O GCHQ conseguiu acessar seus dados pessoais por vários meios, incluindo:

- Coleta em massa de dados de comunicações: O GCHQ tem recolhido grandes quantidades de dados de comunicações, incluindo chamadas telefónicas, e-mails e mensagens de texto, de empresas de telecomunicações e fornecedores de serviços de Internet. Esses dados são coletados sem qualquer mandado individual ou ordem judicial e podem incluir informações como o remetente e o destinatário de uma mensagem, a hora e a data de uma comunicação e o conteúdo da mensagem.
- Invasão de computadores e redes: O GCHQ também se envolveu na invasão de computadores e redes, tanto no país como no exterior, para obter dados pessoais. Isso inclui invadir redes de governos, empresas e indivíduos estrangeiros. O GCHQ também é conhecido por usar malware e outras ferramentas para infectar computadores e coletar dados deles.
- Compartilhamento de dados com outras agências: O GCHQ partilha dados pessoais com outras agências de inteligência, tanto nacionais como estrangeiras. Isto inclui a partilha de dados com agências como a Agência de Segurança Nacional (NSA) nos Estados Unidos e a Sede de Comunicações do Governo (GCHQ) no Reino Unido.

A coleta de dados pessoais pelo GCHQ tem sido amplamente criticada por defensores da privacidade e grupos de liberdades civis. Argumentam que as atividades do GCHQ violam a privacidade dos cidadãos britânicos e minam a confiança no governo. Além disso, os críticos argumentam que as actividades do GCHQ não são justificadas por qualquer necessidade legítima de segurança nacional.