže vykonávat své funkce. Tito zástupci komisařů pro kontrolu vyšetřovacích pravomocí musí být soudními komisaři a jsou jmenováni komisaři pro kontrolu vyšetřovacích pravomocí (155).

(102)

Pokud jde o vyšetřovací pravomoci vykonávané v souvislosti s národní bezpečností, zákon o vyšetřovacích pravomocích z roku 2016 nadále poskytuje právní rámec pro využívání těchto pravomocí. Kromě změn týkajících se cílených vyšetřovacích pravomocí, které mohou za určitých podmínek využívat i některé donucovací orgány, jak je popsáno v 77. až 85. bodě odůvodnění tohoto rozhodnutí, byly zákonem o vyšetřovacích pravomocích (změnou zákona) z roku 2024 provedeny rovněž změny jedné z pravomocí stanovených v zákoně o vyšetřovacích pravomocích z roku 2016, kterou lze vykonávat hromadně.

(103)

Konkrétně zákon o vyšetřovacích pravomocích (změna zákona) z roku 2024 zavedl v nové části 7 A zákona o vyšetřovacích pravomocích z roku 2016 zvláštní režim pro uchovávání a zkoumání specifické podskupiny hromadných souborů osobních údajů (156), tj. pro ty soubory údajů, u nichž osoby, jichž se osobní údaje týkají, nemohou mít žádné nebo jen nízké přiměřené očekávání soukromí ve vztahu k těmto údajům (157). O tom, zda je hromadný soubor osobních údajů součástí této konkrétní podskupiny souborů údajů, rozhoduje vedoucí zpravodajské služby na základě všech okolností, zejména i) povahy údajů, ii) rozsahu, v jakém byly údaje zveřejněny fyzickými osobami nebo v jakém fyzické osoby souhlasily se zveřejněním údajů, iii) zda byly údaje zveřejněny, rozsah, v jakém byly zveřejněny pod redakční kontrolou nebo osobou jednající v souladu s profesními standardy, iv) pokud byly údaje zveřejněny nebo jsou jinak veřejně dostupné, rozsah, v jakém jsou údaje všeobecně známé, a v) rozsah, v jakém byly údaje již veřejně využity (158).

(104)

Důležité je, že pro uchovávání a zkoumání hromadných souborů osobních údajů, které nespadají do této kategorie, tj. ty, které jsou citlivější, a proto s sebou nesou důvodné očekávání soukromí, zůstává v platnosti režim posouzený v 239. a 240. bodě odůvodnění prováděcího rozhodnutí (EU) 2021/1772, zejména potřeba příkazu, který schvaluje nejprve ministr a poté soudní komisař, s výhradou požadavků na nezbytnost a přiměřenost opatření, jak stanoví část 7 zákona o vyšetřovacích pravomocích z roku 2016 (159).

(105)

Část 7 A zákona o vyšetřovacích pravomocích z roku 2016 stanoví dva typy povolení: individuální povolení a povolení kategorie. Uchovávání nebo uchovávání a zkoumání každého hromadného souboru osobních údajů uchovávaného podle části 7 A musí být povoleno na základě jednoho z těchto povolení. Obě povolení v zásadě vyžadují (160) povolení vedoucího zpravodajské služby (nebo osoby jednající jeho jménem) a schválení nezávislým soudním komisařem (161). Individuální povolení uděluje vedoucí zpravodajské služby za podmínek stanovených v čl. 226B odst. 4 zákona o vyšetřovacích pravomocích z roku 2016 a po předchozím schválení soudními komisaři. Soudní komisař musí přezkoumat závěry osoby, která povolení udělila, ohledně toho, zda se na hromadný soubor osobních údajů popsaný v povolení vztahuje článek 226 A, tj. požadavek nízkého nebo žádného důvodného očekávání ochrany soukromí (162).

(106)

Povolení kategorie povoluje uchovávání nebo uchovávání a zkoumání kategorie hromadných souborů osobních údajů popsaných v povolení.

(107)

Rozhodnutí o udělení povolení pro danou kategorii přijímá vedoucí zpravodajské služby, pokud se domnívá, že se na některý soubor údajů v rámci kategorie vztahuje článek 226 A, a pokud rozhodnutí o udělení povolení schvaluje nezávislý soudní komisař (163). Ten musí přezkoumat, zda se na jakýkoli soubor údajů, který spadá do kategorie souborů údajů popsaných v povolení (164), vztahuje článek 226 A, tj. požadavek nízkého nebo žádného důvodného očekávání ochrany soukromí.

(108)

Je důležité, že při schvalování rozhodnutí o udělení individuálního povolení nebo povolení pro danou kategorii musí soudní komisař „uplatňovat stejné zásady, jaké by uplatnil soud při žádosti o soudní přezkum“ (165), a tyto záležitosti posuzovat s dostatečnou mírou pečlivosti, aby bylo zajištěno, že soudní komisař dodržuje povinnosti uložené v článku 2 zákona o vyšetřovacích pravomocích z roku 2016 (obecné povinnosti ve vztahu k soukromí) (166). Vydávání povolení navíc podléhá přísnému následnému dohledu, zejména prostřednictvím každoročního podávání zpráv ministrovi a parlamentnímu výboru pro zpravodajské služby a bezpečnost (167) a pravidelných kontrol komisařem pro kontrolu vyšetřovacích pravomocí (168).

(109)

Pokud jde o významný vývoj v oblasti dohledu, Úřad komisaře pro kontrolu vyšetřovacích pravomocí zveřejnil výroční zprávy za roky 2021, 2022 a 2023, které poskytují podrobné statistiky a informace o využívání vyšetřovacích pravomocí zpravodajskými službami a donucovacími orgány ve Spojeném království (169). Zprávy rovněž popisují audity a vyšetřování úřadu a jejich výsledky, což potvrzuje, že komisař pro kontrolu vyšetřovacích pravomocí i nadále zajišťuje svou velmi důležitou funkci dohledu v rámci režimu vyšetřovacích pravomocí Spojeného království. Například v roce 2023 přezkoumal odůvodnění nezbytnosti a přiměřenosti použití pravomocí k hromadnému odposlechu (jak jsou posouzeny v 218. až 225. bodě odůvodnění prováděcího rozhodnutí (EU) 2021/1772) Vládním ředitelstvím pro komunikace (GCHQ) a dospěl k závěru, že značná většina prohlášení byla formulována s řádným odůvodněním, zatímco v některých případech nebyla přiměřenost dobře vyjádřena. Tato zjištění byla projednána s týmem střediska GCHQ pro dodržování předpisů, který se zavázal zadat další interní školení zaměřené na zvyšování povědomí o této problematice (170).

(110)

Tribunál pro kontrolu vyšetřovacích pravomoci kromě toho vydal veřejnou zprávu o své činnosti a judikatuře za období 2021 až 2023 (171). Ze zprávy vyplývá, že počet případů, které tribunál obdržel, se od roku 2017 více než zdvojnásobil, přičemž v roce 2023 jich obdržel více než 400 (172). Nejvíce stížností směřovalo proti donucovacím orgánům, těsně následovaným bezpečnostními a zpravodajskými orgány (173). Důležité je, že v letech 2022 a 2023 vydal tribunál rozsudky ve věcech, které obdržel před rokem 2021 a v nichž shledal, že orgány veřejné moci Spojeného království (konkrétně Policie Skotska (174), Policie Velkého Manchesteru (175), Policie Surrey (176) a MI5 a ministr vnitra (177)) jednaly protiprávně. Pokud jde o nápravná opatření, tribunál pro kontrolu vyšetřovacích pravomoci mimo jiné nařídil zničení všech protiprávně získaných materiálů a v jednom případě také zaplacení 12 000 liber jako spravedlivého zadostiučinění za zjištěná porušení. Výroční zpráva tak potvrzuje, že tribunál pro kontrolu vyšetřovacích pravomocí účinně plní svou důležitou úlohu při zajišťování dohledu a nápravy v oblasti prosazování trestního práva a přístupu k osobním údajům v oblasti národní bezpečnosti.

(111)

Zpráva dále upozorňuje na důležitý vývoj, jako je rozsudek Evropského soudu pro lidská práva, v němž soud rozhodl, že jednotlivci kdekoli na světě mohou u tribunálu pro kontrolu vyšetřovacích pravomocí podat stížnost týkající se fungování režimu hromadného odposlechu ve Spojeném království, pokud dané jednání provedl veřejný orgán Spojeného království a došlo k němu ve Spojeném království (178).

(112)

Komise má za to, že britské nařízení GDPR a zákon o ochraně údajů z roku 2018 ve znění zákona o údajích (o používání údajů a přístupu k nim) zajišťují úroveň ochrany osobních údajů předávaných z Evropské unie, která je v podstatě rovnocenná úrovni ochrany zaručené nařízením (EU) 2016/679.

(113)

Kromě toho má Komise za to, že jako celek mechanismy dohledu a způsoby ochrany v právních předpisech Spojeného království i nadále umožňují, aby porušení právních předpisů byla identifikována a v praxi potrestána, a subjektu údajů nabízejí právní prostředky pro získání přístupu k osobním údajům, které se ho týkají, a případně pro dosažení opravy nebo výmazu takovýchto údajů.

(114)

V neposlední řadě má Komise na základě dostupných informací o právním řádu Spojeného království za to, že jakýkoli zásah do základních práv fyzických osob, jejichž osobní údaje se předávají z Evropské unie do Spojeného království, ze strany orgánů veřejné moci Spojeného království pro účely veřejného zájmu, zejména pro účely vymáhání práva a národní bezpečnosti, je i nadále omezen na rozsah nezbytný pro dosažení daného oprávněného cíle a že existuje účinná právní ochrana před takovým zásahem.

(115)

S ohledem na zjištění tohoto rozhodnutí by proto mělo být rozhodnuto, že Spojené království i nadále zajišťuje odpovídající úroveň ochrany ve smyslu článku 45 nařízení (EU) 2016/679 vykládaného ve světle Listiny základních práv Evropské unie.

(116)

Tento závěr se opírá o příslušný vnitrostátní režim, který se vyvinul od přijetí prováděcího rozhodnutí (EU) 2021/1772, i mezinárodní závazky Spojeného království, zejména o pokračující dodržování Evropské úmluvy o lidských právech a podrobení se soudní pravomoci Evropského soudu pro lidská práva. Pokračující dodržování těchto mezinárodních závazků je proto obzvláště důležitým prvkem posouzení, na němž se zakládá toto rozhodnutí.

(117)

Členské státy a jejich orgány musí přijmout opatření nezbytná k dosažení souladu s akty orgánů Unie, neboť jim v zásadě svědčí presumpce legality, a tudíž zakládají právní účinky tak dlouho, dokud nejsou vzaty zpět, zrušeny v rámci žaloby na neplatnost nebo prohlášeny za neplatné v návaznosti na žádost o rozhodnutí o předběžné otázce nebo na námitku protiprávnosti.

(118)

V důsledku toho je rozhodnutí Komise o odpovídající ochraně podle čl. 45 odst. 3 nařízení (EU) 2016/679 závazné pro všechny orgány členských států, kterým je určeno, a to i pro nezávislé dozorové úřady. Během období použitelnosti prováděcího rozhodnutí (EU) 2021/1772, které mění toto rozhodnutí, může zejména docházet k předáním od správce nebo zpracovatele v Evropské unii správcům nebo zpracovatelům ve Spojeném království, aniž by bylo nutné získat další povolení.

(119)

Je třeba připomenout, že podle čl. 58 odst. 5 nařízení (EU) 2016/679 a podle vysvětlení Soudního dvora v rozsudku ve věci Schrems I (179), jestliže vnitrostátní úřad pro ochranu osobních údajů zpochybňuje, a to i na základě stížnosti, slučitelnost rozhodnutí Komise o odpovídající ochraně se základními právy fyzické osoby na soukromí a ochranu údajů, musí mu vnitrostátní právo poskytnout procesní prostředek, který mu umožní uplatnit tyto výtky před vnitrostátním soudem, který může být povinen předložit Soudnímu dvoru žádost o rozhodnutí o předběžné otázce (180).

(120)

Podle čl. 45 odst. 4 nařízení (EU) 2016/679 musí Komise průběžně sledovat příslušný vývoj ve Spojeném království, aby mohla posoudit, zda stále zajišťuje v zásadě rovnocennou úroveň ochrany. Toto sledování je obzvláště důležité, protože Spojené království bude uplatňovat a prosazovat upravený režim ochrany údajů. Upravený rámec Spojeného království pro ochranu údajů navíc poskytuje ministrovi pravomoc tento rámec dále upřesnit prostřednictvím sekundárních právních předpisů. V tomto ohledu je třeba věnovat zvláštní pozornost těmto dodatečným specifikacím, jakož i uplatňování upravených pravidel Spojeného království pro předávání osobních údajů do třetích zemí v praxi; na účinnost výkonu individuálních práv, včetně jakéhokoli relevantního vývoje práva a praxe týkajícího se nově zavedených výjimek z těchto práv nebo jejich omezení, a na fungování restrukturalizovaného Úřadu komisaře pro informace, včetně vyřizování stížností a uplatňování nápravných pravomocí, jakož i na dodržování omezení a záruk týkajících se přístupu vlády, zejména s ohledem na nově zavedenou část 7 A zákona o vyšetřovacích pravomocích z roku 2016. V rámci sledování ze strany Komise by měl být kromě jiných prvků zohledňován vývoj judikatury a dohledu ze strany Úřadu komisaře pro informace a ostatních nezávislých subjektů.

(121)

Aby toto sledování usnadnily, měly by orgány Spojeného království neprodleně informovat Komisi o jakékoli podstatné změně právního řádu Spojeného království, která má dopad na právní rámec, který je předmětem prováděcího rozhodnutí (EU) 2021/1772, které mění toto rozhodnutí, jakož i o vývoji postupů souvisejících se zpracováním osobních údajů, které jsou posuzovány v prováděcím rozhodnutí (EU) 2021/1772, které mění toto rozhodnutí, a to jak z hlediska zpracování osobních údajů správci a zpracovateli podle britského nařízení GDPR, tak z hlediska omezení a záruk použitelných na přístup orgánů veřejné moci k osobním údajům. Tyto informace by měly zahrnovat vývoj týkající se prvků uvedených ve 120. bodě odůvodnění.

(122)

Aby Komise navíc mohla účinně plnit svou kontrolní funkci, měly by ji členské státy informovat o veškerých příslušných krocích vnitrostátních úřadů pro ochranu údajů, zejména v souvislosti s dotazy nebo stížnostmi subjektů údajů z EU týkajícími se předávání osobních údajů z Unie správcům nebo zpracovatelům ve Spojeném království. Komise by rovněž měla být informována o jakýchkoli známkách toho, že kroky orgánů veřejné moci Spojeného království odpovědných za prevenci, vyšetřování, odhalování nebo stíhání trestných činů nebo za národní bezpečnost, včetně jakýchkoli dozorových úřadů, nezajišťují požadovanou úroveň ochrany.

(123)

Pokud z dostupných informací, zejména z informací vyplývajících ze sledování prováděcího rozhodnutí (EU) 2021/1772, které mění toto rozhodnutí, nebo poskytnutých orgány Spojeného království nebo členských států, vyplyne, že úroveň ochrany poskytované Spojeným královstvím již nemusí být odpovídající, měla by Komise neprodleně informovat příslušné orgány Spojeného království a požadovat, aby byla ve stanovené lhůtě, která nesmí přesáhnout dobu tří měsíců, přijata vhodná opatření. V případě potřeby lze tuto lhůtu prodloužit o určitou dobu s přihlédnutím k povaze dané záležitosti a/nebo daných opatření, která mají být přijata. Takovýto postup by byl zahájen například v případech, kdy by se další předávání, včetně předávání na základě nových předpisů o přiměřené ochraně přijatých ministrem nebo mezinárodních dohod uzavřených Spojeným královstvím, již neuskutečňovalo v rámci záruk zajišťujících kontinuitu ochrany ve smyslu článku 44 nařízení (EU) 2016/679.

(124)

Pokud po uplynutí stanovené lhůty příslušné orgány Spojeného království tato opatření nepřijmou nebo jiným způsobem uspokojivě neprokážou, že toto rozhodnutí je nadále založeno na odpovídající úrovni ochrany, zahájí Komise postup podle čl. 93 odst. 2 nařízení (EU) 2016/679 s cílem toto rozhodnutí částečně nebo úplně zrušit nebo pozastavit jeho platnost.

(125)

Alternativně Komise tento postup zahájí s cílem toto rozhodnutí změnit, zejména tím, že se na předávání údajů budou vztahovat další podmínky, nebo že se omezí oblasti působnosti zjištění o odpovídající úrovni ochrany jen na předávání údajů, u nichž je odpovídající úroveň ochrany nadále zaručena.

(126)

V závažných, naléhavých a řádně odůvodněných případech Komise využije možnost postupem podle čl. 93 odst. 3 nařízení (EU) 2016/679 přijmout okamžitě použitelné prováděcí akty, kterými se rozhodnutí zruší, změní nebo se dočasně pozastaví jeho platnost.

(127)

V souladu s čl. 45 odst. 3 nařízení (EU) 2016/679 a s ohledem na skutečnost, že úroveň ochrany poskytovaná právním rámcem Evropské patentové organizace se může změnit, by Komise po přijetí tohoto rozhodnutí měla pravidelně přezkoumávat, zda zjištění týkající se odpovídající úrovně ochrany zajištěné Spojeným královstvím jsou s přihlédnutím k prvkům uvedeným v čl. 45 odst. 2 nařízení (EU) 2016/679 nadále skutkově i právně podložená. Tato hodnocení by se měla provádět nejméně jednou za čtyři roky a měla by zahrnovat všechny aspekty fungování tohoto rozhodnutí, včetně fungování příslušných mechanismů dohledu a donucovacích mechanismů.

(128)

Za účelem provedení přezkumu by se Komise měla sejít s příslušnými zástupci orgánů Spojeného království, včetně Komise pro informace. Účast na této schůzce by měla být otevřena zástupcům členů Evropského sboru pro ochranu osobních údajů. V rámci přezkumu by Komise měla požadovat, aby Spojené království poskytlo souhrnné informace o všech aspektech relevantních pro zjištění o odpovídající ochraně. Komise by měla rovněž požadovat vysvětlení jakýchkoli obdržených informací relevantních pro toto rozhodnutí, včetně informací od sboru EDPB, jednotlivých úřadů pro ochranu osobních údajů, skupin občanské společnosti, veřejných zpráv a zpráv sdělovacích prostředků nebo jakéhokoli jiného dostupného zdroje informací.

(129)

Na základě přezkumu by Komise měla připravit veřejně přístupnou zprávu, kterou předloží Evropskému parlamentu a Radě.

(130)

Komise musí vzít v úvahu, že rámec ochrany údajů posuzovaný v tomto rozhodnutí a v prováděcím rozhodnutí (EU) 2021/1772 se může dále vyvíjet.

(131)

Je proto vhodné stanovit, že toto rozhodnutí bude použitelné po dobu šesti let ode dne svého vstupu v platnost.

(132)

Pokud zejména z informací získaných při sledování tohoto rozhodnutí vyplyne, že zjištění týkající se odpovídající úrovně ochrany zajištěné ve Spojeném království jsou stále věcně a právně odůvodněná, měla by Komise nejpozději šest měsíců před koncem platnosti tohoto rozhodnutí zahájit postup pro změnu tohoto rozhodnutí prodloužením jeho časové působnosti v zásadě o další čtyřleté období. Jakýkoli takový prováděcí akt, kterým se mění toto rozhodnutí, se přijímá postupem podle čl. 93 odst. 2 nařízení (EU) 2016/679.

(133)

Evropský sbor pro ochranu osobních údajů zveřejnil stanovisko (181), které bylo při přípravě tohoto rozhodnutí zohledněno.

(134)

Opatření stanovené tímto rozhodnutím je v souladu se stanoviskem výboru zřízeného podle článku 93 nařízení (EU) 2016/679.

(135)

Prováděcí rozhodnutí (EU) 2021/1772 by proto mělo být odpovídajícím způsobem změněno,