- Bulkverzameling van communicatiegegevens: GCHQ heeft enorme hoeveelheden communicatiegegevens verzameld, waaronder telefoongesprekken, e-mails en sms-berichten, van telecommunicatiebedrijven en internetproviders. Deze gegevens worden verzameld zonder enig individueel bevel of gerechtelijk bevel en kunnen informatie bevatten zoals de afzender en ontvanger van een bericht, de tijd en datum van een communicatie en de inhoud van het bericht.

- Het hacken van computers en netwerken: GCHQ heeft zich ook beziggehouden met het hacken van computers en netwerken, zowel in binnen- als buitenland, om persoonlijke gegevens te verkrijgen. Dit omvat het hacken van de netwerken van buitenlandse overheden, bedrijven en individuen. Het is ook bekend dat GCHQ malware en andere tools gebruikt om computers te infecteren en er gegevens van te verzamelen.

- Delen van gegevens met andere instanties: GCHQ deelt persoonsgegevens met andere inlichtingendiensten, zowel in binnen- als buitenland. Dit omvat het delen van gegevens met instanties zoals de National Security Agency (NSA) in de Verenigde Staten en het Government Communications Headquarters (GCHQ) in het Verenigd Koninkrijk.

De verzameling van persoonlijke gegevens door GCHQ is breed bekritiseerd door privacyvoorvechters en groepen voor burgerlijke vrijheden. Zij stellen dat de activiteiten van GCHQ de privacy van Britse burgers schenden en het vertrouwen in de regering ondermijnen. Bovendien beweren critici dat de activiteiten van GCHQ niet worden gerechtvaardigd door enige legitieme nationale veiligheidsbehoefte.