- Masseinnsamling av kommunikasjonsdata: GCHQ har samlet inn enorme mengder kommunikasjonsdata, inkludert telefonsamtaler, e-poster og tekstmeldinger, fra telekommunikasjonsselskaper og internettleverandører. Disse dataene samles inn uten individuelle kjennelser eller rettskjennelser, og de kan inkludere informasjon som avsender og mottaker av en melding, klokkeslett og dato for en kommunikasjon og innholdet i meldingen.

- Hacking inn i datamaskiner og nettverk: GCHQ har også engasjert seg i å hacke seg inn på datamaskiner og nettverk, både innenlands og utenlands, for å innhente personopplysninger. Dette inkluderer hacking inn i nettverkene til utenlandske myndigheter, bedrifter og enkeltpersoner. GCHQ har også vært kjent for å bruke skadelig programvare og andre verktøy for å infisere datamaskiner og samle inn data fra dem.

- Deling av data med andre byråer: GCHQ deler personopplysninger med andre etterretningsbyråer, både innenlands og utenlands. Dette inkluderer deling av data med byråer som National Security Agency (NSA) i USA og Government Communications Headquarters (GCHQ) i Storbritannia.

GCHQs innsamling av personopplysninger har blitt mye kritisert av personvernforkjempere og borgerrettighetsgrupper. De hevder at GCHQs aktiviteter krenker personvernet til britiske borgere og undergraver tilliten til regjeringen. I tillegg hevder kritikere at GCHQs aktiviteter ikke er rettferdiggjort av noe legitimt nasjonalt sikkerhetsbehov.