(1)

W rozporządzeniu (UE) 2016/679 określono zasady dotyczące przekazywania danych osobowych przez administratorów lub podmioty przetwarzające w Unii do państw trzecich i organizacji międzynarodowych w zakresie, w jakim takie przekazywanie wchodzi w zakres stosowania rozporządzenia. Zasady dotyczące międzynarodowego przekazywania danych określono w rozdziale V (art. 44-50) tego rozporządzenia. Chociaż przepływ danych osobowych do państw i organizacji międzynarodowych spoza Unii Europejskiej oraz z takich państw i organizacji jest niezbędnym warunkiem rozwoju handlu transgranicznego i współpracy międzynarodowej, przekazywanie danych osobowych państwom trzecim i organizacjom międzynarodowym nie może obniżać stopnia ochrony tych danych w Unii (2).

(2)

Zgodnie z art. 45 ust. 3 rozporządzenia (UE) 2016/679 Komisja może w drodze aktu wykonawczego przyjąć decyzję stwierdzającą, że państwo trzecie, terytorium lub określony sektor lub określone sektory w tym państwie trzecim lub organizacja międzynarodowa zapewniają odpowiedni stopień ochrony. W świetle tego warunku przekazanie danych osobowych do organizacji międzynarodowej może nastąpić bez konieczności uzyskania dodatkowego zezwolenia, jak przewidziano w art. 45 ust. 1 i motywie 103 rozporządzenia (UE) 2016/679.

(3)

Jak określono w art. 45 ust. 2 rozporządzenia (UE) 2016/679, przy przyjmowaniu decyzji stwierdzającej odpowiedni stopień ochrony należy opierać się na wszechstronnej analizie systemu prawnego organizacji międzynarodowej, obejmującej zarówno jego przepisy mające zastosowanie do podmiotów odbierających dane, jak i ograniczenia oraz zabezpieczenia w zakresie dostępu organów publicznych do danych osobowych. W swojej ocenie Komisja musi ustalić, czy dana organizacja międzynarodowa gwarantuje stopień ochrony „zasadniczo odpowiadający” stopniowi ochrony zapewnianemu w Unii (3). Standard, na podstawie którego ocenia się „merytoryczną równoważność”, określono w prawodawstwie Unii, w szczególności w rozporządzeniu (UE) 2016/679, a także w orzecznictwie Trybunału Sprawiedliwości Unii Europejskiej (4). Istotne znaczenie pod tym względem ma również dokument w sprawie odpowiedniego stopnia ochrony opracowany przez Europejską Radę Ochrony Danych (EROD), który ma na celu doprecyzowanie wspomnianego standardu i zapewnienie wytycznych (5).

(4)

Jak wyjaśnił Trybunał Sprawiedliwości, od państwa trzeciego lub organizacji międzynarodowej nie można wymagać zapewnienia poziomu ochrony identycznego z tym, jaki jest zagwarantowany w unijnym porządku prawnym. (6) W szczególności środki, z jakich korzysta dane państwo trzecie lub dana organizacja międzynarodowa dla zapewnienia ochrony danych osobowych, mogą różnić się od środków wprowadzonych w Unii, o ile w praktyce skutecznie zapewniają odpowiedni stopień ochrony (7). Odpowiedni standard ochrony nie wymaga zatem dokładnego powielenia przepisów unijnych. Przy badaniu odpowiedniości chodzi raczej o stwierdzenie, czy - biorąc pod uwagę istotę praw do prywatności oraz zabezpieczenia służące ochronie danych (w tym ich skuteczne wprowadzenie w życie, egzekwowanie i nadzór nad ich przestrzeganiem), a także okoliczności przekazywania danych osobowych - dany zagraniczny system jako całość zapewnia wymagany stopień ochrony (8).

(5)

Komisja przeanalizowała ramy prawne i praktyki Europejskiej Organizacji Patentowej. Na podstawie ustaleń przedstawionych w motywach 7-100 Komisja stwierdza, że Europejska Organizacja Patentowa („EPO”) zapewnia odpowiedni stopień ochrony danych osobowych przekazywanych w ramach zakresu stosowania rozporządzenia (UE) 2016/679 z Unii Europejskiej do EPO.

(6)

Zgodnie z niniejszą decyzją przekazywanie Europejskiej Organizacji Patentowej danych przez administratorów lub podmioty przetwarzające dane w Unii Europejskiej może odbywać się bez konieczności uzyskania jakiegokolwiek dodatkowego zezwolenia. Niniejsza decyzja nie powinna mieć wpływu na bezpośrednie stosowanie rozporządzenia (UE) 2016/679 w odniesieniu do takich podmiotów, jeżeli spełnione są warunki dotyczące terytorialnego zakresu określone w art. 3 tego rozporządzenia.

(7)

Europejska Organizacja Patentowa jest organizacją międzyrządową utworzoną 7 października 1977 r. na podstawie Konwencji o udzielaniu patentów europejskich („konwencja o patencie europejskim”). EPO ma siedzibę w Monachium i liczy 39 umawiających się państw, w tym wszystkie państwa członkowskie Unii, Islandię, Norwegię i Liechtenstein, a także Albanię, Macedonię Północną, Monako, San Marino, Serbię, Szwajcarię, Czarnogórę, Zjednoczone Królestwo i Turcję (9).

(8)

EPO posiada osobowość prawną (10) i składa się z dwóch organów (11). Są nimi: Europejski Urząd Patentowy („Urząd”) i Rada Administracyjna. Głównym zadaniem EPO jest udzielanie patentów europejskich (12) zgodnie z konwencją o patencie europejskim, czym zajmuje się Urząd pod nadzorem Rady Administracyjnej. Rada Administracyjna składa się z przedstawicieli umawiających się państw i wykonuje uprawnienia ustawodawcze w imieniu EPO. Odpowiada ona również za kwestie polityczne i nadzoruje działalność Urzędu (13). Urzędem, który pełni funkcję organu wykonawczego EPO, kieruje Prezes (14), który zarządza Urzędem i odpowiada przed Radą Administracyjną (15). Prezes między innymi przygotowuje i realizuje budżet Urzędu, mianuje personel Urzędu i sprawuje nad nim władzę zwierzchnią, sprawuje władzę dyscyplinarną nad pracownikami, zapewnia funkcjonowanie Urzędu, w tym zatwierdza wewnętrzne instrukcje administracyjne i informacje podawane do wiadomości publicznej oraz może przedkładać Radzie Administracyjnej projekt zmiany konwencji, projekt przepisów o charakterze ogólnym lub decyzji, które wchodzącą w zakres kompetencji Rady Administracyjnej (16). Urząd składa się z różnych działów, w tym Sekcji Zgłoszeń, Wydziału Prawnego, Wydziału Badań i Wydział ds. Sprzeciwów oraz Komisji Odwoławczych (niezależnego organu wewnętrznego, do którego można odwołać się od decyzji podejmowanych przez EPO w ramach procedury udzielania patentu) (17).

(9)

Wykonując swoje zadania, EPO otrzymuje dane osobowe od szeregu różnych podmiotów w Unii. Europejskie zgłoszenia patentowe (18) są stale składane w EPO przez zgłaszających, którzy ubiegają się o patent, lub przekazywane do EPO przez krajowe urzędy patentowe w państwach członkowskich (19). EPO otrzymuje i przetwarza również dane osobowe w kontekście zadań powierzonych jej na mocy rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 1257/2012 (20). Zadania te obejmują przyjmowanie i rozpatrywanie wniosków o rejestrację jednolitego skutku patentów europejskich, pobieranie opłat za utrzymanie w mocy oraz rejestrowanie jednolitego skutku (21). W tym kontekście EPO otrzymuje również od Jednolitego Sądu Patentowego wnioski dotyczące postępowań odwoławczych toczących się przed Komisją Odwoławczą Urzędu (22), które mogą zawierać dane osobowe niezbędne do zidentyfikowania danej sprawy (23).

(10)

Podobnie EPO otrzymuje dane osobowe zawarte w międzynarodowych zgłoszeniach patentowych, gdy działa na podstawie Układu o współpracy patentowej (PCT) będącego traktatem międzynarodowym umożliwiającym zgłaszającym uzyskanie patentów ze skutkami dla wszystkich umawiających się państw PCT (24). EPO działa jako Międzynarodowy Organ Poszukiwań w rozumieniu PCT i w ramach tej funkcji dokonuje oceny zdolności patentowej wynalazków podanych w zgłoszeniach międzynarodowych, co pomaga zgłaszającym w ustaleniu, czy złożyć wniosek o badanie merytoryczne na poziomie krajowym/unijnym (25).

(11)

Ponadto EPO ściśle współpracuje z krajowymi urzędami patentowymi we wszystkich państwach członkowskich w ramach „europejskiej sieci patentowej” i w tym kontekście wymienia z nimi dane osobowe, na przykład w związku z prowadzonymi szkoleniami i świadczonymi usługami informatycznymi w celu wspierania i zacieśniania współpracy na podstawie konwencji o patencie europejskim. EPO zawarła również porozumienia w sprawie współpracy dwustronnej z państwami członkowskimi, które to porozumienia przewidują wymianę danych osobowych, np. w kontekście powołania grup roboczych, oddelegowania i rozmieszczenia ekspertów technicznych. EPO prowadzi również bliską współpracę z Urzędem Unii Europejskiej ds. Własności Intelektualnej, na przykład prowadzi wspólne szkolenia i kampanie informacyjne oraz oddelegowuje ekspertów.

(12)

Ponadto EPO zawarła umowy z kilkoma dostawcami usług w Unii, którzy działają jako podmiot przetwarzający w rozumieniu art. 4 pkt 8 rozporządzenia (UE) 2016/679 i przekazują EPO dane osobowe.

(13)

Prawo pierwotne regulujące działalność EPO zostało ustanowione w traktacie międzynarodowym, czyli w konwencji o patencie europejskim, a w przypadku gdy EPO działa na podstawie Układu o współpracy patentowej - w tymże układzie. Na drugim poziomie hierarchii norm mających zastosowanie do EPO znajdują się akty prawne przyjęte przez Radę Administracyjną lub, w odniesieniu do PCT, przez Zgromadzenie PCT. Prawo wtórne EPO obejmuje Regulamin wykonawczy do konwencji o patencie europejskim oraz tzw. Regulamin pracowniczy (który reguluje aspekty dotyczące personelu EPO, w tym ich prawa i obowiązki) (26). Prawo do ochrony danych osobowych jest określone w art. 1B Regulaminu pracowniczego (27), który zawiera również pewne podstawowe przepisy ram ochrony danych EPO, tj. dotyczące zakresu stosowania ram ochrony danych, ochrony szczególnych kategorii danych i wykonywania praw przez osoby fizyczne. W art. 2 ust. 1 i art. 32A Regulaminu pracowniczego ustanowiono niezależne mechanizmy nadzoru (Inspektor Ochrony Danych (IOD) i Rada Ochrony Danych (ROD)) w celu nadzorowania przestrzegania przepisów o ochronie danych (28).

(14)

Te same wymogi merytoryczne dotyczące ochrony danych osobowych mają zastosowanie do Rady Administracyjnej i Urzędu, a także do wszystkich ich działów. W szczególności przetwarzanie danych osobowych przez Urząd jest regulowane przepisami wykonawczymi do art. 1B i 32A Regulaminu pracowniczego dla pracowników stałych oraz pozostałych pracowników Europejskiego Urzędu Patentowego, dotyczącymi ochrony danych osobowych (przepisy o ochronie danych osobowych, zwane dalej „przepisami ODO” lub „ODO”), które zostały przyjęte przez Radę Administracyjną (29). Przetwarzanie danych osobowych przez Radę Administracyjną podlega przepisom Rady Administracyjnej o ochronie danych, w których stosuje się odpowiednio przepisy ODO (30). W przypadku gdy niniejsza decyzja odnosi się do przepisów ODO, takie odniesienia obejmują odpowiednie wymogi mające zastosowanie do Rady Administracyjnej, jej sekretariatu i jej komitetów. Struktura i treść przepisów ODO są ściśle dostosowane do unijnych ram ochrony danych (31). W szczególności przepisy ODO mają wiele punktów wspólnych z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2018/1725 (32), które określa wymogi w zakresie ochrony danych dla instytucji i organów Unii, a zatem jest dobrze dostosowane do specyficznej struktury i cech organizacji międzynarodowych, a jednocześnie ściśle odzwierciedla rozporządzenie (UE) 2016/679.

(15)

Jeżeli chodzi o przetwarzanie danych przez Urząd, Prezes wydał kolejne prawnie wiążące instrumenty, takie jak okólniki, decyzje i wewnętrzne instrukcje administracyjne (33). W szczególności uzupełnieniem przepisów ODO jest decyzja Prezesa z dnia 13 grudnia 2021 r. w sprawie przetwarzania danych osobowych w postępowaniach o udzielenie patentu i powiązanych postępowaniach („decyzja z dnia 13 grudnia 2021 r.”) (34); decyzja z dnia 7 grudnia 2022 r. w sprawie przetwarzania danych osobowych w postępowaniach dotyczących patentów europejskich o jednolitym skutku („decyzja z dnia 7 grudnia 2022 r.”) (35); decyzja z dnia 17 listopada 2022 r. dotycząca państw i podmiotów zapewniających odpowiednią ochronę danych osobowych (36); decyzja z dnia 2 maja 2024 r. określająca jednostki operacyjne Urzędu działające w charakterze administratorów delegowanych (37) oraz okólnik nr 420 wdrażający art. 25 ODO dotyczący ograniczeń praw osób, których dane dotyczą (okólnik 420) (38). W szczególności w odniesieniu do przetwarzania danych w kontekście postępowań o udzielenie patentu należy zauważyć, że wymogi dotyczące przetwarzania danych osobowych przewidziane bezpośrednio w konwencji o patencie europejskimi i PCT są nadrzędne w stosunku do przepisów ODO. Wzajemne zależności między konwencją o patencie europejskim i PCT z jednej strony a przepisami ODO z drugiej strony wyjaśniono w decyzji z dnia 13 grudnia 2021 r. (39) i decyzji z dnia 7 grudnia 2022 r. Szczegółowe wymogi w zakresie ochrony danych wynikające bezpośrednio z konwencji o patencie europejskim i PCT oceniono w motywach 55-59. Przepisy ODO i uzupełniające je instrumenty są prawnie wiążące i możliwe do wyegzekwowania na drodze prawnej, a osoby fizyczne mogą się na nie powoływać przed niezależnymi mechanizmami dochodzenia roszczeń, jak opisano w motywach 89-96.

(16)

Przepisy przewidziane w instrumentach prawnych, o których mowa w motywie 15, są dalej wdrażane w instrumentach wydanych przez inspektora ochrony danych (zob. motywy 83-88) (40), które mają zastosowanie do Rady Administracyjnej i Urzędu, a także do wszystkich ich działów (41).

(17)

Zgodnie z przepisami ODO i Regulaminem pracowniczym (42) wszyscy pracownicy EPO są zobowiązani do przestrzegania przepisów ODO przy przetwarzaniu danych osobowych. Przedmiotowy i podmiotowy zakres stosowania przepisów ODO określają zawarte w nich pojęcia „dane osobowe”, „przetwarzanie”, „administrator”, „administrator delegowany” i „podmiot przetwarzający”.

(18)

Definicje „danych osobowych” i „przetwarzania” zawarte w przepisach ODO są identyczne z definicjami zawartymi w rozporządzeniu (UE) 2016/679 (43). Przepisy ODO mają zastosowanie do każdego przypadku przetwarzania danych osobowych przez EPO, niezależnie od tego, czy takie przetwarzanie dotyczy danych osobowych jej własnych pracowników, czy danych innych osób (44). Dane, które poddano pseudonimizacji (45), również uznaje się za dane osobowe, natomiast dane osób zmarłych lub osób prawnych, lub anonimowe informacje (46) nie są traktowane jako dane osobowe na podstawie przepisów ODO (47).

(19)

Przepisy ODO mają zastosowanie do przetwarzania danych osobowych przez EPO w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących lub mających stanowić część zbioru danych (48).

(20)

Przepisy ODO definiują „administratora” jako podmiot, a mianowicie Europejski Urząd Patentowy, który samodzielnie lub wspólnie z innymi określa cele i sposoby przetwarzania danych osobowych (49). Co do zasady Prezes pełni funkcję administratora w odniesieniu do operacji przetwarzania danych prowadzonych przez Urząd (50). To samo dotyczy Rady Administracyjnej (gdy jej przewodniczący pełni funkcję administratora), Komisji Odwoławczych działających w ramach sprawowania przez nie wymiaru sprawiedliwości (gdy ich przewodniczący pełni funkcję administratora (51)) oraz komisji specjalnej (gdy jej przewodniczący pełni funkcję administratora (52)). Administrator może przekazać to uprawnienie jednostkom operacyjnym reprezentowanym przez kierownika wyższego szczebla (53). W takich przypadkach jednostki operacyjne działają jako „delegowani administratorzy” (54), którzy definiują cel (np. powód, uzasadnienie i potrzeby biznesowe), środki operacji przetwarzania oraz zapewniają, aby wszystkie operacje przetwarzania obejmujące dane osobowe były zgodne z przepisami ODO (55). W takich przypadkach za przetwarzanie danych osobowych odpowiada administrator. Przepisy ODO przewidują również scenariusz „współadministracji danych”, według którego administrator określa cel i sposoby przetwarzania wraz z co najmniej jednym administratorem spoza EPO (56).

(21)

Definicja „podmiotu przetwarzającego” zawarta w przepisach ODO jest identyczna z definicją zawartą w art. 4 pkt 8 rozporządzenia (UE) 2016/679, tj. podmiot przetwarzający oznacza osobę fizyczną lub prawną, organ publiczny, agencję lub jakikolwiek inny podmiot, który przetwarza dane osobowe w imieniu administratora (57). Administrator może korzystać wyłącznie z usług podmiotów przetwarzających zapewniających wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych w celu zapewnienia, aby przetwarzanie spełniało wymogi określone w przepisach ODO (58). Stosunki między administratorem a podmiotem przetwarzającym muszą być regulowane umową lub aktem prawnym wiążącym taki podmiot przetwarzający i określającym m.in. przedmiot, czas trwania, charakter i cel przetwarzania danych (59). Podmiot przetwarzający może przetwarzać dane wyłącznie zgodnie z udokumentowanymi instrukcjami administratora. Podmiot przetwarzający ma obowiązek pomagać administratorowi w wypełnianiu jego obowiązków wynikających z przepisów ODO. Podmiot przetwarzający ma zakaz angażowania podwykonawców przetwarzania bez uprzedniej zgody administratora (60). Delegowani administratorzy mają dostęp do standardowej umowy w sprawie przetwarzania danych (61). Ponadto jeżeli podmiot przetwarzający ma siedzibę w państwie trzecim, wszelka wymiana danych osobowych z tym podmiotem przetwarzającym musi również spełniać wymogi określone w przepisach ODO i dotyczące międzynarodowego przekazywania danych, jak opisano w motywach 68-73 niniejszej decyzji (62).

(22)

Dane osobowe powinno się przetwarzać zgodnie z prawem i rzetelnie.

(23)

Te ogólne zasady określono w art. 4 ust. 2 lit. a) ODO, który można uznać za identyczny z art. 5 ust. 1 lit. a) rozporządzenia (UE) 2016/679.

(24)

Zasada zgodności z prawem została doprecyzowana w art. 5 ODO, w którym wymieniono podstawy prawne przetwarzania danych osobowych. Tymi podstawami prawnymi są: a) konieczność wykonania zadania w ramach czynności urzędowych EPO (63) lub w ramach zgodnego z prawem sprawowania władzy publicznej powierzonej administratorowi, co obejmuje przetwarzanie niezbędne do zarządzania Urzędem i jego funkcjonowania (64); b) konieczność wypełnienia obowiązku prawnego ciążącego na administratorze (np. obowiązek publikowania w Europejskim Rejestrze Patentowym informacji zawartych w zgłoszeniu patentowym) (65); c) konieczność wykonania umowy, której stroną jest osoba, której dane dotyczą, lub podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; d) zgoda osoby, której dane dotyczą lub e) konieczność ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej.

(25)

Definicja zgody zawarta w przepisach ODO jest taka sama jak definicja w rozporządzeniu (UE) 2016/679, tj. „zgoda” osoby, której dane dotyczą, „oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych” (66). Do administratora należy wykazanie, że osoba, której dane dotyczą, wyraziła zgodę (67). W trakcie oceny, czy zgodę wyrażono dobrowolnie, należy uwzględnić, czy wykonanie umowy uzależnione jest od zgody na przetwarzanie danych, które nie jest niezbędne do wykonania tej umowy (68). Wyrażenia zgody nie można uznać za dobrowolne, jeżeli osoba, której dane dotyczą, nie ma rzeczywistego lub wolnego wyboru oraz nie może odmówić ani wycofać zgody bez niekorzystnych konsekwencji (69). Ponadto, aby wyrażenie zgody było świadome, przepisy ODO stanowią, że osoba, której dane dotyczą, powinna znać przynajmniej tożsamość administratora oraz zamierzone cele przetwarzania danych osobowych (70). Ponadto osoba, której dane dotyczą, ma prawo wycofać zgodę w dowolnym momencie (71).

(26)

Jeżeli przetwarzane są „szczególne kategorie” danych, powinny istnieć szczególne zabezpieczenia.

(27)

Przepisy ODO zawierają szczegółowe przepisy dotyczące przetwarzania szczególnych kategorii danych osobowych (72), które są zdefiniowane w taki sam sposób jak w rozporządzeniu (UE) 2016/679, tj. „danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych (73), danych biometrycznych (74) w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia (75), seksualności lub orientacji seksualnej tej osoby.” (76). Zgodnie z przepisami ODO przetwarzanie szczególnych kategorii danych jest co do zasady zabronione, chyba że zastosowanie ma szczególny wyjątek (77).

(28)

Szczególne wyjątki wymienione w art. 11 ust. 2 ODO są podobne do tych określonych w art. 9 ust. 2 i 3 rozporządzenia (UE) 2016/679, z kilkoma dostosowaniami do ram prawnych, zgodnie z którymi działa EPO. Przetwarzanie szczególnych kategorii danych osobowych jest dozwolone wyłącznie w konkretnych i ograniczonych okolicznościach (78), tj. gdy (1) osoba, której dane dotyczą, wyraziła na to wyraźną zgodę; 2) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby (w przypadku gdy osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia wyraźnej zgody); 3) dane osobowe zostały w sposób oczywisty upublicznione przez osobę, której dane dotyczą; 4) przetwarzanie jest niezbędne do konkretnego celu związanego z wykonywaniem przez EPO czynności urzędowych lub zgodnym z prawem sprawowaniem władzy publicznej powierzonej administratorowi (79) lub 5) przetwarzanie jest niezbędne do ustalenia, dochodzenia lub ochrony roszczeń.

(29)

Oprócz szczególnych kategorii danych osobowych, o których mowa w motywie 27, przepisy ODO wymagają również szczególnej ochrony przetwarzania danych osobowych dotyczących wyroków skazujących i czynów zabronionych, to znaczy zezwalają na takie przetwarzanie wyłącznie po uprzedniej konsultacji z ROD lub gdy przetwarzanie jest wymagane na mocy prawnie wiążącego instrumentu, który przewiduje odpowiednie zabezpieczenia praw i wolności osób (80).

(30)

Dane osobowe powinny być przetwarzane w określonym celu, a następnie wykorzystywane tylko w takim zakresie, w jakim nie jest to niezgodne z celem przetwarzania.

(31)

Zasada ta jest przewidziana w art. 4 ust. 2 lit. b) ODO, zgodnie z którym dane osobowe muszą być gromadzone w konkretnych, wyraźnych i prawnie uzasadnionych celach i nie mogą być dalej przetwarzane w sposób niezgodny z tymi celami.

(32)

Podobnie jak w rozporządzeniu (UE) 2016/679 przepisy ODO zezwalają na dalsze przetwarzanie (niezależnie od zgodności celu dalszego przetwarzania z pierwotnym celem) na podstawie wyraźnej zgody osoby, której dane dotyczą, lub na podstawie obowiązujących przepisów prawnych EPO (81). W tym drugim przypadku przepisy ODO nakładają wymóg, aby przetwarzanie było środkiem niezbędnym i proporcjonalnym do ochrony celu leżącego w ogólnym interesie publicznym (82).

(33)

Jeżeli dalsze przetwarzanie nie opiera się na tych dwóch podstawach, w przepisach ODO przewidziano czynniki, które należy wziąć pod uwagę przy ocenie zgodności celu dalszego przetwarzania z celem, w którym pierwotnie zgromadzono dane osobowe (83). To podejście i czynniki wymienione w przepisach ODO są identyczne z tymi określonymi w art. 6 ust. 4 rozporządzenia (UE) 2016/679 i art. 6 rozporządzenia (UE) 2018/1725 (84).

(34)

Dane osobowe powinny być prawidłowe i w razie potrzeby uaktualniane. Powinny być również adekwatne, stosowne oraz ograniczone do celów, w których są przetwarzane, a także co do zasady przechowywane przez okres nie dłuższy niż jest to niezbędne do celów, w których przetwarza się dane osobowe.

(35)

Zasady te określono w art. 4 ust. 2 lit. c), d) i e) ODO w taki sam sposób, jak w rozporządzeniu (UE) 2016/679.

(36)

Dane osobowe powinny być także przetwarzane w sposób zapewniający im bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem. W tym celu podmioty gospodarcze powinny wdrożyć odpowiednie środki techniczne lub organizacyjne, aby chronić dane osobowe przed ewentualnymi zagrożeniami. Środki te należy ocenić, biorąc pod uwagę stan wiedzy technicznej oraz koszty ich wdrożenia.

(37)

Bezpieczeństwo danych jest zapisane w ramach prawnych EPO jako zasada integralności i poufności określona w art. 4 ust. 2 lit. f) i art. 33 ODO w prawie identyczny sposób jak w rozporządzeniu (UE) 2016/679. W szczególności przepisy ODO nakładają wymóg zapewnienia poziomu bezpieczeństwa, które jest odpowiednie do ryzyka, za pomocą odpowiednich środków technicznych i organizacyjnych, z uwzględnieniem aktualnego stanu wiedzy, kosztów wdrożenia oraz charakteru, zakresu, kontekstu i celów przetwarzania, a także zróżnicowanego prawdopodobieństwa i wagi wszelkich zagrożeń dla praw i wolności osób.

(38)

Ponadto przepisy ODO zawierają szczegółowe wymogi dotyczące postępowania w przypadku naruszenia ochrony danych i powiadamiania o nim (85). Po pierwsze, administrator ma obowiązek powiadomić IOD o naruszeniu ochrony danych bez zbędnej zwłoki (i w miarę możliwości nie później niż 72 godziny po uzyskaniu informacji o naruszeniu), chyba że jest mało prawdopodobne, aby naruszenie zagrażało prawom i wolnościom osób (86). Podmiot przetwarzający jest również zobowiązany do niezwłocznego powiadomienia administratora o naruszeniu (87). W powiadomieniu należy w szczególności opisać charakter naruszenia, jego prawdopodobne konsekwencje oraz środki podjęte lub proponowane w celu zaradzenia takiemu naruszeniu (88). Jeżeli naruszenie ochrony danych może powodować wysoki stopień zagrożenia dla praw i wolności osób, administrator musi również bez zbędnej zwłoki zawiadomić osobę, której dane dotyczą, o takim naruszeniu (89). W zawiadomieniu do osoby, której dane dotyczą, należy opisać charakter naruszenia ochrony danych osobowych jasnym i prostym językiem (90), ale takie zawiadomienie nie jest wymagane, jeżeli administrator podjął dalsze środki zapewniające, że nie wystąpi już wysoki poziom zagrożenia dla praw i wolności osób, których dane dotyczą (91).

(39)

Osoby, których dane dotyczą, powinny być informowane o głównych cechach przetwarzania ich danych osobowych.

(40)

Zgodnie z przepisami ODO administrator ma obowiązek, w momencie pozyskiwania danych osobowych, udzielić osobom informacji, w szczególności na temat ich tożsamości i danych kontaktowych (a także danych kontaktowych IOD), celu przetwarzania i jego podstawy prawnej, odbiorców lub kategorii odbiorców, faktu, że zamierza przekazać dane poza EPO, a także mających zastosowanie praw i możliwości uzyskania odszkodowania (92). To samo dotyczy przetwarzania danych osobowych w celu innym niż ten, w jakim dane te zostały zebrane (93). Oba obowiązki mają zastosowanie jedynie w zakresie, w jakim dana osoba nie posiada jeszcze informacji (94).

(41)

Te same informacje należy przekazać osobom, których dane dotyczą, jeżeli dane osobowe nie są zbierane bezpośrednio od nich, wraz z dodatkowymi informacjami na temat źródła danych osobowych i kategorii danych, o których mowa (95). Takie informacje należy przekazać w rozsądnym terminie po pozyskaniu danych (ale najpóźniej w ciągu miesiąca), mając na uwadze konkretne okoliczności przetwarzania danych (96). Jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą, takie same informacje należy przekazać najpóźniej przy pierwszej komunikacji z tą osobą (97). Informacje, o których mowa w motywie 40, należy również przekazać, zanim nastąpi jakiekolwiek dalsze przetwarzanie lub, jeżeli przewiduje się ich ujawnienie innemu odbiorcy, najpóźniej w momencie ujawnienia danych osobowych osobie trzeciej (98). Obowiązek ten nie ma zastosowania w niektórych przypadkach, a mianowicie gdy osoba, której dane dotyczą, posiada już odnośne informacje; gdy informacje te muszą pozostać poufne ze względu na obowiązek zachowania tajemnicy zawodowej uregulowany na podstawie konwencji o patencie europejskim lub innych przepisów prawnych mających zastosowanie do EPO (99); gdy przekazanie tych informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku, w szczególności w przypadku przetwarzania danych do celów archiwizacji, badań naukowych lub historycznych lub celów statystycznych, ponieważ uniemożliwiłoby to lub poważnie utrudniłoby osiągnięcie celów przetwarzania lub gdy uzyskanie lub ujawnienie tych informacji jest wyraźnie określone w konwencji o patencie europejskim lub innych mających zastosowanie przepisach prawnych, które przewidują odpowiednie środki ochrony uzasadnionych interesów osoby, której dane dotyczą (100).

(42)

Osobom, których dane dotyczą, powinny przysługiwać określone prawa, które można egzekwować wobec administratora lub podmiotu przetwarzającego, w szczególności prawo dostępu do danych, prawo do sprostowania danych, prawo do sprzeciwu wobec przetwarzania danych oraz prawo do usunięcia danych. Jednocześnie prawa te mogą podlegać ograniczeniom w zakresie, w jakim ograniczenia te są niezbędne i proporcjonalne do ochrony ważnych celów leżących w ogólnym interesie publicznym.

(43)

Konieczność ułatwienia wykonywania praw indywidualnych określono w art. 1B ust. 4 Regulaminu pracowniczego. W celu dalszego stosowania tego wymogu przepisy ODO gwarantują osobom fizycznym takie same prawa, jak te określone w rozporządzeniu (UE) 2016/679, a mianowicie prawo dostępu (art. 18 ODO), prawo do sprostowania danych (art. 19 ODO), prawo do usunięcia danych (art. 20 ODO), prawo do ograniczenia przetwarzania (art. 21 ODO), prawo do przenoszenia danych (art. 22 ODO), prawo wniesienia sprzeciwu (art. 23 ODO) oraz prawo do niepodlegania zautomatyzowanemu podejmowaniu decyzji (art. 24 ODO).

(44)

Przepisy ODO zawierają również ogólne przepisy dotyczące rozpatrywania wniosków o wykonanie praw, składanych przez osoby fizyczne. Przepisy te zobowiązują administratora do komunikacji z osobami, których dane dotyczą, przy użyciu jasnego i przystępnego języka, z zastosowaniem zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formy (na piśmie lub w inny sposób) (101). Administrator ma obowiązek informować osoby fizyczne o środkach podjętych w odpowiedzi na wniosek bez zbędnej zwłoki, a w każdym razie w terminie jednego miesiąca od otrzymania wniosku (termin można przedłużyć o kolejne dwa miesiące, jeżeli jest to konieczne ze względu na złożoność i liczbę wniosków) (102). Jeżeli wnioski osoby, której dane dotyczą, są całkowicie nieuzasadnione lub nadmierne, w szczególności ze względu na ich powtarzalny charakter, administrator może odmówić wykonania wniosków (103): W sytuacji gdy administrator odmówił wykonania wniosku, musi powiadomić o tym osobę fizyczną i poinstruować ją o możliwości dochodzenia roszczeń (104).

(45)

Po pierwsze, jeśli chodzi o prawo dostępu, zgodnie z przepisami ODO osoby fizyczne mają prawo do uzyskania od EPO potwierdzenia, czy dotyczące ich dane osobowe są przetwarzane, a jeżeli tak, mają prawo dostępu do danych osobowych w łatwy sposób (105) i w rozsądnych odstępach czasu (106). Ponadto osoby fizyczne mają prawo do uzyskania informacji, w szczególności na temat celu przetwarzania, kategorii odnośnych danych, odbiorców, którym dane są udostępniane, oraz przewidywanego okresu przechowywania danych (107).

(46)

Po drugie, przepisy ODO stanowią, że przewidziane w nich prawo do sprostowania umożliwia osobom fizycznym uzyskanie sprostowania nieprawidłowych danych lub uzupełnienia niekompletnych danych (na przykład poprzez przedstawienie dodatkowego oświadczenia) (108). Po sprostowaniu danych administrator ma obowiązek powiadomić o tym każdego odbiorcę, któremu ujawniono dane osobowe (109). Zgodnie z przepisami ODO prawo do sprostowania danych ma zastosowanie do obiektywnych i faktycznych danych, a nie do subiektywnych oświadczeń (110), chociaż w tym przypadku osoby fizyczne mają prawo uzupełnić istniejące dane o drugą opinię bądź kontrekspertyzę lub zgłosić uwagi (111).

(47)

Po trzecie, przepisy ODO gwarantują osobom fizycznym także prawo do usunięcia danych (112), w szczególności jeżeli: a) dane osobowe nie są już niezbędne do celu, w którym są przetwarzane; b) osoba, której dane dotyczą, cofa zgodę i nie istnieje inna podstawa prawna przetwarzania danych; c) osoba, której dane dotyczą, sprzeciwia się przetwarzaniu danych i nie ma nadrzędnych uzasadnionych podstaw takiego przetwarzania; d) dane były przetwarzane niezgodnie z prawem lub e) dane należy usunąć w celu wypełnienia obowiązku prawnego spoczywającego na administratorze (113). Administrator musi poinformować o usunięciu wszelkich danych każdego odbiorcę, któremu dane zostały udostępnione, chyba że okaże się to niemożliwe lub wymaga to niewspółmiernie dużego wysiłku (114). Podobnie, jeżeli administrator podał dane osobowe do wiadomości publicznej, musi podjąć rozsądne kroki w celu poinformowania innych administratorów, którzy przetwarzają te dane, o tym, że osoba fizyczna zażądała usunięcia tych danych (115). Prawo do usunięcia danych nie ma zastosowania w następujących sytuacjach, w zakresie, w jakim przetwarzanie danych jest niezbędne, a) do wykonywania prawa do wolności wypowiedzi i informacji; b) do wypełnienia obowiązku prawnego EPO lub zobowiązań wynikających ze spoczywającego na EPO obowiązku współpracy z umawiającymi się państwami (116) lub w celu wykonywania władzy publicznej powierzonej EPO (117); c) ze względu na współpracę z umawiającymi się państwami w dziedzinie zdrowia publicznego (118); d) do celów archiwizacji, badań naukowych lub historycznych oraz do celów statystycznych (o ile usunięcie danych prawdopodobnie uniemożliwiłoby lub poważnie utrudniłoby osiągnięcie celów przetwarzania) lub e) do ustalenia, dochodzenia lub obrony roszczeń prawnych (119).

(48)

Po czwarte, art. 21 ODO przewiduje prawo do ograniczenia przetwarzania, tj. oznaczania danych osobowych w celu ograniczenia ich przetwarzania w przyszłości (w tym środków programowych mających na celu trwałe uniemożliwienie dostępu do takich danych) (120). Na prawo do ograniczenia przetwarzania można się powołać w szczególności w przypadku, gdy osoba fizyczna kwestionuje prawidłowość danych osobowych (na okres wymagany przez administratora do sprawdzenia prawidłowości) lub gdy przetwarzanie jest niezgodne z prawem, ale osoba ta sprzeciwia się usunięciu danych (121). W przypadku gdy przetwarzanie jest ograniczone, dane osobowe mogą, z wyjątkiem przechowywania, być przetwarzane wyłącznie za wyraźną zgodą osoby fizycznej w celu ustalenia, wykonania lub obrony roszczeń prawnych, w celu ochrony praw innych osób lub w celu wykonania zadania realizowanego w ramach urzędowych czynności EPO (tj. zadania, które jest niezbędne do celów pracy administracyjnej i technicznej, którą EPO jest zobowiązana wykonywać zgodnie z konwencją o patencie europejskim) (122).

(49)

Po piąte, prawo sprzeciwu określono w art. 1B ust. 4 Regulaminu pracowniczego i art. 23 ODO. W szczególności osoby fizyczne mają prawo w każdej chwili wnieść sprzeciw wobec przetwarzania danych osobowych dokonywanego w celu wykonania zadania w ramach wypełniania czynności urzędowych EPO lub w ramach zgodnego z prawem sprawowania władzy publicznej powierzonej administratorowi (123). Osoby fizyczne należy poinformować o istnieniu takiego prawa w jasny sposób i najpóźniej w momencie pierwszego kontaktu z nimi (124). W przypadku gdy osoba fizyczna sprzeciwi się przetwarzaniu danych osobowych, przepisy ODO zobowiązują administratora do zaprzestania przetwarzania tych danych osobowych, chyba że wykaże on istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń prawnych (125).

(50)

Po szóste, przepisy ODO gwarantują osobom fizycznym prawo do przenoszenia danych, umożliwiając im uzyskanie własnych danych osobowych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego oraz przekazywanie tych danych innemu administratorowi (126). Prawo to ma zastosowanie, gdy przetwarzanie odbywa się w sposób zautomatyzowany i na podstawie zgody osoby fizycznej lub w celu wykonania umowy z osobą fizyczną lub w jej interesie (127).

(51)

Wreszcie zgodnie z przepisami ODO osoby fizyczne mają prawo do tego, by nie podlegać zautomatyzowanemu podejmowaniu decyzji, to znaczy decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, co wywołuje wobec tych osób skutki prawne lub w podobny sposób znacząco na nie wpływa (128). Przepisy ODO stanowią, że zautomatyzowane podejmowanie decyzji może mieć miejsce, gdy opiera się na wyraźnej zgodzie osoby, której dane dotyczą, lub gdy jest to konieczne do zawarcia lub wykonania umowy z osobą fizyczną, w którym to przypadku administrator musi wdrożyć odpowiednie zabezpieczenia, takie jak zapewnienie prawa do interwencji człowieka, wyrażenia stanowiska osób fizycznych i zaskarżenia takiej decyzji (129). Zautomatyzowane podejmowanie decyzji może być również dozwolone na mocy aktu prawnego, jeżeli akt ten ustanawia odpowiednie środki ochrony praw osób fizycznych (130). Jeżeli administrator uczestniczy w zautomatyzowanym podejmowaniu decyzji, w tym profilowaniu, ma obowiązek w sposób proaktywny poinformować o tym osobę fizyczną w ramach swoich obowiązków zachowania przejrzystości i przekazać istotne informacje o zasadach podejmowania takich decyzji, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą (131). Te same informacje należy dostarczyć na żądanie (132).

(52)

Podobnie jak art. 23 rozporządzenia (UE) 2016/679 i art. 25 rozporządzenia (UE) 2018/1725, art. 25 ODO stanowi, że szczegółowe przepisy prawne w ramach prawnych EPO mogą ograniczać stosowanie praw, o których mowa w motywach 43-51 (133) (tj. ograniczyć ich stosowanie tymczasowo) (134), jeżeli takie ograniczenie nie narusza istoty podstawowych praw (135) i wolności oraz jest w demokratycznym społeczeństwie środkiem niezbędnym i proporcjonalnym do ochrony konkretnych celów (136). Ponadto takie ograniczenie musi być przewidziane w „jasnych i precyzyjnych” przepisach, które mają na celu wywarcie skutków prawnych wobec osób, których dane dotyczą, i które muszą zostać przyjęte co najmniej na szczeblu Prezesa (137). Przepisy te muszą w szczególności określać cel przetwarzania, zakres ograniczenia, zabezpieczenia zapobiegające nadużyciom oraz okresy przechowywania i mające zastosowanie zabezpieczenia (138).

(53)

Obecnie jedynym instrumentem prawnym, który przewiduje ograniczenia praw indywidualnych, jest okólnik 420 (instrument prawnie wiążący przyjęty przez Prezesa). Wyjaśniono w nim, w jaki sposób i na jakich warunkach administrator może stosować ograniczenia, oraz wyczerpująco określono, w jakich konkretnych sytuacjach i do jakich celów prawa mogą zostać ograniczone (139). W szczególności przewidziano w nim, że EPO może ograniczać prawa indywidualne w określonych celach szczegółowych: a i b) podczas prowadzenia postępowania przygotowawczego lub dyscyplinarnego wobec swoich pracowników (140); c) w kontekście wewnętrznego rozstrzygania sporów lub ustalania, wykonywania lub obrony roszczeń prawnych, w tym w kontekście arbitrażu, w celu zachowania poufnych informacji i dokumentów uzyskanych od stron, interwenientów lub z innych legalnych źródeł; d) podczas przetwarzania danych dotyczących zdrowia podczas procedur medycznych i w dokumentacji medycznej, ale wyłącznie w celu ochrony praw osób fizycznych (141); e i f) podczas przeprowadzania audytów i inspekcji wewnętrznych (te ostatnie są przeprowadzane przez IOD); g) do celów zarządzania incydentami informatycznymi i zgłaszania incydentów związanych z bezpieczeństwem fizycznym oraz h) w przypadku udzielania pomocy właściwym organom publicznym, w tym umawiającym się państwom EPO i organizacjom międzynarodowym, lub otrzymywania od nich pomocy, lub podczas współpracy z nimi w zakresie działań określonych w odpowiednich umowach o gwarantowanym poziomie usług, protokołach ustaleń i umowach o współpracy, na ich wniosek lub z własnej inicjatywy Urzędu (142).

(54)

To, czy ograniczenie można zastosować w konkretnym przypadku, jest rozpatrywane przez administratora indywidualnie dla każdego przypadku w świetle istotnych okoliczności (143). Przy podejmowaniu decyzji o zastosowaniu ograniczenia administrator musi najpierw ocenić jego konieczność i proporcjonalność w konkretnym przypadku, przy udziale IOD (144). Ocena ta obejmuje zestawienie potencjalnego ryzyka naruszenia praw i wolności osoby, której dane dotyczą, z ryzykiem naruszenia praw i wolności innych osób, których dane dotyczą, oraz z ryzykiem utrudnienia realizacji celu i osiągnięcia wyniku operacji przetwarzania (145). Ograniczenia muszą być udokumentowane, m.in. przez zapis oceny ograniczonych praw, na jak długo zostały ograniczone, z jakich powodów i na jakiej podstawie (146). Ponadto dopóki obowiązuje dane ograniczenie, należy stosować odpowiednie środki techniczne i organizacyjne (147). Wszelkie ograniczenia mogą być stosowane tylko tak długo, jak długo istnieją przyczyny ograniczenia (148). W przypadku ograniczenia prawa administrator musi poinformować osobę fizyczną o głównych przyczynach tego ograniczenia oraz o prawie do złożenia skargi (149).

(55)

Postanowienia traktatu założycielskiego EPO (tj. konwencji o patencie europejskim) i PCT oraz przepisy mające zastosowanie na ich podstawie (wszystkie stanowią prawo pierwotne dla EPO) zawierają pewne szczególne wymogi w kontekście procedury udzielania patentu, które mogą mieć wpływ na wykonywanie niektórych praw na podstawie przepisów ODO (150). W decyzji z dnia 13 grudnia 2021 r. przedstawiono przegląd tych wymogów prawa pierwotnego, wyjaśniono, w jaki sposób można korzystać z praw osób, których dane dotyczą, w tym kontekście, oraz wyraźnie określono możliwe wyjątki (151). Okólnik 420 stanowi, że przepisy, które mogą ograniczać stosowanie praw do ochrony danych, muszą jasno określać zakres każdego wyłączenia, a tym samym wyważyć różne wchodzące w grę interesy (152).

(56)

Po pierwsze, zgodnie z art. 127 konwencji o patencie europejskim Urząd jest zobowiązany do prowadzenia Europejskiego Rejestru Patentowego, w którym publikowane są określone prawnie dane osobowe. Zgodnie z prawem pierwotnym zgłoszenia patentowe muszą być opublikowane w trakcie procedury udzielania patentów, zasadniczo możliwie jak najszybciej po upływie osiemnastu miesięcy od daty zgłoszenia. Konwencja o patencie europejskim stanowi, że do danych osobowych zawartych w takich zgłoszeniach patentowych można uzyskać dostęp przez wgląd do akt lub sprawdzenie Rejestru (153). Przed publikacją zgłoszenia patentowe nie są dostępne do wglądu bez wyraźnej zgody zgłaszającego. Podobne zasady określono w PCT (154).

(57)

Po drugie, możliwość dokonania zmian w informacjach wykorzystywanych w ramach procedury udzielania patentów jest szczegółowo uregulowana w konwencji o patencie europejskim (155). W szczególności konwencja o patencie europejskim przewiduje jedynie możliwość uzyskania sprostowania błędów w dokumentach złożonych w EPO (156), sprostowania błędów w decyzjach (157), korekty tłumaczeń (158) i sprostowania wskazania twórcy (159). Sprostowanie danych osobowych zawartych w dokumentach wykorzystywanych w procedurze udzielania patentów można zatem uzyskać jedynie w tych przypadkach. To samo dotyczy możliwości uzyskania ograniczenia przetwarzania danych (160).

(58)

Po trzecie, konwencja o patencie europejskim nakłada szczególne wymogi dotyczące przechowywania i publikacji niektórych dokumentów wykorzystywanych w procedurze udzielania patentów, które to wymogi mają wpływ na możliwość usunięcia informacji zawartych w tych dokumentach, w tym danych osobowych (161). W szczególności opublikowane zgłoszenia patentowe i informacje patentowe publikowane w Europejskim Biuletynie Patentowym muszą być przechowywane i publicznie dostępne (162). W związku z tym usunięcie danych osobowych zawartych w tych dokumentach byłoby sprzeczne z podstawowymi zobowiązaniami prawnymi EPO (art. 129 lit. a) konwencji o patencie europejskim), więc nie można go uzyskać. Inne akta muszą być przechowywane przez EPO przez okres określony w konwencji o patencie europejskim, który zasadniczo wynosi pięć lat (163). Dopóki okres ten ma zastosowanie, nie można uzyskać usunięcia informacji zawartych w tych aktach (w tym danych osobowych).

(59)

W związku z tym, biorąc pod uwagę w szczególności ich ograniczony zakres i warunki ich stosowania, ograniczenia w wykonywaniu praw wynikające z przepisów, o których mowa w motywach 55-58, można uznać za ograniczone do tego, co jest konieczne i proporcjonalne do zapewnienia prawidłowego funkcjonowania procedury udzielania patentów, zgodnie z wymogami interesu publicznego do celów wypełniania oficjalnych zadań EPO. W zakresie, w jakim konwencja o patencie europejskim i PCT nie regulują konkretnie wykonywania praw do ochrony danych, tzn. we wszystkich sytuacjach innych niż te opisane w motywach 55-58 pełne zastosowanie mają wymogi zawarte w przepisach ODO.

(60)

Stopień ochrony zapewnianej danym osobowym przekazywanym z Unii do EPO nie może zostać obniżony wskutek dalszego przekazywania takich danych odbiorcom w państwach trzecich lub innej organizacji międzynarodowej.

(61)

W przepisach ODO dokonano rozróżnienia między „przesyłaniem danych osobowych” (tj. udostępnianiem danych przez EPO umawiającym się państwom) a „przekazywaniem danych osobowych” (udostępnianiem danych przez EPO jakiejkolwiek innej osobie lub podmiotowi spoza EPO) (164).

(62)

Po pierwsze, przepisy ODO stanowią, że przesyłanie danych do krajowego urzędu ds. własności intelektualnej umawiającego się państwa EPO może nastąpić, jeżeli dane te są niezbędne do a) wykonywania kompetencji lub władzy publicznej przez odbiorcę i b) przesyłanie danych jest niezbędne do wykonywania oficjalnych zadań/władzy przez EPO (165). Takie przesyłanie danych odbywa się w kontekście procedury udzielania patentów przewidzianej w konwencji o patencie europejskim i w PCT (166).

(63)

Po drugie, przepisy ODO umożliwiają przesyłanie danych organowi publicznemu umawiającego się państwa EPO (167), jeżeli dane te są niezbędne do wykonywania zadań tego organu publicznego, a przesyłanie danych jest zgodne z zadaniami i funkcjonowaniem EPO (168). Takie przesyłanie danych nie jest wyraźnie wymagane na podstawie konwencji o patencie europejskim ani innych instrumentów prawnych regulujących procedurę udzielania patentów, ale może być nadal konieczne do wykonywania zadań EPO, na przykład współpracy EPO z umawiającymi się państwami w procesie konsultacji, delegowania i rozmieszczania ekspertów lub dostarczania informacji na temat pracowników EPO do celów ustalania świadczeń z zabezpieczenia społecznego, wymogów podatkowych itp.

(64)

IOD przygotował wzory klauzul, które należy włączyć do protokołów ustaleń regulujących takie przesyłanie danych, opisanych w motywach 62 i 63. Klauzule te m.in. zawierają zasady ochrony danych, ograniczają dalsze przetwarzanie danych tylko w dopuszczalnych celach, zapewniają prawa osób, których dane dotyczą, a także określają obowiązki w zakresie bezpieczeństwa danych, naruszeń danych i niezależnego nadzoru (169).

(65)

W obu przypadkach opisanych w motywach 62 i 63 odbiorca musi, zgodnie z przepisami ODO, przedstawić dowody na to, że przesyłanie danych jest konieczne w konkretnym celu wynikającym z obowiązków EPO w zakresie współpracy z umawiającym się państwem lub umawiającymi się państwami (170). W odniesieniu do każdego przesyłania danych administrator musi być w stanie wykazać, że jest ono konieczne i proporcjonalne do konkretnego celu, w którym dane są udostępniane (171). Przesyłanie wszelkich danych musi odbywać się sposób zapewniający utrzymanie poziomu ochrony przewidzianego w przepisach ODO (172). Zgodnie z wytycznymi wydanymi przez IOD oznacza to, że należy stosować odpowiednie zabezpieczenia, m.in. dane, które mają być udostępniane, należy ograniczyć do minimum i tylko do tego, co jest odpowiednie, istotne i absolutnie niezbędne do osiągnięcia tego celu (173). Jeżeli istnieją jakiekolwiek przesłanki, aby przypuszczać, że może dojść do naruszenia uzasadnionych interesów danej osoby fizycznej, administrator - po wyważeniu różnych wchodzących w grę interesów - musi wykazać, że przesłanie danych osobowych w tym konkretnym celu jest proporcjonalne (174).

(66)

W odniesieniu do tych dwóch sytuacji należy również zauważyć, że wszystkie umawiające się państwa EPO są stronami europejskiej Konwencji o ochronie praw człowieka i podstawowych wolności i podlegają jurysdykcji Europejskiego Trybunału Praw Człowieka, a także są stronami Konwencji Rady Europy o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych (ETS nr 108).

(67)

Ponadto przepisy ODO umożliwiają przesyłanie danych do podmiotu przetwarzającego dane, mającego siedzibę w Europejskim Obszarze Gospodarczym (EOG), pod warunkiem że zapewniona jest zgodność z wymogami określonymi w przepisach ODO, dotyczącymi zaangażowania podmiotów przetwarzających (175).

(68)

Udostępnianie danych osobowych podmiotowi spoza EPO, innemu niż organ publiczny lub krajowy urząd ds. własności intelektualnej umawiających się państw EPO lub podmiot przetwarzający dane w EOG, uznaje się za „przekazanie” danych osobowych, z zastrzeżeniem szczególnych wymogów określonych przepisami ODO (176). Wymogi te mają zastosowanie na przykład do udostępniania danych podmiotom przetwarzającym spoza EOG, administratorom znajdującym się w umawiających się państwach lub poza nimi, organom publicznym w państwach niebędących umawiającymi się państwami oraz innym organizacjom międzynarodowym. Ogólnie rzecz biorąc, przepisy ODO nakładają wymóg, aby poziom ochrony gwarantowany osobom fizycznym przez EPO nie został naruszony w wyniku przekazywania danych stronom trzecim (177). Zgodnie z wytycznymi IOD ochrona przekazywanych danych osobowych zapewniana w państwie trzecim lub organizacji międzynarodowej musi być „zasadniczo równoważna ochronie gwarantowanej przepisami ODO” (178).

(69)

Zgodnie z przepisami ODO przekazanie danych osobowych poza EPO może mieć miejsce przede wszystkim, jeżeli państwo, w którym znajduje się odbiorca, lub organizacja międzynarodowa zapewniają odpowiedni poziom ochrony oraz jeżeli przekazanie odbywa się wyłącznie w celu umożliwienia EPO wykonywania zadań wchodzących w zakres jej kompetencji (179). Decyzję stwierdzającą odpowiedni stopień ochrony podejmuje Prezes (180), który w razie wątpliwości konsultuje się uprzednio z IOD i ROD (181). IOD opracował dokument dotyczący „odpowiedniego stopnia ochrony” określający kryteria, na jakich należy oprzeć decyzje stwierdzające odpowiedni stopień ochrony (182). Ramy prawne państwa trzeciego lub organizacji międzynarodowej muszą w szczególności określać kluczowe zasady ochrony danych, prawa osób, których dane dotyczą, przepisy dotyczące dalszego przekazywania danych, mechanizmy proceduralne i mechanizmy egzekwowania oraz środki odwoławcze dla osób fizycznych. Jeżeli Prezes przyjmie decyzję stwierdzającą odpowiedni stopień ochrony, przekazanie danych może nastąpić bez zastosowania dodatkowych zabezpieczeń (183). EPO uznaje obecnie, że państwa członkowskie UE, a także Norwegia, Islandia, Liechtenstein, wszystkie państwa, które korzystają z decyzji Komisji stwierdzającej odpowiedni stopień ochrony (184), oraz instytucje i organy Unii zapewniają odpowiedni poziom ochrony (185).

(70)

Zgodnie z przepisami ODO w przypadku braku decyzji stwierdzającej odpowiedni stopień ochrony administrator lub podmiot przetwarzający mogą przekazać dane osobowe odbiorcom spoza EPO tylko wówczas, gdy zapewnili odpowiednie zabezpieczenia, oraz pod warunkiem, że osoby, których dane dotyczą, dysponują możliwymi do wyegzekwowania prawami i skutecznymi środkami ochrony prawnej (186). Takie odpowiednie zabezpieczenia mogą być zawarte w porozumieniach administracyjnych z organami publicznymi lub organizacjami międzynarodowymi, w klauzulach umownych (po konsultacji z ROD) (187) lub w mechanizmach certyfikacji (188). IOD opracował schemat przepisów, które należy uwzględnić w porozumieniach administracyjnych (189). Dostępny jest również wzór umowy o ochronie danych na potrzeby przekazywania danych podmiotom przetwarzającym (190). Zgodnie z wytycznymi IOD EPO musi ocenić, czy ramy prawne, któremu podlega podmiot odbierający dane, nie uniemożliwią temu podmiotowi wypełnienia obowiązków wynikających z narzędzia przekazywania danych, i w razie potrzeby musi wprowadzić środki uzupełniające (191). Aby przeprowadzić tę ocenę, IOD zaleca, aby w notach wyjaśniających EPO dotyczących przesyłania i przekazywania danych osobowych uwzględniono odpowiednie wytyczne EROD i Europejskiego Inspektora Ochrony Danych (192).

(71)

Zgodnie z przepisami ODO w przypadku przekazywania danych do państw lub organizacji korzystających z decyzji stwierdzającej odpowiedni stopień ochrony, a także w przypadku przekazywania danych na podstawie odpowiednich zabezpieczeń EPO musi wykazać konieczność i proporcjonalność każdego przekazania danych do celów ich przetwarzania (193). Ponadto, po wyważeniu różnych wchodzących w grę interesów, EPO musi stwierdzić, że przekazanie danych jest proporcjonalne, jeżeli istnieją powody, by sądzić, że może dojść do naruszenia uzasadnionych interesów osób, których dane dotyczą (194). Ponadto należy zapewnić (za pomocą zabezpieczeń umownych), aby odbiorca mógł przetwarzać lub wykorzystywać dane wyłącznie do celów, w których zostały one przekazane, i aby musiał je usunąć, gdy tylko cel ten zostanie osiągnięty (195).

(72)

Zgodnie z przepisami ODO w przypadku braku decyzji stwierdzającej odpowiedni stopień ochrony lub braku odpowiednich zabezpieczeń przekazywanie danych osobowych poza EPO jest dopuszczalne „wyłącznie w wyjątkowych przypadkach”, jeżeli tak zwane „odstępstwo” ma zastosowanie na warunkach podobnych do warunków określonych w odpowiednich przepisach unijnego prawa o ochronie danych (196). Ma to miejsce w przypadku, gdy a) osoba, której dane dotyczą, wyraźnie wyraziła zgodę na przekazanie danych (197); b i c) przekazanie danych jest sporadyczne i niezbędne do wykonania umowy z osobą, której dane dotyczą, lub w jej interesie (lub do wykonania środków przedumownych na wniosek osoby, której dane dotyczą) (198); d) przekazanie danych jest niezbędne do wykonania zadania w ramach wypełniania przez EPO czynności urzędowych lub w ramach uzasadnionego wykonywania władzy publicznej powierzonej administratorowi (199); e) przekazanie danych jest sporadyczne i niezbędne do ustalenia, dochodzenia lub ochrony roszczeń prawnych (200); f) przekazanie danych jest niezbędne do ochrony żywotnych interesów osoby, w przypadku gdy osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia wyraźnej zgody (201) lub g) przekazanie danych następuje z rejestru, który ma służyć za źródło informacji dla ogółu społeczeństwa i który jest dostępny do wglądu dla ogółu obywateli lub dla każdej osoby mogącej wykazać prawnie uzasadniony interes, o ile w danym przypadku spełnione zostały warunki dotyczące wglądu do takiego rejestru (202). Ze względu na ich charakter i zgodnie z wytycznymi IOD nie można powoływać się na te odstępstwa w przypadku systematycznego, regularnego przekazywania danych (203).

(73)

Ponadto w odniesieniu do przekazywania określonych kategorii danych do państw lub organizacji, które nie korzystają z decyzji stwierdzającej odpowiedni stopień ochrony, Prezes ma prawo jeszcze bardziej ograniczyć takie przekazywanie z ważnych powodów związanych z uzasadnionym wykonywaniem władzy publicznej powierzonej Urzędowi (204). Dotychczas Prezes nie skorzystał z takich uprawnień.

(74)

Zgodnie z zasadą rozliczalności podmioty przetwarzające dane są zobowiązane do wdrożenia odpowiednich środków technicznych i organizacyjnych, aby skutecznie przestrzegać swoich obowiązków w zakresie ochrony danych oraz być w stanie wykazać taką zgodność, zwłaszcza wobec właściwego organu nadzorczego.

(75)

W art. 4 ust. 1 przepisów ODO ustanowiono ogólną zasadę rozliczalności, która jasno stwierdza, że administrator jest odpowiedzialny za przestrzeganie przepisów ODO i musi być w stanie wykazać zgodność z tymi przepisami. W szczególności administrator musi wdrożyć odpowiednie środki techniczne i organizacyjne w celu zapewnienia i wykazania zgodności z przepisami, z uwzględnieniem charakteru, zakresu, kontekstu i celów przetwarzania danych oraz różnego prawdopodobieństwa i wagi różnych rodzajów ryzyka dla praw osób fizycznych (205). W tym względzie przepisami ODO wdrożono również zasady ochrony prywatności już w fazie projektowania oraz domyślnej ochrony prywatności, ponieważ nałożono na administratora obowiązek wprowadzenia środków mających na celu wdrożenie zasad ochrony danych i zapewnienie zgodności z przepisami ODO oraz obowiązek zagwarantowania, aby domyślnie przetwarzane były wyłącznie dane osobowe, które są niezbędne do każdego konkretnego celu przetwarzania (206).

(76)

Administrator i podmioty przetwarzające dane muszą prowadzić rejestr czynności przetwarzania, zawierający między innymi informacje na temat celu przetwarzania, kategorii przetwarzanych danych, kategorii odbiorców, którym ujawniane są dane, oraz wszelkich przypadków przekazywania danych osobowych (207). Rejestry te są co do zasady publicznie dostępne (chyba że zawierają informacje poufne) i zawarte w publicznie dostępnym rejestrze ochrony danych oraz muszą być udostępniane ROD na żądanie (208). Każda jednostka operacyjna musi też wyznaczyć co najmniej jedną osobę kontaktową ds. ochrony danych (na odnawialną kadencję trwającą od roku do trzech lat), która musi przejść obowiązkowe szkolenie w zakresie ochrony danych i pomagać administratorowi w wypełnianiu jego obowiązków (209).

(77)

Przepisy ODO przewidują ponadto różne instrumenty, które mogą pomóc administratorom i podmiotom przetwarzającym w przestrzeganiu przepisów. Na przykład zgodnie z przepisami ODO przestrzeganie zatwierdzonych mechanizmów certyfikacji może służyć jako dowód zgodności z obowiązkami wynikającymi z ODO (210). Ponadto, w określonych warunkach, przepisy ODO nakładają wymóg przeprowadzenia oceny skutków dla ochrony danych lub uprzedniej konsultacji z IOD i ROD. Ocena skutków dla ochrony danych jest wymagana w przypadku, gdy dany rodzaj przetwarzania może powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych (211). Jest to wymagane na przykład w przypadku systematycznej i szeroko zakrojonej oceny aspektów osobistych, na których opierają się zautomatyzowane decyzje, lub w przypadku przetwarzania szczególnych kategorii danych na dużą skalę (212). Jeżeli ocena skutków wykaże, że przetwarzanie spowodowałoby wysokie ryzyko naruszenia praw i wolności osób fizycznych, i ryzyka tego nie można ograniczyć za pomocą zasadnych środków bezpieczeństwa, administrator musi skonsultować się z ROD (213). ROD musi udzielić pisemnej porady, jeżeli jest zdania, że zamierzone przetwarzanie stanowiłoby naruszenie przepisów ODO (214). Bardziej ogólnie, administrator ma obowiązek skonsultować się z IOD podczas przygotowywania przepisów lub dokumentów operacyjnych dotyczących wdrażania ograniczeń praw indywidualnych (215).

(78)

W celu zapewnienia odpowiedniego stopnia ochrony danych w praktyce, należy ustanowić niezależny organ nadzorczy, któremu powierzone zostaną uprawnienia do monitorowania i egzekwowania zgodności z przepisami o ochronie danych. Wykonując swoje obowiązki i uprawnienia, organ ten działa całkowicie niezależnie i bezstronnie.

(79)

W ramach prawnych EPO nadzór nad przestrzeganiem przez EPO przepisów o ochronie danych powierzono dwóm organom: IOD i ROD. Oba te organy zostały utworzone na mocy art. 32A Regulaminu pracowniczego, a ich status i uprawnienia doprecyzowano w przepisach ODO (216). Ich zadania się uzupełniają i obejmują współpracę, podczas gdy każdy z nich pozostaje niezależny w pełnieniu swoich funkcji.

(80)

Zgodnie z Regulaminem pracowniczym IOD i ROD działają całkowicie niezależnie od jakiejkolwiek wewnętrznej lub zewnętrznej ingerencji w wykonywanie ich zadań i korzystanie z ich uprawnień (217). Zasadę tę uzupełniają różne dodatkowe zabezpieczenia gwarantujące ich niezależność.

(81)

IOD (i jego zastępcy) jest powoływany przez Prezesa na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w zakresie ochrony danych (218). IOD jest mianowany na odnawialną kadencję trwającą od trzech do pięciu lat. Przed proponowanym usunięciem lub odwołaniem IOD z jego funkcji zasięga się opinii ROD (219). Takie uprzednie konsultacje przed usunięciem lub odwołaniem IOD mają na celu zapewnienie dodatkowej kontroli i przeglądu w przypadku proponowanego usunięcia lub odwołania. Takie usunięcie lub odwołanie może mieć miejsce z jednego z następujących powodów (220): w przypadku, gdy IOD nie spełnia już warunków wymaganych do wykonywania obowiązków (221); w przypadku nienależytego wykonywania obowiązków (222) lub w wyniku zastosowania środków dyscyplinarnych (223). Przepisy ODO zakładają ponadto, że IOD nie może zostać odwołany ani ukarany za wykonywanie swoich zadań i nie może otrzymywać żadnych instrukcji (224). IOD musi być zaangażowany we wszystkie kwestie związane z ochroną danych osobowych i wydawać roczne sprawozdania z działalności dla Prezesa i Rady Administracyjnej (225). Urząd musi zapewnić IOD zasoby niezbędne do wykonywania jego zadań (226).

(82)

W skład ROD wchodzi trzech ekspertów zewnętrznych w dziedzinie ochrony danych, mianowicie przewodniczący i dwóch innych członków (227), oraz zastępca członka, mianowani przez Prezesa EPO na odnawialną trzyletnią kadencję (228). Członkowie ROD muszą posiadać kwalifikacje wymagane do mianowania na stanowisko sędziowskie lub być specjalistami w dziedzinie ochrony danych posiadającymi udokumentowaną wiedzę fachową i doświadczenie w dziedzinie prawa ochrony danych zdobyte na szczeblu krajowym lub międzynarodowym. Nie mogą być pracownikami EPO ani zatrudnionymi przez nią w ciągu ostatnich dziesięciu lat (229). Zgodnie z art. 48 ust. 6 ODO członkowie ROD są w pełni niezależni w sprawowaniu swojej funkcji. W szczególności członkowie ROD nie mogą zwracać się o instrukcje do Urzędu ani Rady Administracyjnej i nie mogą być związani takimi instrukcjami. Regulamin ROD przewiduje również, że przy wykonywaniu swoich zadań musi ona działać w sposób bezstronny i całkowicie niezależny (230). Ponadto członkowie ROD mogą zostać odwołani z funkcji przez EPO jedynie z poważnej przyczyny (231). Członkowie ROD są zobowiązani do zachowania poufności (232) i muszą wstrzymać się od działania w przypadku konfliktu interesów, w szczególności jeżeli chodzi o interes osobisty (233). EPO ma obowiązek wspierać ROD w wykonywaniu jej zadań przez zapewnienie jej niezbędnych zasobów, a także wsparcia prawnego i administracyjnego (za pośrednictwem sekretariatu i przez zapewnienie ROD dostępu do danych osobowych i operacji przetwarzania) (234).

(83)

Do zadań IOD należy: informowanie administratora lub podmiotów przetwarzających dane o ich obowiązkach oraz odpowiednie doradzanie im; upowszechnianie wiedzy wśród pracowników zaangażowanych w operacje przetwarzania i zapewnianie im szkoleń; zapewnianie, by osoby, których dane dotyczą, były informowane o prawach przysługujących im na mocy przepisów ODO oraz monitorowanie w niezależny sposób wewnętrznego stosowania przepisów ODO i zgodności z nimi, a także z innymi przepisami prawnymi EPO mającymi wpływ na ochronę danych (235). Osoby, których dane dotyczą, mogą kontaktować się z IOD we wszelkich kwestiach związanych z przetwarzaniem ich danych lub wykonywaniem przysługujących im praw (236), a administrator i podmioty przetwarzające mogą konsultować się z IOD we wszelkich sprawach dotyczących interpretacji i stosowania przepisów ODO (237).

(84)

W ramach swojej funkcji nadzorczej IOD jest uprawniony do przeprowadzania kontroli i dochodzeń w sprawie ochrony danych (238). Kontrole inicjuje IOD zgodnie z rocznym planem kontroli, który jest przygotowywany w porozumieniu z ROD (239). Kontrola koncentruje się na ocenie rejestrów, oświadczeń i odpowiedniej dokumentacji w zakresie ochrony danych, na przykład w celu weryfikacji dokładności i kompletności dokumentacji dotyczącej ochrony danych, prawidłowego stosowania metod zarządzania ryzykiem, dokładności i terminowości odpowiedzi udzielanych osobom, których dane dotyczą, lub prawidłowego przeprowadzania i liczby ocen skutków dla ochrony danych (240). Według informacji otrzymanych przez Komisję od IOD w 2023 r. przeprowadzono trzy kontrole, a w 2024 r. - cztery. IOD może wszcząć dochodzenie z własnej inicjatywy, na podstawie wniosku otrzymanego od ROD lub organu w ramach EPO (np. Prezesa lub administratora delegowanego) lub na podstawie informacji otrzymanych w inny sposób (na przykład od stron trzecich i osób fizycznych) (241). Dochodzenia na wniosek ROD są prowadzone przez IOD w sposób niezależny. ROD ma prawo przekazać uwagi lub wnioskować o dodatkowe dochodzenie w dowolnej kwestii, która mogła się pojawić (242). Inspekcje koncentrują się na operacjach przetwarzania, ich szczególnych aspektach lub zdarzeniach z nimi związanych i mają na celu zapewnienie, aby przetwarzanie spełniało wymogi przepisów ODO, oraz zapewnienie ochrony praw i wolności osób, których dane dotyczą (243).

(85)

IOD ma dostęp do wszystkich istotnych informacji, w tym do przetwarzanych danych osobowych, a także do wszystkich biur, instalacji przetwarzania danych i nośników danych (244). Wszyscy pracownicy EPO i jednostki operacyjne są zobowiązani do wspierania IOD w wypełnianiu jego obowiązków, w tym przez zapewnienie dostępu do pomieszczeń i odpowiednich informacji (245).

(86)

Kończąc kontrolę lub dochodzenie, IOD przyjmuje sprawozdanie zawierające ustalenia, wnioski i zalecane działania naprawcze (246). Takie działania mogą obejmować na przykład: środki zapobiegawcze lub łagodzące mające na celu poprawę przestrzegania przepisów, a także środki mające na celu usunięcie niezgodności (np. zapewnienie zgodności przetwarzania z przepisami ODO, rozpatrywanie wniosków osób, których dane dotyczą, o skorzystanie z przysługujących im praw, zawieszenie lub zakończenie przetwarzania itp.) (247). IOD może również powiadomić właściwy organ powołujący o niezastosowaniu się do przepisów ODO przez pracowników i zalecić wszczęcie dochodzenia administracyjnego w celu ustalenia, czy konieczne jest podjęcie działań dyscyplinarnych lub innych (248). Każdy pracownik, który nie przestrzega przepisów ODO, umyślnie lub w wyniku zaniedbania, może podlegać karom dyscyplinarnym lub innym działaniom na podstawie Regulaminu pracowniczego (249).

(87)

Wyniki kontroli i dochodzeń muszą zostać przekazane ROD (250). Sprawozdanie z kontroli lub dochodzenia należy udostępnić ROD na żądanie. ROD może wypowiadać się na temat sprawozdania IOD, w tym na temat ustaleń IOD, czy doszło do naruszenia przepisów ODO, oraz na temat proponowanych działań naprawczych, a także może wnioskować o podjęcie dodatkowych czynności dochodzeniowych (251). Jeżeli w wyniku kontroli lub inspekcji przeprowadzonej przez IOD stwierdzono, że doszło do niezgodności (tj. naruszenia przepisów ODO), sprawozdanie IOD musi zostać przedłożone ROD w celu zatwierdzenia wniosków i zalecanych działań naprawczych. W przypadku gdy ROD nie zgadza się z wnioskami IOD lub zalecanymi przez niego działaniami naprawczymi, ROD przekazuje swoje uwagi IOD, m.in. w celu zmiany proponowanych wniosków i zalecanych działań naprawczych, które to uwagi powinny zostać odpowiednio uwzględnione. Działania naprawcze zatwierdzone przez ROD są wiążące dla administratora i administratorów delegowanych i osoby fizyczne mogą się na nie powoływać w ramach mechanizmów dochodzenia roszczeń opisanych w motywie 95 (252). IOD musi zweryfikować wdrożenie działań naprawczych (zasadniczo po upływie sześciu miesięcy od przekazania informacji o nich) i co roku składać Prezesowi sprawozdanie ze stanu ich wdrożenia (253).

(88)

Oprócz egzekwowania przestrzegania przepisów ODO do zadań ROD należy również doradzanie Prezesowi w zakresie przyjmowania decyzji stwierdzających odpowiedni stopień ochrony, doradzanie administratorowi w kwestii konieczności przeprowadzenia oceny skutków dla ochrony danych oraz rozpatrywanie skarg osób fizycznych (zob. motywy 92-96) (254).

(89)

W celu zapewnienia odpowiedniej ochrony, a w szczególności egzekwowania praw indywidualnych, osoba, której dane dotyczą, powinna mieć dostęp do skutecznego dochodzenia roszczeń, w tym odszkodowania.

(90)

Ramy prawne EPO oferują osobom fizycznym możliwość dochodzenia roszczeń na różne sposoby.

(91)

Po pierwsze, osoby, których dane dotyczą, które uważają, że przetwarzanie ich danych osobowych przez EPO narusza ich prawa (tj. narusza przepisy ODO), mogą złożyć wniosek o dokonanie przeglądu przez administratora delegowanego zgodnie z art. 49 ODO. Administrator delegowany rozpatrzy skargę i podejmie decyzję (255). Przed podjęciem decyzji administrator delegowany musi skonsultować się z IOD, który przedstawia pisemną opinię nie później niż piętnaście dni kalendarzowych od otrzymania wniosku o dokonanie przeglądu (256). Administrator delegowany musi udzielić danej osobie odpowiedzi w terminie jednego miesiąca od daty otrzymania wniosku (257). Decyzja musi zostać przekazana tej osobie wraz z informacją o możliwości skorzystania z dalszych środków odwoławczych (258). Jeżeli administrator delegowany nie podejmie żadnych działań w terminie trzech miesięcy, uznaje się to za dorozumiane odrzucenie wniosku.

(92)

Po drugie, osoby fizyczne mogą zaskarżyć decyzję lub dorozumiane odrzucenie wniosku o dokonanie przeglądu przez administratora delegowanego, składając skargę do ROD (259).

(93)

Podczas rozpatrywania skargi ROD musi wezwać osobę, której dane dotyczą, administratora oraz, w stosownych przypadkach, podmiot przetwarzający dane do przedstawienia na piśmie stanowiska w przedmiocie roszczeń i faktów oraz do przedstawienia dowodów lub uwag i argumentów dotyczących dostępnych dowodów (260). W tym kontekście ROD może zwrócić się do stron o wszelkie informacje potrzebne do rozpatrzenia skargi i może, dodatkowo, uzyskać dalsze informacje za pośrednictwem IOD (261). Podejmując decyzję w sprawie niezbędnych działań następczych w związku ze skargą, ROD musi wziąć pod uwagę między innymi charakter i wagę zarzucanego naruszenia, liczbę osób, których dane dotyczą, kategorie danych, których dotyczy skarga, oraz czas trwania naruszenia (262). ROD może wezwać strony do polubownego rozstrzygnięcia sporu oraz zachęca do takiego rozwiązania i aktywnie działa, aby ułatwić jego zastosowanie (263). Skarżący może również zwrócić się do ROD o zastosowanie trybu pilnego ze względu na wagę domniemanego naruszenia lub ze względu na powagę ryzyka naruszenia praw jednostek (264).

(94)

Po zbadaniu skargi ROD wydaje administratorowi uzasadnioną opinię zawierającą przedstawienie stanu faktycznego, główne argumenty stron, uwagi ROD i jej zalecenia (265). W przypadku trybu pilnego ROD musi formalnie wydać uzasadnioną opinię w terminie dwóch miesięcy od złożenia skargi (266). W uzasadnionej opinii ROD może wydać wszelkie zalecenia, które uzna za konieczne, w tym nakaz sądowy (np. zaprzestanie niezgodnego z prawem przetwarzania danych, usunięcie danych przetwarzanych niezgodnie z prawem), odszkodowanie za szkodę materialną lub niematerialną (267). Uzasadnioną opinię należy przekazać osobie, której dane dotyczą, i administratorowi (tj. Prezesowi Urzędu, przewodniczącemu Komisji Odwoławczych, przewodniczącemu Rady Administracyjnej lub przewodniczącemu komisji specjalnej, w zależności od tego, czy skarga dotyczy Urzędu, Komisji Odwoławczych, Rady lub komisji specjalnej). Następnie administrator podejmie prawomocną wiążącą decyzję na podstawie uzasadnionej opinii ROD (268). Prawomocną decyzję przekazuje się osobie, której dane dotyczą, ROD i IOD (269). Jeżeli administrator miał zdecydować o nieuwzględnieniu co najmniej jednego aspektu uzasadnionej opinii, powinien wyjaśnić to w decyzji (270).

(95)

Osoba, której dane dotyczą, która nie jest zadowolona z decyzji administratora, może się od niej dalej odwołać i w takim odwołaniu odnieść się do uzasadnionej opinii ROD. Pracownicy EPO mogą zaskarżyć decyzję do Trybunału Administracyjnego Międzynarodowej Organizacji Pracy (271). Każda inna osoba, której dane dotyczą, która nie zgadza się z decyzją administratora, może, w terminie trzech miesięcy od otrzymania decyzji, złożyć do Prezesa wniosek o arbitraż ad hoc (272). W przepisach ODO przewidziano specjalną procedurę, którą należy zastosować w przypadku arbitrażu ad hoc (273). W szczególności w terminie trzech miesięcy od otrzymania wniosku osoby, której dane dotyczą, sekretarz generalny Stałego Trybunału Arbitrażowego musi wyznaczyć jednego arbitra na podstawie kryteriów określonych w przepisach ODO (274). Arbiter musi posiadać kwalifikacje prawne, być dopuszczony do wykonywania zawodu prawniczego w jednym z umawiających się państw EPO, być w stanie wykazać się odpowiednią wiedzą fachową w dziedzinie ochrony danych oraz znać prawo regulujące działalność organizacji międzynarodowych (275). Oprócz spełnienia tych kryteriów wyznaczona osoba nie mogła pracować dla EPO ani dla osoby, której dane dotyczą, ani świadczyć im usług. Przepisy ODO stanowią, że arbiter musi działać w sposób niezależny i bezstronny (276), traktować każdą ze stron jednakowo i dać im możliwość przedstawienia swoich argumentów na każdym etapie postępowania (277). Postępowanie arbitrażowe nie jest jawne (278) i jest regulowane przez konwencję o patencie europejskim, przepisy ODO, w tym wszelkie przepisy wykonawcze, prawo organizacji międzynarodowych oraz zasady prawa międzynarodowego publicznego (279). Chociaż każda ze stron musi pokryć własne koszty i wydatki związane z zastępstwem prawnym (chyba że arbiter postanowi inaczej), honoraria i wydatki arbitra, koszty ewentualnych porad biegłych i świadków są pokrywane przez EPO (280). Rozstrzygnięcie sporu musi nastąpić w formie pisemnego orzeczenia arbitrażowego o uzgodnionym brzmieniu, które jest prawomocne i wiążące (281).

(96)

Każda osoba fizyczna, która poniosła szkodę w wyniku naruszenia przepisów ODO, może zwrócić się do EPO o odszkodowanie, korzystając z procedur opisanych w motywach 91-95 (282). EPO nie zostanie pociągnięta do odpowiedzialności, jeżeli udowodni, że nie odpowiada za zdarzenie, które doprowadziło do powstania szkody.

(97)

Ramy prawne, na podstawie których EPO ocenia wnioski organów publicznych - w umawiających się państwach i w państwach trzecich - dotyczące danych osobowych przetwarzanych przez EPO, i odpowiada na nie, wynikają z Protokołu w sprawie przywilejów i immunitetów (PPI) EPO (283), wymogów nałożonych przepisami ODO dotyczących przesyłania i przekazywania danych osobowych oraz z prawa międzynarodowego publicznego.

(98)

Po pierwsze, przetwarzanie danych osobowych przez EPO do celów oficjalnej działalności jest objęte immunitetami tej organizacji. Immunitety EPO uzupełnia obowiązek współpracy określony w art. 20 PPI. W efekcie wszystkie wnioski organów publicznych umawiających się państw o dostęp do danych przetwarzanych przez EPO są oceniane przez Prezesa zgodnie z (art. 20 ust. 1) PPI, który przewiduje, że EPO „stale współpracuje z właściwymi organami umawiających się państw w celu ułatwienia właściwego działania wymiaru sprawiedliwości, zapewnienia przestrzegania zarządzeń policji oraz przepisów dotyczących zdrowia publicznego, inspekcji pracy lub innych podobnych przepisów krajowych oraz w celu zapobieżenia wszelkim naruszeniom przywilejów, immunitetów i ułatwień przewidzianych w niniejszym Protokole”. W drodze wyjątku EPO może zrzec się immunitetu jurysdykcyjnego i egzekucyjnego (284). Przy podejmowaniu decyzji w sprawie wniosku o współpracę Prezes korzysta z uprawnień dyskrecjonalnych, uwzględniając zgodność takiego wniosku z ramami prawnymi EPO. (285) W rezultacie Urząd może odpowiedzieć na wniosek na podstawie PPI i może ujawnić dane osobowe wyłącznie zgodnie z wymogami dotyczącymi przesyłania danych przewidzianymi w przepisach ODO (zob. motywy 62-67). Zgodnie z przepisami ODO odbiorca musi przedstawić dowody na to, że przesyłanie danych jest konieczne w konkretnym celu wynikającym z obowiązków EPO w zakresie współpracy z umawiającym się państwem lub umawiającymi się państwami (286). W odniesieniu do każdego przesyłania danych administrator musi być w stanie wykazać, że jest ono konieczne i proporcjonalne do konkretnego celu, w którym to przesyłanie danych się odbywa (287). Przesyłanie wszelkich danych musi odbywać się sposób zapewniający utrzymanie poziomu ochrony przewidzianego w przepisach ODO (288). Zgodnie z wytycznymi wydanymi przez IOD oznacza to, że należy stosować odpowiednie zabezpieczenia, m.in. dane, które mają być udostępniane, należy ograniczyć do minimum i tylko do tego, co jest odpowiednie, istotne i absolutnie niezbędne do osiągnięcia tego celu (289). Jeżeli istnieją jakiekolwiek przesłanki, aby przypuszczać, że może dojść do naruszenia praw i wolności danej osoby fizycznej, administrator - po wyważeniu różnych wchodzących w grę interesów - musi wykazać, że przesłanie danych osobowych w tym konkretnym celu jest proporcjonalne (290).

(99)

Po drugie, nie istnieje żaden instrument prawny mający zastosowanie do EPO, który konkretnie reguluje rozpatrywanie wniosków od organów publicznych państw trzecich (tj. niebędących umawiającą się stroną EPO) o uzyskanie danych przetwarzanych przez EPO. W związku z tym wszelkie ujawnienie danych w odpowiedzi na taki wniosek jest możliwe tylko wtedy, gdy spełnione są wymogi dotyczące międzynarodowego przekazywania danych na podstawie przepisów ODO (jak opisano w motywach 68-73). Ma to miejsce wyłącznie w przypadku przyjęcia decyzji stwierdzającej odpowiedni stopień ochrony w odniesieniu do danego państwa i obejmującej przekazanie danych, jeżeli istnieją odpowiednie zabezpieczenia lub jeżeli zastosowanie ma odstępstwo.

(100)

Przestrzeganie PPI przez Prezesa, w tym sposobu rozpatrywania wniosków od organów publicznych o współpracę, podlega nadzorowi Rady Administracyjnej, natomiast spełnienie zawartych w przepisach ODO wymogów dotyczących przesyłania i przekazywania danych osobowych podlega nadzorowi IOD i ROD, jak opisano w motywach 84-88. Osoby fizyczne mogą skorzystać z możliwości dochodzenia roszczeń opisanych w motywach 90-96 i dotyczących przesyłania lub przekazywania danych osobowych z naruszeniem przepisów ODO.

(101)

Komisja uważa, że EPO zapewnia stopień ochrony danych osobowych przekazywanych z Unii, który jest merytorycznie równoważny stopniowi ochrony zagwarantowanemu w rozporządzeniu (UE) 2016/679.

(102)

Na podstawie ustaleń niniejszej decyzji należy uznać, że EPO zapewnia odpowiedni stopień ochrony w rozumieniu art. 45 rozporządzenia (UE) 2016/679, interpretowanego w świetle Karty praw podstawowych Unii Europejskiej, danych osobowych przekazywanych z Unii do EPO.

(103)

Państwa członkowskie i ich organy mają obowiązek stosować środki niezbędne do zapewnienia zgodności z aktami instytucji unijnych, ponieważ domniemywa się, że akty te są zgodne z prawem, a zatem wywołują skutki prawne do chwili ich uchylenia, stwierdzenia ich nieważności w postępowaniu o stwierdzenie nieważności lub orzeczenia o ich nieważności w następstwie wniosku o wydanie orzeczenia w trybie prejudycjalnym lub zarzutu niezgodności z prawem.

(104)

Decyzja stwierdzająca odpowiedni stopień ochrony danych osobowych przyjęta przez Komisję na podstawie art. 45 ust. 3 rozporządzenia (UE) 2016/679 jest zatem wiążąca dla wszystkich organów państw członkowskich, do których jest skierowana, w tym ich niezależnych organów nadzorczych. W szczególności przekazywanie danych przez administratora lub podmiot przetwarzający w Unii do EPO może odbywać się bez konieczności uzyskania jakiegokolwiek dodatkowego zezwolenia.

(105)

Należy przypomnieć, że zgodnie z art. 58 ust. 5 rozporządzenia (UE) 2016/679 i jak wyjaśnił Trybunał Sprawiedliwości w wyroku w sprawie C-362/14 (291), jeżeli krajowy organ ochrony danych kwestionuje, w tym na podstawie skargi, zgodność wydanej przez Komisję decyzji stwierdzającej odpowiedni stopień ochrony z przysługującymi osobie fizycznej prawami podstawowymi do prywatności i ochrony danych, należy zapewnić w prawie krajowym drogę prawną umożliwiającą tej osobie podniesienie tych zarzutów przed sądem krajowym, który może być zobowiązany do wystąpienia z odesłaniem prejudycjalnym do Trybunału Sprawiedliwości.

(106)

Zgodnie z orzecznictwem Trybunału Sprawiedliwości i art. 45 ust. 4 rozporządzenia (UE) 2016/679 Komisja powinna ciągle monitorować istotne zmiany zachodzące w państwie trzecim lub organizacji międzynarodowej po przyjęciu decyzji stwierdzającej odpowiedni stopień ochrony, aby ocenić, czy nadal zapewnia merytorycznie równoważny stopień ochrony. Taka kontrola jest wymagana w każdym przypadku, gdy Komisja otrzyma informacje budzące uzasadnione wątpliwości w tym względzie.

(107)

W związku z tym Komisja powinna stale monitorować sytuację w zakresie ram prawnych i rzeczywistej praktyki EPO w odniesieniu do przetwarzania danych osobowych, podlegających ocenie w niniejszej decyzji. W celu ułatwienia tego procesu zachęca się EPO do informowania Komisji o merytorycznych zmianach, które są istotne dla niniejszej decyzji, dotyczących przetwarzania danych osobowych oraz ograniczeń i zabezpieczeń w zakresie dostępu organów publicznych do danych osobowych.

(108)

Ponadto, aby Komisja mogła skutecznie realizować funkcję monitorowania, państwa członkowskie powinny informować ją o wszelkich istotnych działaniach podejmowanych przez ich krajowe organy ochrony danych, zwłaszcza w odniesieniu do zapytań lub skarg osób z Unii, których dane dotyczą, na temat przekazywania danych osobowych z Unii do EPO.

(109)

W zastosowaniu art. 45 ust. 3 rozporządzenia (UE) 2016/679 oraz w świetle tego, że stopień ochrony zapewniany w ramach prawnych EPO może ulec zmianie, Komisja po przyjęciu niniejszej decyzji powinna okresowo oceniać, czy ustalenia odnoszące się do adekwatności stopnia ochrony gwarantowanego przez EPO są nadal faktycznie i prawnie uzasadnione. Taką ocenę należy przeprowadzać co najmniej raz na cztery lata w odniesieniu do wszystkich aspektów obowiązywania niniejszej decyzji, w tym funkcjonowania odpowiednich mechanizmów nadzoru i egzekwowania.

(110)

W celu przeprowadzenia tej oceny Komisja powinna odbyć spotkanie z EPO, w tym z jego IOD i ROD. Uczestnictwo w tym spotkaniu powinno być otwarte dla przedstawicieli członków Europejskiej Rady Ochrony Danych. W ramach tej oceny Komisja powinna wystąpić do EPO o przedłożenie wyczerpujących informacji na temat wszystkich aspektów istotnych dla ustalenia dotyczącego stwierdzenia odpowiedniego stopnia ochrony. Komisja powinna również zwracać się o wyjaśnienia dotyczące wszelkich informacji istotnych dla niniejszej decyzji, w tym otrzymanych od EROD, poszczególnych organów ochrony danych i organizacji społeczeństwa obywatelskiego, a także informacji publicznie dostępnych, doniesień medialnych oraz informacji z innych dostępnych źródeł.

(111)

Na podstawie tej oceny Komisja powinna przygotować ogólnodostępne sprawozdanie, które przedłoży Parlamentowi Europejskiemu i Radzie.

(112)

W przypadku gdy z dostępnych informacji, w szczególności informacji uzyskanych w wyniku monitorowania przez Komisję - zgodnie z art. 45 ust. 4 rozporządzenia (UE) 2016/679 - zmian mogących wpłynąć na obowiązywanie niniejszej decyzji lub informacji przedstawionych przez EPO lub organy państw członkowskich wynika, że stopień ochrony zapewniany przez EPO może nie być już odpowiedni, Komisja powinna powiadomić o tym EPO i zwrócić się o zastosowanie właściwych środków w określonym, rozsądnym terminie.

(113)

Jeśli po upływie tego określonego terminu EPO nie zastosuje tych środków lub w inny zadowalający sposób nie wykaże, że stopień ochrony będący podstawą niniejszej decyzji jest nadal odpowiedni, Komisja rozpocznie procedurę, o której mowa w art. 93 ust. 2 rozporządzenia (UE) 2016/679, w celu częściowego lub całkowitego zawieszenia lub uchylenia niniejszej decyzji.

(114)

Ewentualnie Komisja rozpocznie tę procedurę w celu zmiany decyzji, zwłaszcza przez uzależnienie przekazywania danych od spełnienia dodatkowych warunków lub ograniczenie zakresu ustalenia dotyczącego stwierdzenia odpowiedniego stopnia ochrony wyłącznie do przekazywania danych, co do których zapewnia się ciągłość odpowiedniego stopnia ochrony.

(115)

Komisja powinna również rozważyć wszczęcie procedury prowadzącej do zmiany, zawieszenia lub uchylenia niniejszej decyzji, jeżeli w kontekście przeglądu lub w innym przypadku EPO nie przedłoży informacji lub wyjaśnień wymaganych do oceny stopnia ochrony zapewnianego w odniesieniu do danych osobowych przekazywanych z Unii albo do oceny zgodności z niniejszą decyzją. W tej kwestii Komisja powinna uwzględnić również zakres, w jakim właściwe informacje można uzyskać z innych źródeł.

(116)

W należycie uzasadnionych, szczególnie pilnych przypadkach Komisja skorzysta z możliwości przyjęcia - zgodnie z procedurą, o której mowa w art. 93 ust. 3 rozporządzenia (UE) 2016/679 - aktów wykonawczych mających natychmiastowe zastosowanie, zawieszających, uchylających lub zmieniających niniejszą decyzję.

(117)

Europejska Rada Ochrony Danych opublikowała swoją opinię (292), która została uwzględniona podczas przygotowywania niniejszej decyzji.

(118)

Środki przewidziane w niniejszej decyzji są zgodne z opinią Komitetu ustanowionego na podstawie art. 93 ust. 1 rozporządzenia (UE) 2016/679,