- Masseindsamling af kommunikationsdata: GCHQ har indsamlet enorme mængder kommunikationsdata, herunder telefonopkald, e-mails og tekstbeskeder, fra teleselskaber og internetudbydere. Disse data indsamles uden nogen individuel kendelse eller retskendelse, og de kan omfatte oplysninger såsom afsender og modtager af en meddelelse, tidspunkt og dato for en kommunikation og indholdet af meddelelsen.

- Hacking ind i computere og netværk: GCHQ har også beskæftiget sig med hacking af computere og netværk, både indenlandsk og i udlandet, for at indhente personlige data. Dette omfatter hacking af udenlandske regeringers, virksomheders og enkeltpersoners netværk. GCHQ har også været kendt for at bruge malware og andre værktøjer til at inficere computere og indsamle data fra dem.

- Deling af data med andre bureauer: GCHQ deler personoplysninger med andre efterretningsbureauer, både i ind- og udland. Dette omfatter deling af data med agenturer såsom National Security Agency (NSA) i USA og Government Communications Headquarters (GCHQ) i Storbritannien.

GCHQ's indsamling af personlige data er blevet kritiseret i vid udstrækning af fortalere for privatliv og borgerlige frihedsrettigheder. De hævder, at GCHQs aktiviteter krænker britiske borgeres privatliv og underminerer tilliden til regeringen. Derudover hævder kritikere, at GCHQs aktiviteter ikke er begrundet i et legitimt nationalt sikkerhedsbehov.