- Massenerfassung von Kommunikationsdaten: GCHQ hat große Mengen an Kommunikationsdaten, darunter Telefonanrufe, E-Mails und Textnachrichten, von Telekommunikationsunternehmen und Internetdienstanbietern gesammelt. Diese Daten werden ohne individuellen Haftbefehl oder Gerichtsbeschluss erhoben und können Informationen wie den Absender und Empfänger einer Nachricht, die Uhrzeit und das Datum einer Kommunikation sowie den Inhalt der Nachricht umfassen.

- Einbruch in Computer und Netzwerke: Das GCHQ hat auch Hackerangriffe auf Computer und Netzwerke im In- und Ausland unternommen, um an persönliche Daten zu gelangen. Dazu gehört das Hacken in die Netzwerke ausländischer Regierungen, Unternehmen und Einzelpersonen. Es ist auch bekannt, dass GCHQ Malware und andere Tools verwendet, um Computer zu infizieren und Daten von ihnen zu sammeln.

- Datenaustausch mit anderen Behörden: Das GCHQ teilt personenbezogene Daten mit anderen Geheimdiensten im In- und Ausland. Dazu gehört die Weitergabe von Daten an Behörden wie die National Security Agency (NSA) in den Vereinigten Staaten und das Government Communications Headquarters (GCHQ) im Vereinigten Königreich.

Die Erhebung personenbezogener Daten durch das GCHQ wurde von Befürwortern des Datenschutzes und Bürgerrechtsgruppen vielfach kritisiert. Sie argumentieren, dass die Aktivitäten des GCHQ die Privatsphäre britischer Bürger verletzen und das Vertrauen in die Regierung untergraben. Darüber hinaus argumentieren Kritiker, dass die Aktivitäten des GCHQ nicht durch legitime nationale Sicherheitsbedürfnisse gerechtfertigt seien.