(Tekst mający znaczenie dla EOG)
(Dz.U.UE L z dnia 18 lipca 2025 r.)
KOMISJA EUROPEJSKA,
uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,
uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) 1 , w szczególności jego art. 45 ust. 3,
a także mając na uwadze, co następuje:
1. WPROWADZENIE
(1) W rozporządzeniu (UE) 2016/679 określono zasady dotyczące przekazywania danych osobowych przez administratorów lub podmioty przetwarzające w Unii do państw trzecich i organizacji międzynarodowych w zakresie, w jakim takie przekazywanie wchodzi w zakres stosowania rozporządzenia. Zasady dotyczące międzynarodowego przekazywania danych określono w rozdziale V (art. 44-50) tego rozporządzenia. Chociaż przepływ danych osobowych do państw i organizacji międzynarodowych spoza Unii Europejskiej oraz z takich państw i organizacji jest niezbędnym warunkiem rozwoju handlu transgranicznego i współpracy międzynarodowej, przekazywanie danych osobowych państwom trzecim i organizacjom międzynarodowym nie może obniżać stopnia ochrony tych danych w Unii 2 .
(2) Zgodnie z art. 45 ust. 3 rozporządzenia (UE) 2016/679 Komisja może w drodze aktu wykonawczego przyjąć decyzję stwierdzającą, że państwo trzecie, terytorium lub określony sektor lub określone sektory w tym państwie trzecim lub organizacja międzynarodowa zapewniają odpowiedni stopień ochrony. W świetle tego warunku przekazanie danych osobowych do organizacji międzynarodowej może nastąpić bez konieczności uzyskania dodatkowego zezwolenia, jak przewidziano w art. 45 ust. 1 i motywie 103 rozporządzenia (UE) 2016/679.
(3) Jak określono w art. 45 ust. 2 rozporządzenia (UE) 2016/679, przy przyjmowaniu decyzji stwierdzającej odpowiedni stopień ochrony należy opierać się na wszechstronnej analizie systemu prawnego organizacji międzynarodowej, obejmującej zarówno jego przepisy mające zastosowanie do podmiotów odbierających dane, jak i ograniczenia oraz zabezpieczenia w zakresie dostępu organów publicznych do danych osobowych. W swojej ocenie Komisja musi ustalić, czy dana organizacja międzynarodowa gwarantuje stopień ochrony "zasadniczo odpowiadający" stopniowi ochrony zapewnianemu w Unii 3 . Standard, na podstawie którego ocenia się "merytoryczną równoważność", określono w prawodawstwie Unii, w szczególności w rozporządzeniu (UE) 2016/679, a także w orzecznictwie Trybunału Sprawiedliwości Unii Europejskiej 4 . Istotne znaczenie pod tym względem ma również dokument w sprawie odpowiedniego stopnia ochrony opracowany przez Europejską Radę Ochrony Danych (EROD), który ma na celu doprecyzowanie wspomnianego standardu i zapewnienie wytycznych 5 .
(4) Jak wyjaśnił Trybunał Sprawiedliwości, od państwa trzeciego lub organizacji międzynarodowej nie można wymagać zapewnienia poziomu ochrony identycznego z tym, jaki jest zagwarantowany w unijnym porządku prawnym. 6 W szczególności środki, z jakich korzysta dane państwo trzecie lub dana organizacja międzynarodowa dla zapewnienia ochrony danych osobowych, mogą różnić się od środków wprowadzonych w Unii, o ile w praktyce skutecznie zapewniają odpowiedni stopień ochrony 7 . Odpowiedni standard ochrony nie wymaga zatem dokładnego powielenia przepisów unijnych. Przy badaniu odpowiedniości chodzi raczej o stwierdzenie, czy - biorąc pod uwagę istotę praw do prywatności oraz zabezpieczenia służące ochronie danych (w tym ich skuteczne wprowadzenie w życie, egzekwowanie i nadzór nad ich przestrzeganiem), a także okoliczności przekazywania danych osobowych - dany zagraniczny system jako całość zapewnia wymagany stopień ochrony 8 .
(5) Komisja przeanalizowała ramy prawne i praktyki Europejskiej Organizacji Patentowej. Na podstawie ustaleń przedstawionych w motywach 7-100 Komisja stwierdza, że Europejska Organizacja Patentowa ("EPO") zapewnia odpowiedni stopień ochrony danych osobowych przekazywanych w ramach zakresu stosowania rozporządzenia (UE) 2016/679 z Unii Europejskiej do EPO.
(6) Zgodnie z niniejszą decyzją przekazywanie Europejskiej Organizacji Patentowej danych przez administratorów lub podmioty przetwarzające dane w Unii Europejskiej może odbywać się bez konieczności uzyskania jakiegokolwiek dodatkowego zezwolenia. Niniejsza decyzja nie powinna mieć wpływu na bezpośrednie stosowanie rozporządzenia (UE) 2016/679 w odniesieniu do takich podmiotów, jeżeli spełnione są warunki dotyczące terytorialnego zakresu określone w art. 3 tego rozporządzenia.
2. PRZEPISY MAJĄCE ZASTOSOWANIE DO PRZETWARZANIA DANYCH OSOBOWYCH
2.1. Organizacja i zadania Europejskiej Organizacji Patentowej
(7) Europejska Organizacja Patentowa jest organizacją międzyrządową utworzoną 7 października 1977 r. na podstawie Konwencji o udzielaniu patentów europejskich ("konwencja o patencie europejskim"). EPO ma siedzibę w Monachium i liczy 39 umawiających się państw, w tym wszystkie państwa członkowskie Unii, Islandię, Norwegię i Liechtenstein, a także Albanię, Macedonię Północną, Monako, San Marino, Serbię, Szwajcarię, Czarnogórę, Zjednoczone Królestwo i Turcję 9 .
(8) EPO posiada osobowość prawną 10 i składa się z dwóch organów 11 . Są nimi: Europejski Urząd Patentowy ("Urząd") i Rada Administracyjna. Głównym zadaniem EPO jest udzielanie patentów europejskich 12 zgodnie z konwencją o patencie europejskim, czym zajmuje się Urząd pod nadzorem Rady Administracyjnej. Rada Administracyjna składa się z przedstawicieli umawiających się państw i wykonuje uprawnienia ustawodawcze w imieniu EPO. Odpowiada ona również za kwestie polityczne i nadzoruje działalność Urzędu 13 . Urzędem, który pełni funkcję organu wykonawczego EPO, kieruje Prezes 14 , który zarządza Urzędem i odpowiada przed Radą Administracyjną 15 . Prezes między innymi przygotowuje i realizuje budżet Urzędu, mianuje personel Urzędu i sprawuje nad nim władzę zwierzchnią, sprawuje władzę dyscyplinarną nad pracownikami, zapewnia funkcjonowanie Urzędu, w tym zatwierdza wewnętrzne instrukcje administracyjne i informacje podawane do
wiadomości publicznej oraz może przedkładać Radzie Administracyjnej projekt zmiany konwencji, projekt przepisów o charakterze ogólnym lub decyzji, które wchodzącą w zakres kompetencji Rady Administracyjnej 16 . Urząd składa się z różnych działów, w tym Sekcji Zgłoszeń, Wydziału Prawnego, Wydziału Badań i Wydział ds. Sprzeciwów oraz Komisji Odwoławczych (niezależnego organu wewnętrznego, do którego można odwołać się od decyzji podejmowanych przez EPO w ramach procedury udzielania patentu) 17 .
(9) Wykonując swoje zadania, EPO otrzymuje dane osobowe od szeregu różnych podmiotów w Unii. Europejskie zgłoszenia patentowe 18 są stale składane w EPO przez zgłaszających, którzy ubiegają się o patent, lub przekazywane do EPO przez krajowe urzędy patentowe w państwach członkowskich 19 . EPO otrzymuje i przetwarza również dane osobowe w kontekście zadań powierzonych jej na mocy rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 1257/2012 20 . Zadania te obejmują przyjmowanie i rozpatrywanie wniosków o rejestrację jednolitego skutku patentów europejskich, pobieranie opłat za utrzymanie w mocy oraz rejestrowanie jednolitego skutku 21 . W tym kontekście EPO otrzymuje również od Jednolitego Sądu Patentowego wnioski dotyczące postępowań odwoławczych toczących się przed Komisją Odwoławczą Urzędu 22 , które mogą zawierać dane osobowe niezbędne do zidentyfikowania danej sprawy 23 .
(10) Podobnie EPO otrzymuje dane osobowe zawarte w międzynarodowych zgłoszeniach patentowych, gdy działa na podstawie Układu o współpracy patentowej (PCT) będącego traktatem międzynarodowym umożliwiającym zgłaszającym uzyskanie patentów ze skutkami dla wszystkich umawiających się państw PCT 24 . EPO działa jako Międzynarodowy Organ Poszukiwań w rozumieniu PCT i w ramach tej funkcji dokonuje oceny zdolności patentowej wynalazków podanych w zgłoszeniach międzynarodowych, co pomaga zgłaszającym w ustaleniu, czy złożyć wniosek o badanie merytoryczne na poziomie krajowym/unijnym 25 .
(11) Ponadto EPO ściśle współpracuje z krajowymi urzędami patentowymi we wszystkich państwach członkowskich w ramach "europejskiej sieci patentowej" i w tym kontekście wymienia z nimi dane osobowe, na przykład w związku z prowadzonymi szkoleniami i świadczonymi usługami informatycznymi w celu wspierania i zacieśniania współpracy na podstawie konwencji o patencie europejskim. EPO zawarła również porozumienia w sprawie współpracy dwustronnej z państwami członkowskimi, które to porozumienia przewidują wymianę danych osobowych, np. w kontekście powołania grup roboczych, oddelegowania i rozmieszczenia ekspertów technicznych. EPO prowadzi również bliską współpracę z Urzędem Unii Europejskiej ds. Własności Intelektualnej, na przykład prowadzi wspólne szkolenia i kampanie informacyjne oraz oddelegowuje ekspertów.
(12) Ponadto EPO zawarła umowy z kilkoma dostawcami usług w Unii, którzy działają jako podmiot przetwarzający w rozumieniu art. 4 pkt 8 rozporządzenia (UE) 2016/679 i przekazują EPO dane osobowe.
2.2. Obowiązujące ramy prawne i przepisy o ochronie danych
(13) Prawo pierwotne regulujące działalność EPO zostało ustanowione w traktacie międzynarodowym, czyli w konwencji o patencie europejskim, a w przypadku gdy EPO działa na podstawie Układu o współpracy patentowej - w tymże układzie. Na drugim poziomie hierarchii norm mających zastosowanie do EPO znajdują się akty prawne przyjęte przez Radę Administracyjną lub, w odniesieniu do PCT, przez Zgromadzenie PCT. Prawo wtórne EPO obejmuje Regulamin wykonawczy do konwencji o patencie europejskim oraz tzw. Regulamin pracowniczy (który reguluje aspekty dotyczące personelu EPO, w tym ich prawa i obowiązki) 26 . Prawo do ochrony danych osobowych jest określone w art. 1B Regulaminu pracowniczego 27 , który zawiera również pewne podstawowe przepisy ram ochrony danych EPO, tj. dotyczące zakresu stosowania ram ochrony danych, ochrony szczególnych kategorii danych i wykonywania praw przez osoby fizyczne. W art. 2 ust. 1 i art. 32A Regulaminu pracowniczego ustanowiono niezależne mechanizmy nadzoru (Inspektor Ochrony Danych (IOD) i Rada Ochrony Danych (ROD)) w celu nadzorowania przestrzegania przepisów o ochronie danych 28 .
(14) Te same wymogi merytoryczne dotyczące ochrony danych osobowych mają zastosowanie do Rady Administracyjnej i Urzędu, a także do wszystkich ich działów. W szczególności przetwarzanie danych osobowych przez Urząd jest regulowane przepisami wykonawczymi do art. 1B i 32A Regulaminu pracowniczego dla pracowników stałych oraz pozostałych pracowników Europejskiego Urzędu Patentowego, dotyczącymi ochrony danych osobowych (przepisy o ochronie danych osobowych, zwane dalej "przepisami ODO" lub "ODO"), które zostały przyjęte przez Radę Administracyjną 29 . Przetwarzanie danych osobowych przez Radę Administracyjną podlega przepisom Rady Administracyjnej o ochronie danych, w których stosuje się odpowiednio przepisy ODO 30 . W przypadku gdy niniejsza decyzja odnosi się do przepisów ODO, takie odniesienia obejmują odpowiednie wymogi mające zastosowanie do Rady Administracyjnej, jej sekretariatu i jej komitetów. Struktura i treść przepisów ODO są ściśle dostosowane do unijnych ram ochrony danych 31 . W szczególności przepisy ODO mają wiele punktów wspólnych z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2018/1725 32 , które określa wymogi w zakresie ochrony danych dla instytucji i organów Unii, a zatem jest dobrze dostosowane do specyficznej struktury i cech organizacji międzynarodowych, a jednocześnie ściśle odzwierciedla rozporządzenie (UE) 2016/679.
(15) Jeżeli chodzi o przetwarzanie danych przez Urząd, Prezes wydał kolejne prawnie wiążące instrumenty, takie jak okólniki, decyzje i wewnętrzne instrukcje administracyjne 33 . W szczególności uzupełnieniem przepisów ODO jest decyzja Prezesa z dnia 13 grudnia 2021 r. w sprawie przetwarzania danych osobowych w postępowaniach o udzielenie patentu i powiązanych postępowaniach ("decyzja z dnia 13 grudnia 2021 r.") 34 ; decyzja z dnia 7 grudnia 2022 r. w sprawie przetwarzania danych osobowych w postępowaniach dotyczących patentów europejskich o jednolitym skutku ("decyzja z dnia 7 grudnia 2022 r.") 35 ; decyzja z dnia 17 listopada 2022 r. dotycząca państw i podmiotów zapewniających odpowiednią ochronę danych osobowych 36 ; decyzja z dnia 2 maja 2024 r. określająca jednostki operacyjne Urzędu działające w charakterze administratorów delegowanych 37 oraz okólnik nr 420 wdrażający art. 25 ODO dotyczący ograniczeń praw osób, których dane dotyczą (okólnik 420) 38 . W szczególności w odniesieniu do przetwarzania danych w kontekście postępowań o udzielenie patentu należy zauważyć, że wymogi dotyczące przetwarzania danych osobowych przewidziane bezpośrednio w konwencji o patencie europejskimi i PCT są nadrzędne w stosunku do przepisów ODO. Wzajemne zależności między konwencją o patencie europejskim i PCT z jednej strony a przepisami ODO z drugiej strony wyjaśniono w decyzji z dnia 13 grudnia 2021 r. 39 i decyzji z dnia 7 grudnia 2022 r. Szczegółowe wymogi w zakresie ochrony danych wynikające bezpośrednio z konwencji o patencie europejskim i PCT oceniono w motywach 55-59. Przepisy ODO i uzupełniające je instrumenty są prawnie wiążące i możliwe do wyegzekwowania na drodze prawnej, a osoby fizyczne mogą się na nie powoływać przed niezależnymi mechanizmami dochodzenia roszczeń, jak opisano w motywach 89-96.
(16) Przepisy przewidziane w instrumentach prawnych, o których mowa w motywie 15, są dalej wdrażane w instrumentach wydanych przez inspektora ochrony danych (zob. motywy 83-88) 40 , które mają zastosowanie do Rady Administracyjnej i Urzędu, a także do wszystkich ich działów 41 .
2.3. Zakres przedmiotowy i podmiotowy przepisów o ochronie danych osobowych
(17) Zgodnie z przepisami ODO i Regulaminem pracowniczym 42 wszyscy pracownicy EPO są zobowiązani do przestrzegania przepisów ODO przy przetwarzaniu danych osobowych. Przedmiotowy i podmiotowy zakres stosowania przepisów ODO określają zawarte w nich pojęcia "dane osobowe", "przetwarzanie", "administrator", "administrator delegowany" i "podmiot przetwarzający".
2.3.1. Definicja danych osobowych i przetwarzania
(18) Definicje "danych osobowych" i "przetwarzania" zawarte w przepisach ODO są identyczne z definicjami zawartymi w rozporządzeniu (UE) 2016/679 43 . Przepisy ODO mają zastosowanie do każdego przypadku przetwarzania danych osobowych przez EPO, niezależnie od tego, czy takie przetwarzanie dotyczy danych osobowych jej własnych
pracowników, czy danych innych osób 44 . Dane, które poddano pseudonimizacji 45 , również uznaje się za dane osobowe, natomiast dane osób zmarłych lub osób prawnych, lub anonimowe informacje 46 nie są traktowane jako dane osobowe na podstawie przepisów ODO 47 .
(19) Przepisy ODO mają zastosowanie do przetwarzania danych osobowych przez EPO w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących lub mających stanowić część zbioru danych 48 .
2.3.2. Administrator, oddelegowany administrator i podmiot przetwarzający dane
(20) Przepisy ODO definiują "administratora" jako podmiot, a mianowicie Europejski Urząd Patentowy, który samodzielnie lub wspólnie z innymi określa cele i sposoby przetwarzania danych osobowych 49 . Co do zasady Prezes pełni funkcję administratora w odniesieniu do operacji przetwarzania danych prowadzonych przez Urząd 50 . To samo dotyczy Rady Administracyjnej (gdy jej przewodniczący pełni funkcję administratora), Komisji Odwoławczych działających w ramach sprawowania przez nie wymiaru sprawiedliwości (gdy ich przewodniczący pełni funkcję administratora 51 ) oraz komisji specjalnej (gdy jej przewodniczący pełni funkcję administratora 52 ). Administrator może przekazać to uprawnienie jednostkom operacyjnym reprezentowanym przez kierownika wyższego szczebla 53 . W takich przypadkach jednostki operacyjne działają jako "delegowani administratorzy" 54 , którzy definiują cel (np. powód, uzasadnienie i potrzeby biznesowe), środki operacji przetwarzania oraz zapewniają, aby wszystkie operacje przetwarzania obejmujące dane osobowe były zgodne z przepisami ODO 55 . W takich przypadkach za przetwarzanie danych osobowych odpowiada administrator. Przepisy ODO przewidują również scenariusz "współadministracji danych", według którego administrator określa cel i sposoby przetwarzania wraz z co najmniej jednym administratorem spoza EPO 56 .
(21) Definicja "podmiotu przetwarzającego" zawarta w przepisach ODO jest identyczna z definicją zawartą w art. 4 pkt 8 rozporządzenia (UE) 2016/679, tj. podmiot przetwarzający oznacza osobę fizyczną lub prawną, organ publiczny, agencję lub jakikolwiek inny podmiot, który przetwarza dane osobowe w imieniu administratora 57 . Administrator może korzystać wyłącznie z usług podmiotów przetwarzających zapewniających wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych w celu zapewnienia, aby przetwarzanie spełniało wymogi określone w przepisach ODO 58 . Stosunki między administratorem a podmiotem przetwarzającym muszą być regulowane umową lub aktem prawnym wiążącym taki podmiot przetwarzający i określającym m.in. przedmiot, czas trwania, charakter i cel przetwarzania danych 59 . Podmiot przetwarzający może przetwarzać dane wyłącznie zgodnie z udokumentowanymi instrukcjami administratora. Podmiot przetwarzający ma obowiązek pomagać administratorowi w wypełnianiu jego obowiązków wynikających z przepisów ODO. Podmiot przetwarzający ma zakaz angażowania podwykonawców przetwarzania bez uprzedniej zgody administratora 60 . Delegowani administratorzy mają dostęp do standardowej umowy w sprawie przetwarzania danych 61 . Ponadto jeżeli podmiot przetwarzający ma siedzibę w państwie trzecim, wszelka wymiana danych osobowych z tym podmiotem przetwarzającym musi również spełniać wymogi określone w przepisach ODO i dotyczące międzynarodowego przekazywania danych, jak opisano w motywach 68-73 niniejszej decyzji 62 .
2.4. Zabezpieczenia, prawa i obowiązki
2.4.1. Zgodność z prawem i rzetelność przetwarzania
(22) Dane osobowe powinno się przetwarzać zgodnie z prawem i rzetelnie.
(23) Te ogólne zasady określono w art. 4 ust. 2 lit. a) ODO, który można uznać za identyczny z art. 5 ust. 1 lit. a) rozporządzenia (UE) 2016/679.
(24) Zasada zgodności z prawem została doprecyzowana w art. 5 ODO, w którym wymieniono podstawy prawne przetwarzania danych osobowych. Tymi podstawami prawnymi są:
a) konieczność wykonania zadania w ramach czynności urzędowych EPO 63 lub w ramach zgodnego z prawem sprawowania władzy publicznej powierzonej administratorowi, co obejmuje przetwarzanie niezbędne do zarządzania Urzędem i jego funkcjonowania 64 ;
b) konieczność wypełnienia obowiązku prawnego ciążącego na administratorze (np. obowiązek publikowania w Europejskim Rejestrze Patentowym informacji zawartych w zgłoszeniu patentowym) 65 ;
c) konieczność wykonania umowy, której stroną jest osoba, której dane dotyczą, lub podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
d) zgoda osoby, której dane dotyczą lub
e) konieczność ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej.
(25) Definicja zgody zawarta w przepisach ODO jest taka sama jak definicja w rozporządzeniu (UE) 2016/679, tj. "zgoda" osoby, której dane dotyczą, "oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych" 66 . Do administratora należy wykazanie, że osoba, której dane dotyczą, wyraziła zgodę 67 . W trakcie oceny, czy zgodę wyrażono dobrowolnie, należy uwzględnić, czy wykonanie umowy uzależnione jest od zgody na przetwarzanie danych, które nie jest niezbędne do wykonania tej umowy 68 . Wyrażenia zgody nie można uznać za dobrowolne, jeżeli osoba, której dane dotyczą, nie ma rzeczywistego lub wolnego wyboru oraz nie może odmówić ani wycofać zgody bez niekorzystnych konsekwencji 69 . Ponadto, aby wyrażenie zgody było świadome, przepisy ODO stanowią, że osoba, której dane dotyczą, powinna znać przynajmniej tożsamość administratora oraz zamierzone cele przetwarzania danych osobowych 70 . Ponadto osoba, której dane dotyczą, ma prawo wycofać zgodę w dowolnym momencie 71 .
2.4.2. Przetwarzanie szczególnych kategorii danych osobowych
(26) Jeżeli przetwarzane są "szczególne kategorie" danych, powinny istnieć szczególne zabezpieczenia.
(27) Przepisy ODO zawierają szczegółowe przepisy dotyczące przetwarzania szczególnych kategorii danych osobowych 72 , które są zdefiniowane w taki sam sposób jak w rozporządzeniu (UE) 2016/679, tj. "danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych 73 , danych biometrycznych 74 w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia 75 , seksualności lub orientacji seksualnej tej osoby." 76 . Zgodnie z przepisami ODO przetwarzanie szczególnych kategorii danych jest co do zasady zabronione, chyba że zastosowanie ma szczególny wyjątek 77 .
(28) Szczególne wyjątki wymienione w art. 11 ust. 2 ODO są podobne do tych określonych w art. 9 ust. 2 i 3 rozporządzenia (UE) 2016/679, z kilkoma dostosowaniami do ram prawnych, zgodnie z którymi działa EPO. Przetwarzanie szczególnych kategorii danych osobowych jest dozwolone wyłącznie w konkretnych i ograniczonych okolicznościach 78 , tj. gdy (1) osoba, której dane dotyczą, wyraziła na to wyraźną zgodę; 2) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby (w przypadku gdy osoba, której dane dotyczą, jest fizycznie lub
prawnie niezdolna do wyrażenia wyraźnej zgody); 3) dane osobowe zostały w sposób oczywisty upublicznione przez osobę, której dane dotyczą; 4) przetwarzanie jest niezbędne do konkretnego celu związanego z wykonywaniem przez EPO czynności urzędowych lub zgodnym z prawem sprawowaniem władzy publicznej powierzonej administratorowi 79 lub 5) przetwarzanie jest niezbędne do ustalenia, dochodzenia lub ochrony roszczeń.
(29) Oprócz szczególnych kategorii danych osobowych, o których mowa w motywie 27, przepisy ODO wymagają również szczególnej ochrony przetwarzania danych osobowych dotyczących wyroków skazujących i czynów zabronionych, to znaczy zezwalają na takie przetwarzanie wyłącznie po uprzedniej konsultacji z ROD lub gdy przetwarzanie jest wymagane na mocy prawnie wiążącego instrumentu, który przewiduje odpowiednie zabezpieczenia praw i wolności osób 80 .
2.4.3. Ograniczenie celu
(30) Dane osobowe powinny być przetwarzane w określonym celu, a następnie wykorzystywane tylko w takim zakresie, w jakim nie jest to niezgodne z celem przetwarzania.
(31) Zasada ta jest przewidziana w art. 4 ust. 2 lit. b) ODO, zgodnie z którym dane osobowe muszą być gromadzone w konkretnych, wyraźnych i prawnie uzasadnionych celach i nie mogą być dalej przetwarzane w sposób niezgodny z tymi celami.
(32) Podobnie jak w rozporządzeniu (UE) 2016/679 przepisy ODO zezwalają na dalsze przetwarzanie (niezależnie od zgodności celu dalszego przetwarzania z pierwotnym celem) na podstawie wyraźnej zgody osoby, której dane dotyczą, lub na podstawie obowiązujących przepisów prawnych EPO 81 . W tym drugim przypadku przepisy ODO nakładają wymóg, aby przetwarzanie było środkiem niezbędnym i proporcjonalnym do ochrony celu leżącego w ogólnym interesie publicznym 82 .
(33) Jeżeli dalsze przetwarzanie nie opiera się na tych dwóch podstawach, w przepisach ODO przewidziano czynniki, które należy wziąć pod uwagę przy ocenie zgodności celu dalszego przetwarzania z celem, w którym pierwotnie zgromadzono dane osobowe 83 . To podejście i czynniki wymienione w przepisach ODO są identyczne z tymi określonymi w art. 6 ust. 4 rozporządzenia (UE) 2016/679 i art. 6 rozporządzenia (UE) 2018/1725 84 .
2.4.4. Dokładność i minimalizacja danych, ograniczenie przechowywania i bezpieczeństwo danych
(34) Dane osobowe powinny być prawidłowe i w razie potrzeby uaktualniane. Powinny być również adekwatne, stosowne oraz ograniczone do celów, w których są przetwarzane, a także co do zasady przechowywane przez okres nie dłuższy niż jest to niezbędne do celów, w których przetwarza się dane osobowe.
(35) Zasady te określono w art. 4 ust. 2 lit. c), d) i e) ODO w taki sam sposób, jak w rozporządzeniu (UE) 2016/679.
(36) Dane osobowe powinny być także przetwarzane w sposób zapewniający im bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem. W tym celu podmioty gospodarcze powinny wdrożyć odpowiednie środki techniczne lub organizacyjne, aby chronić dane osobowe przed ewentualnymi zagrożeniami. Środki te należy ocenić, biorąc pod uwagę stan wiedzy technicznej oraz koszty ich wdrożenia.
(37) Bezpieczeństwo danych jest zapisane w ramach prawnych EPO jako zasada integralności i poufności określona w art. 4 ust. 2 lit. f) i art. 33 ODO w prawie identyczny sposób jak w rozporządzeniu (UE) 2016/679. W szczególności przepisy ODO nakładają wymóg zapewnienia poziomu bezpieczeństwa, które jest odpowiednie do ryzyka, za pomocą odpowiednich środków technicznych i organizacyjnych, z uwzględnieniem aktualnego stanu wiedzy, kosztów wdrożenia oraz charakteru, zakresu, kontekstu i celów przetwarzania, a także zróżnicowanego prawdopodobieństwa i wagi wszelkich zagrożeń dla praw i wolności osób.
(38) Ponadto przepisy ODO zawierają szczegółowe wymogi dotyczące postępowania w przypadku naruszenia ochrony danych i powiadamiania o nim 85 . Po pierwsze, administrator ma obowiązek powiadomić IOD o naruszeniu ochrony danych bez zbędnej zwłoki (i w miarę możliwości nie później niż 72 godziny po uzyskaniu informacji o naruszeniu), chyba że jest mało prawdopodobne, aby naruszenie zagrażało prawom i wolnościom osób 86 . Podmiot przetwarzający jest również zobowiązany do niezwłocznego powiadomienia administratora o naruszeniu 87 . W powiadomieniu należy w szczególności opisać charakter naruszenia, jego prawdopodobne konsekwencje oraz środki podjęte lub proponowane w celu zaradzenia takiemu naruszeniu 88 . Jeżeli naruszenie ochrony danych może powodować wysoki stopień zagrożenia dla praw i wolności osób, administrator musi również bez zbędnej zwłoki zawiadomić osobę, której dane dotyczą, o takim naruszeniu 89 . W zawiadomieniu do osoby, której dane dotyczą, należy opisać charakter naruszenia ochrony danych osobowych jasnym i prostym językiem 90 , ale takie zawiadomienie nie jest wymagane, jeżeli administrator podjął dalsze środki zapewniające, że nie wystąpi już wysoki poziom zagrożenia dla praw i wolności osób, których dane dotyczą 91 .
2.4.5. Przejrzystość
(39) Osoby, których dane dotyczą, powinny być informowane o głównych cechach przetwarzania ich danych osobowych.
(40) Zgodnie z przepisami ODO administrator ma obowiązek, w momencie pozyskiwania danych osobowych, udzielić osobom informacji, w szczególności na temat ich tożsamości i danych kontaktowych (a także danych kontaktowych IOD), celu przetwarzania i jego podstawy prawnej, odbiorców lub kategorii odbiorców, faktu, że zamierza przekazać dane poza EPO, a także mających zastosowanie praw i możliwości uzyskania odszkodowania 92 . To samo dotyczy przetwarzania danych osobowych w celu innym niż ten, w jakim dane te zostały zebrane 93 . Oba obowiązki mają zastosowanie jedynie w zakresie, w jakim dana osoba nie posiada jeszcze informacji 94 .
(41) Te same informacje należy przekazać osobom, których dane dotyczą, jeżeli dane osobowe nie są zbierane bezpośrednio od nich, wraz z dodatkowymi informacjami na temat źródła danych osobowych i kategorii danych, o których mowa 95 . Takie informacje należy przekazać w rozsądnym terminie po pozyskaniu danych (ale najpóźniej w ciągu miesiąca), mając na uwadze konkretne okoliczności przetwarzania danych 96 . Jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą, takie same informacje należy przekazać najpóźniej przy pierwszej komunikacji z tą osobą 97 . Informacje, o których mowa w motywie 40, należy również przekazać, zanim nastąpi jakiekolwiek dalsze przetwarzanie lub, jeżeli przewiduje się ich ujawnienie innemu odbiorcy, najpóźniej w momencie ujawnienia danych osobowych osobie trzeciej 98 . Obowiązek ten nie ma zastosowania w niektórych przypadkach, a mianowicie gdy osoba, której dane dotyczą, posiada już odnośne informacje; gdy informacje te muszą pozostać poufne ze względu na obowiązek zachowania tajemnicy zawodowej uregulowany na podstawie konwencji o patencie europejskim lub innych przepisów prawnych mających zastosowanie do EPO 99 ; gdy przekazanie tych informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku, w szczególności w przypadku przetwarzania danych do celów archiwizacji, badań naukowych lub historycznych lub celów statystycznych, ponieważ uniemożliwiłoby to lub poważnie utrudniłoby osiągnięcie celów przetwarzania lub gdy uzyskanie lub ujawnienie tych informacji jest wyraźnie określone w konwencji o patencie europejskim lub innych mających zastosowanie przepisach prawnych, które przewidują odpowiednie środki ochrony uzasadnionych interesów osoby, której dane dotyczą 100 .
2.4.6. Prawa indywidualne
(42) Osobom, których dane dotyczą, powinny przysługiwać określone prawa, które można egzekwować wobec administratora lub podmiotu przetwarzającego, w szczególności prawo dostępu do danych, prawo do sprostowania danych, prawo do sprzeciwu wobec przetwarzania danych oraz prawo do usunięcia danych. Jednocześnie prawa te mogą podlegać ograniczeniom w zakresie, w jakim ograniczenia te są niezbędne i proporcjonalne do ochrony ważnych celów leżących w ogólnym interesie publicznym.
2.4.6.1. Prawa przewidziane w przepisach ODO
(43) Konieczność ułatwienia wykonywania praw indywidualnych określono w art. 1B ust. 4 Regulaminu pracowniczego. W celu dalszego stosowania tego wymogu przepisy ODO gwarantują osobom fizycznym takie same prawa, jak te określone w rozporządzeniu (UE) 2016/679, a mianowicie prawo dostępu (art. 18 ODO), prawo do sprostowania danych (art. 19 ODO), prawo do usunięcia danych (art. 20 ODO), prawo do ograniczenia przetwarzania (art. 21 ODO), prawo do przenoszenia danych (art. 22 ODO), prawo wniesienia sprzeciwu (art. 23 ODO) oraz prawo do niepodlegania zautomatyzowanemu podejmowaniu decyzji (art. 24 ODO).
(44) Przepisy ODO zawierają również ogólne przepisy dotyczące rozpatrywania wniosków o wykonanie praw, składanych przez osoby fizyczne. Przepisy te zobowiązują administratora do komunikacji z osobami, których dane dotyczą, przy użyciu jasnego i przystępnego języka, z zastosowaniem zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formy (na piśmie lub w inny sposób) 101 . Administrator ma obowiązek informować osoby fizyczne o środkach podjętych w odpowiedzi na wniosek bez zbędnej zwłoki, a w każdym razie w terminie jednego miesiąca od otrzymania wniosku (termin można przedłużyć o kolejne dwa miesiące, jeżeli jest to konieczne ze względu na złożoność i liczbę wniosków) 102 . Jeżeli wnioski osoby, której dane dotyczą, są całkowicie nieuzasadnione lub nadmierne, w szczególności ze względu na ich powtarzalny charakter, administrator może odmówić wykonania wniosków 103 : W sytuacji gdy administrator odmówił wykonania wniosku, musi powiadomić o tym osobę fizyczną i poinstruować ją o możliwości dochodzenia roszczeń 104 .
(45) Po pierwsze, jeśli chodzi o prawo dostępu, zgodnie z przepisami ODO osoby fizyczne mają prawo do uzyskania od EPO potwierdzenia, czy dotyczące ich dane osobowe są przetwarzane, a jeżeli tak, mają prawo dostępu do danych osobowych w łatwy sposób 105 i w rozsądnych odstępach czasu 106 . Ponadto osoby fizyczne mają prawo do uzyskania informacji, w szczególności na temat celu przetwarzania, kategorii odnośnych danych, odbiorców, którym dane są udostępniane, oraz przewidywanego okresu przechowywania danych 107 .
(46) Po drugie, przepisy ODO stanowią, że przewidziane w nich prawo do sprostowania umożliwia osobom fizycznym uzyskanie sprostowania nieprawidłowych danych lub uzupełnienia niekompletnych danych (na przykład poprzez przedstawienie dodatkowego oświadczenia) 108 . Po sprostowaniu danych administrator ma obowiązek powiadomić o tym każdego odbiorcę, któremu ujawniono dane osobowe 109 . Zgodnie z przepisami ODO prawo do sprostowania danych ma zastosowanie do obiektywnych i faktycznych danych, a nie do subiektywnych oświadczeń 110 , chociaż w tym przypadku osoby fizyczne mają prawo uzupełnić istniejące dane o drugą opinię bądź kontrekspertyzę lub zgłosić uwagi 111 .
(47) Po trzecie, przepisy ODO gwarantują osobom fizycznym także prawo do usunięcia danych 112 , w szczególności jeżeli:
a) dane osobowe nie są już niezbędne do celu, w którym są przetwarzane;
b) osoba, której dane dotyczą, cofa zgodę i nie istnieje inna podstawa prawna przetwarzania danych;
c) osoba, której dane dotyczą, sprzeciwia się przetwarzaniu danych i nie ma nadrzędnych uzasadnionych podstaw takiego przetwarzania;
d) dane były przetwarzane niezgodnie z prawem lub
e) dane należy usunąć w celu wypełnienia obowiązku prawnego spoczywającego na administratorze 113 . Administrator musi poinformować o usunięciu wszelkich danych każdego odbiorcę, któremu dane zostały udostępnione, chyba że okaże się to niemożliwe lub wymaga to niewspółmiernie dużego wysiłku 114 . Podobnie, jeżeli administrator podał dane osobowe do wiadomości publicznej, musi podjąć rozsądne kroki w celu poinformowania innych administratorów, którzy przetwarzają te dane, o tym, że osoba fizyczna zażądała usunięcia tych danych 115 . Prawo do usunięcia danych nie ma zastosowania w następujących sytuacjach, w zakresie, w jakim przetwarzanie danych jest niezbędne,
a) do wykonywania prawa do wolności wypowiedzi i informacji;
b) do wypełnienia obowiązku prawnego EPO lub zobowiązań wynikających ze spoczywającego na EPO obowiązku współpracy z umawiającymi się państwami 116 lub w celu wykonywania władzy publicznej powierzonej EPO 117 ;
c) ze względu na współpracę z umawiającymi się państwami w dziedzinie zdrowia publicznego 118 ;
d) do celów archiwizacji, badań naukowych lub historycznych oraz do celów statystycznych (o ile usunięcie danych prawdopodobnie uniemożliwiłoby lub poważnie utrudniłoby osiągnięcie celów przetwarzania) lub
e) do ustalenia, dochodzenia lub obrony roszczeń prawnych 119 .
(48) Po czwarte, art. 21 ODO przewiduje prawo do ograniczenia przetwarzania, tj. oznaczania danych osobowych w celu ograniczenia ich przetwarzania w przyszłości (w tym środków programowych mających na celu trwałe uniemożliwienie dostępu do takich danych) 120 . Na prawo do ograniczenia przetwarzania można się powołać w szczególności w przypadku, gdy osoba fizyczna kwestionuje prawidłowość danych osobowych (na okres wymagany przez administratora do sprawdzenia prawidłowości) lub gdy przetwarzanie jest niezgodne z prawem, ale osoba ta sprzeciwia się usunięciu danych 121 . W przypadku gdy przetwarzanie jest ograniczone, dane osobowe mogą, z wyjątkiem przechowywania, być przetwarzane wyłącznie za wyraźną zgodą osoby fizycznej w celu ustalenia, wykonania lub obrony roszczeń prawnych, w celu ochrony praw innych osób lub w celu wykonania zadania realizowanego w ramach urzędowych czynności EPO (tj. zadania, które jest niezbędne do celów pracy administracyjnej i technicznej, którą EPO jest zobowiązana wykonywać zgodnie z konwencją o patencie europejskim) 122 .
(49) Po piąte, prawo sprzeciwu określono w art. 1B ust. 4 Regulaminu pracowniczego i art. 23 ODO. W szczególności osoby fizyczne mają prawo w każdej chwili wnieść sprzeciw wobec przetwarzania danych osobowych dokonywanego w celu wykonania zadania w ramach wypełniania czynności urzędowych EPO lub w ramach zgodnego z prawem sprawowania władzy publicznej powierzonej administratorowi 123 . Osoby fizyczne należy poinformować o istnieniu takiego prawa w jasny sposób i najpóźniej w momencie pierwszego kontaktu z nimi 124 . W przypadku gdy osoba fizyczna sprzeciwi się przetwarzaniu danych osobowych, przepisy ODO zobowiązują administratora do zaprzestania przetwarzania tych danych osobowych, chyba że wykaże on istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń prawnych 125 .
(50) Po szóste, przepisy ODO gwarantują osobom fizycznym prawo do przenoszenia danych, umożliwiając im uzyskanie własnych danych osobowych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego oraz przekazywanie tych danych innemu administratorowi 126 . Prawo to ma zastosowanie, gdy przetwarzanie odbywa się w sposób zautomatyzowany i na podstawie zgody osoby fizycznej lub w celu wykonania umowy z osobą fizyczną lub w jej interesie 127 .
(51) Wreszcie zgodnie z przepisami ODO osoby fizyczne mają prawo do tego, by nie podlegać zautomatyzowanemu podejmowaniu decyzji, to znaczy decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, co wywołuje wobec tych osób skutki prawne lub w podobny sposób znacząco na nie wpływa 128 . Przepisy ODO stanowią, że zautomatyzowane podejmowanie decyzji może mieć miejsce, gdy opiera się na wyraźnej zgodzie osoby, której dane dotyczą, lub gdy jest to konieczne do zawarcia lub wykonania umowy z osobą fizyczną, w którym to przypadku administrator musi wdrożyć odpowiednie zabezpieczenia, takie jak zapewnienie prawa do interwencji człowieka, wyrażenia stanowiska osób fizycznych i zaskarżenia takiej decyzji 129 . Zautomatyzowane podejmowanie decyzji może być również dozwolone na mocy aktu prawnego, jeżeli akt ten ustanawia odpowiednie środki ochrony praw osób fizycznych 130 . Jeżeli administrator uczestniczy w zautomatyzowanym podejmowaniu decyzji, w tym profilowaniu, ma obowiązek w sposób proaktywny poinformować o tym osobę fizyczną w ramach swoich obowiązków zachowania przejrzystości i przekazać istotne informacje o zasadach podejmowania takich decyzji, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą 131 . Te same informacje należy dostarczyć na żądanie 132 .
2.4.6.2. Ograniczenia praw indywidualnych
(52) Podobnie jak art. 23 rozporządzenia (UE) 2016/679 i art. 25 rozporządzenia (UE) 2018/1725, art. 25 ODO stanowi, że szczegółowe przepisy prawne w ramach prawnych EPO mogą ograniczać stosowanie praw, o których mowa w motywach 43-51 133 (tj. ograniczyć ich stosowanie tymczasowo) 134 , jeżeli takie ograniczenie nie narusza istoty podstawowych praw 135 i wolności oraz jest w demokratycznym społeczeństwie środkiem niezbędnym i proporcjonalnym do ochrony konkretnych celów 136 . Ponadto takie ograniczenie musi być przewidziane w "jasnych i precyzyjnych" przepisach, które mają na celu wywarcie skutków prawnych wobec osób, których dane dotyczą, i które muszą zostać przyjęte co najmniej na szczeblu Prezesa 137 . Przepisy te muszą w szczególności określać cel przetwarzania, zakres ograniczenia, zabezpieczenia zapobiegające nadużyciom oraz okresy przechowywania i mające zastosowanie zabezpieczenia 138 .
(53) Obecnie jedynym instrumentem prawnym, który przewiduje ograniczenia praw indywidualnych, jest okólnik 420 (instrument prawnie wiążący przyjęty przez Prezesa). Wyjaśniono w nim, w jaki sposób i na jakich warunkach administrator może stosować ograniczenia, oraz wyczerpująco określono, w jakich konkretnych sytuacjach i do jakich celów prawa mogą zostać ograniczone 139 . W szczególności przewidziano w nim, że EPO może ograniczać prawa indywidualne w określonych celach szczegółowych: a i b) podczas prowadzenia postępowania przygotowawczego lub dyscyplinarnego wobec swoich pracowników 140 ; c) w kontekście wewnętrznego rozstrzygania sporów lub ustalania, wykonywania lub obrony roszczeń prawnych, w tym w kontekście arbitrażu, w celu zachowania poufnych informacji i dokumentów uzyskanych od stron, interwenientów lub z innych legalnych źródeł; d) podczas przetwarzania danych dotyczących zdrowia podczas procedur medycznych i w dokumentacji medycznej, ale wyłącznie w celu ochrony praw osób fizycznych 141 ; e i f) podczas przeprowadzania audytów i inspekcji wewnętrznych (te ostatnie są przeprowadzane przez IOD); g) do celów zarządzania incydentami informatycznymi i zgłaszania incydentów związanych z bezpieczeństwem fizycznym oraz h) w przypadku udzielania pomocy właściwym organom publicznym, w tym umawiającym się państwom EPO i organizacjom międzynarodowym, lub otrzymywania od nich pomocy, lub podczas współpracy z nimi w zakresie działań określonych w odpowiednich umowach o gwarantowanym poziomie usług, protokołach ustaleń i umowach o współpracy, na ich wniosek lub z własnej inicjatywy Urzędu 142 .
(54) To, czy ograniczenie można zastosować w konkretnym przypadku, jest rozpatrywane przez administratora indywidualnie dla każdego przypadku w świetle istotnych okoliczności 143 . Przy podejmowaniu decyzji o zastosowaniu ograniczenia administrator musi najpierw ocenić jego konieczność i proporcjonalność w konkretnym przypadku, przy udziale IOD 144 . Ocena ta obejmuje zestawienie potencjalnego ryzyka naruszenia praw i wolności osoby, której dane dotyczą, z ryzykiem naruszenia praw i wolności innych osób, których dane dotyczą, oraz z ryzykiem utrudnienia realizacji celu i osiągnięcia wyniku operacji przetwarzania 145 . Ograniczenia muszą być udokumentowane, m.in. przez zapis oceny ograniczonych praw, na jak długo zostały ograniczone, z jakich powodów i na jakiej podstawie 146 . Ponadto dopóki obowiązuje dane ograniczenie, należy stosować odpowiednie środki techniczne i organizacyjne 147 . Wszelkie ograniczenia mogą być stosowane tylko tak długo, jak długo istnieją przyczyny ograniczenia 148 . W przypadku ograniczenia prawa administrator musi poinformować osobę fizyczną o głównych przyczynach tego ograniczenia oraz o prawie do złożenia skargi 149 .
2.4.6.3. Szczegółowe przepisy w kontekście procedury udzielania patentów
(55) Postanowienia traktatu założycielskiego EPO (tj. konwencji o patencie europejskim) i PCT oraz przepisy mające zastosowanie na ich podstawie (wszystkie stanowią prawo pierwotne dla EPO) zawierają pewne szczególne wymogi w kontekście procedury udzielania patentu, które mogą mieć wpływ na wykonywanie niektórych praw na podstawie przepisów ODO 150 . W decyzji z dnia 13 grudnia 2021 r. przedstawiono przegląd tych wymogów prawa pierwotnego, wyjaśniono, w jaki sposób można korzystać z praw osób, których dane dotyczą, w tym kontekście, oraz wyraźnie określono możliwe wyjątki 151 . Okólnik 420 stanowi, że przepisy, które mogą ograniczać stosowanie praw do ochrony danych, muszą jasno określać zakres każdego wyłączenia, a tym samym wyważyć różne wchodzące w grę interesy 152 .
(56) Po pierwsze, zgodnie z art. 127 konwencji o patencie europejskim Urząd jest zobowiązany do prowadzenia Europejskiego Rejestru Patentowego, w którym publikowane są określone prawnie dane osobowe. Zgodnie z prawem pierwotnym zgłoszenia patentowe muszą być opublikowane w trakcie procedury udzielania patentów, zasadniczo możliwie jak najszybciej po upływie osiemnastu miesięcy od daty zgłoszenia. Konwencja o patencie europejskim stanowi, że do danych osobowych zawartych w takich zgłoszeniach patentowych można uzyskać dostęp przez wgląd do akt lub sprawdzenie Rejestru 153 . Przed publikacją zgłoszenia patentowe nie są dostępne do wglądu bez wyraźnej zgody zgłaszającego. Podobne zasady określono w PCT 154 .
(57) Po drugie, możliwość dokonania zmian w informacjach wykorzystywanych w ramach procedury udzielania patentów jest szczegółowo uregulowana w konwencji o patencie europejskim 155 . W szczególności konwencja o patencie europejskim przewiduje jedynie możliwość uzyskania sprostowania błędów w dokumentach złożonych w EPO 156 , sprostowania błędów w decyzjach 157 , korekty tłumaczeń 158 i sprostowania wskazania twórcy 159 . Sprostowanie danych osobowych zawartych w dokumentach wykorzystywanych w procedurze udzielania patentów można zatem uzyskać jedynie w tych przypadkach. To samo dotyczy możliwości uzyskania ograniczenia przetwarzania danych 160 .
(58) Po trzecie, konwencja o patencie europejskim nakłada szczególne wymogi dotyczące przechowywania i publikacji niektórych dokumentów wykorzystywanych w procedurze udzielania patentów, które to wymogi mają wpływ na możliwość usunięcia informacji zawartych w tych dokumentach, w tym danych osobowych 161 . W szczególności opublikowane zgłoszenia patentowe i informacje patentowe publikowane w Europejskim Biuletynie Patentowym muszą być przechowywane i publicznie dostępne 162 . W związku z tym usunięcie danych osobowych zawartych w tych dokumentach byłoby sprzeczne z podstawowymi zobowiązaniami prawnymi EPO (art. 129 lit. a) konwencji o patencie europejskim), więc nie można go uzyskać. Inne akta muszą być przechowywane przez EPO przez okres określony w konwencji o patencie europejskim, który zasadniczo wynosi pięć lat 163 . Dopóki okres ten ma zastosowanie, nie można uzyskać usunięcia informacji zawartych w tych aktach (w tym danych osobowych).
(59) W związku z tym, biorąc pod uwagę w szczególności ich ograniczony zakres i warunki ich stosowania, ograniczenia w wykonywaniu praw wynikające z przepisów, o których mowa w motywach 55-58, można uznać za ograniczone do tego, co jest konieczne i proporcjonalne do zapewnienia prawidłowego funkcjonowania procedury udzielania patentów, zgodnie z wymogami interesu publicznego do celów wypełniania oficjalnych zadań EPO. W zakresie, w jakim konwencja o patencie europejskim i PCT nie regulują konkretnie wykonywania praw do ochrony danych, tzn. we wszystkich sytuacjach innych niż te opisane w motywach 55-58 pełne zastosowanie mają wymogi zawarte w przepisach ODO.
2.4.7. Dalsze przekazywanie
(60) Stopień ochrony zapewnianej danym osobowym przekazywanym z Unii do EPO nie może zostać obniżony wskutek dalszego przekazywania takich danych odbiorcom w państwach trzecich lub innej organizacji międzynarodowej.
(61) W przepisach ODO dokonano rozróżnienia między "przesyłaniem danych osobowych" (tj. udostępnianiem danych przez EPO umawiającym się państwom) a "przekazywaniem danych osobowych" (udostępnianiem danych przez EPO jakiejkolwiek innej osobie lub podmiotowi spoza EPO) 164 .
2.4.7.1. Przesyłanie danych
(62) Po pierwsze, przepisy ODO stanowią, że przesyłanie danych do krajowego urzędu ds. własności intelektualnej umawiającego się państwa EPO może nastąpić, jeżeli dane te są niezbędne do a) wykonywania kompetencji lub władzy publicznej przez odbiorcę i b) przesyłanie danych jest niezbędne do wykonywania oficjalnych zadań/władzy przez EPO 165 . Takie przesyłanie danych odbywa się w kontekście procedury udzielania patentów przewidzianej w konwencji o patencie europejskim i w PCT 166 .
(63) Po drugie, przepisy ODO umożliwiają przesyłanie danych organowi publicznemu umawiającego się państwa EPO 167 , jeżeli dane te są niezbędne do wykonywania zadań tego organu publicznego, a przesyłanie danych jest zgodne z zadaniami i funkcjonowaniem EPO 168 . Takie przesyłanie danych nie jest wyraźnie wymagane na podstawie konwencji o patencie europejskim ani innych instrumentów prawnych regulujących procedurę udzielania patentów, ale może być nadal konieczne do wykonywania zadań EPO, na przykład współpracy EPO z umawiającymi się państwami w procesie konsultacji, delegowania i rozmieszczania ekspertów lub dostarczania informacji na temat pracowników EPO do celów ustalania świadczeń z zabezpieczenia społecznego, wymogów podatkowych itp.
(64) IOD przygotował wzory klauzul, które należy włączyć do protokołów ustaleń regulujących takie przesyłanie danych, opisanych w motywach 62 i 63. Klauzule te m.in. zawierają zasady ochrony danych, ograniczają dalsze przetwarzanie danych tylko w dopuszczalnych celach, zapewniają prawa osób, których dane dotyczą, a także określają obowiązki w zakresie bezpieczeństwa danych, naruszeń danych i niezależnego nadzoru 169 .
(65) W obu przypadkach opisanych w motywach 62 i 63 odbiorca musi, zgodnie z przepisami ODO, przedstawić dowody na to, że przesyłanie danych jest konieczne w konkretnym celu wynikającym z obowiązków EPO w zakresie współpracy z umawiającym się państwem lub umawiającymi się państwami 170 . W odniesieniu do każdego przesyłania danych administrator musi być w stanie wykazać, że jest ono konieczne i proporcjonalne do konkretnego celu, w którym dane są udostępniane 171 . Przesyłanie wszelkich danych musi odbywać się sposób zapewniający utrzymanie poziomu ochrony przewidzianego w przepisach ODO 172 . Zgodnie z wytycznymi wydanymi przez IOD oznacza to, że należy stosować odpowiednie zabezpieczenia, m.in. dane, które mają być udostępniane, należy ograniczyć do minimum i tylko do tego, co jest odpowiednie, istotne i absolutnie niezbędne do osiągnięcia tego celu 173 . Jeżeli istnieją jakiekolwiek przesłanki, aby przypuszczać, że może dojść do naruszenia uzasadnionych interesów danejosoby fizycznej, administrator - po wyważeniu różnych wchodzących w grę interesów - musi wykazać, że przesłanie danych osobowych w tym konkretnym celu jest proporcjonalne 174 .
(66) W odniesieniu do tych dwóch sytuacji należy również zauważyć, że wszystkie umawiające się państwa EPO są stronami europejskiej Konwencji o ochronie praw człowieka i podstawowych wolności i podlegają jurysdykcji Europejskiego Trybunału Praw Człowieka, a także są stronami Konwencji Rady Europy o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych (ETS nr 108).
(67) Ponadto przepisy ODO umożliwiają przesyłanie danych do podmiotu przetwarzającego dane, mającego siedzibę w Europejskim Obszarze Gospodarczym (EOG), pod warunkiem że zapewniona jest zgodność z wymogami określonymi w przepisach ODO, dotyczącymi zaangażowania podmiotów przetwarzających 175 .
2.4.7.2. Przekazywanie danych
(68) Udostępnianie danych osobowych podmiotowi spoza EPO, innemu niż organ publiczny lub krajowy urząd ds. własności intelektualnej umawiających się państw EPO lub podmiot przetwarzający dane w EOG, uznaje się za "przekazanie" danych osobowych, z zastrzeżeniem szczególnych wymogów określonych przepisami ODO 176 . Wymogi te mają zastosowanie na przykład do udostępniania danych podmiotom przetwarzającym spoza EOG, administratorom znajdującym się w umawiających się państwach lub poza nimi, organom publicznym w państwach niebędących umawiającymi się państwami oraz innym organizacjom międzynarodowym. Ogólnie rzecz biorąc, przepisy ODO nakładają wymóg, aby poziom ochrony gwarantowany osobom fizycznym przez EPO nie został naruszony w wyniku przekazywania danych stronom trzecim 177 . Zgodnie z wytycznymi IOD ochrona przekazywanych danych osobowych zapewniana w państwie trzecim lub organizacji międzynarodowej musi być "zasadniczo równoważna ochronie gwarantowanej przepisami ODO" 178 .
(69) Zgodnie z przepisami ODO przekazanie danych osobowych poza EPO może mieć miejsce przede wszystkim, jeżeli państwo, w którym znajduje się odbiorca, lub organizacja międzynarodowa zapewniają odpowiedni poziom ochrony oraz jeżeli przekazanie odbywa się wyłącznie w celu umożliwienia EPO wykonywania zadań wchodzących w zakres jej kompetencji 179 . Decyzję stwierdzającą odpowiedni stopień ochrony podejmuje Prezes 180 , który w razie wątpliwości konsultuje się uprzednio z IOD i ROD 181 . IOD opracował dokument dotyczący "odpowiedniego stopnia ochrony" określający kryteria, na jakich należy oprzeć decyzje stwierdzające odpowiedni stopień ochrony 182 . Ramy prawne państwa trzeciego lub organizacji międzynarodowej muszą w szczególności określać kluczowe zasady ochrony danych, prawa osób, których dane dotyczą, przepisy dotyczące dalszego przekazywania danych, mechanizmy proceduralne i mechanizmy egzekwowania oraz środki odwoławcze dla osób fizycznych. Jeżeli Prezes przyjmie decyzję stwierdzającą odpowiedni stopień ochrony, przekazanie danych może nastąpić bez zastosowania dodatkowych zabezpieczeń 183 . EPO uznaje obecnie, że państwa członkowskie UE, a także Norwegia, Islandia, Liechtenstein, wszystkie państwa, które korzystają z decyzji Komisji stwierdzającej odpowiedni stopień ochrony 184 , oraz instytucje i organy Unii zapewniają odpowiedni poziom ochrony 185 .
(70) Zgodnie z przepisami ODO w przypadku braku decyzji stwierdzającej odpowiedni stopień ochrony administrator lub podmiot przetwarzający mogą przekazać dane osobowe odbiorcom spoza EPO tylko wówczas, gdy zapewnili odpowiednie zabezpieczenia, oraz pod warunkiem, że osoby, których dane dotyczą, dysponują możliwymi do wyegzekwowania prawami i skutecznymi środkami ochrony prawnej 186 . Takie odpowiednie zabezpieczenia mogą być zawarte w porozumieniach administracyjnych z organami publicznymi lub organizacjami międzynarodowymi, w klauzulach umownych (po konsultacji z ROD) 187 lub w mechanizmach certyfikacji 188 . IOD opracował schemat przepisów, które należy uwzględnić w porozumieniach administracyjnych 189 . Dostępny jest również wzór umowy o ochronie danych na potrzeby przekazywania danych podmiotom przetwarzającym 190 . Zgodnie z wytycznymi IOD EPO musi ocenić, czy ramy prawne, któremu podlega podmiot odbierający dane, nie uniemożliwią temu podmiotowi wypełnienia obowiązków wynikających z narzędzia przekazywania danych, i w razie potrzeby musi wprowadzić środki uzupełniające 191 . Aby przeprowadzić tę ocenę, IOD zaleca, aby w notach wyjaśniających EPO dotyczących przesyłania i przekazywania danych osobowych uwzględniono odpowiednie wytyczne EROD i Europejskiego Inspektora Ochrony Danych 192 .
(71) Zgodnie z przepisami ODO w przypadku przekazywania danych do państw lub organizacji korzystających z decyzji stwierdzającej odpowiedni stopień ochrony, a także w przypadku przekazywania danych na podstawie odpowiednich zabezpieczeń EPO musi wykazać konieczność i proporcjonalność każdego przekazania danych do celów ich przetwarzania 193 . Ponadto, po wyważeniu różnych wchodzących w grę interesów, EPO musi stwierdzić, że przekazanie danych jest proporcjonalne, jeżeli istnieją powody, by sądzić, że może dojść do naruszenia
uzasadnionych interesów osób, których dane dotyczą 194 . Ponadto należy zapewnić (za pomocą zabezpieczeń umownych), aby odbiorca mógł przetwarzać lub wykorzystywać dane wyłącznie do celów, w których zostały one przekazane, i aby musiał je usunąć, gdy tylko cel ten zostanie osiągnięty 195 .
(72) Zgodnie z przepisami ODO w przypadku braku decyzji stwierdzającej odpowiedni stopień ochrony lub braku odpowiednich zabezpieczeń przekazywanie danych osobowych poza EPO jest dopuszczalne "wyłącznie w wyjątkowych przypadkach", jeżeli tak zwane "odstępstwo" ma zastosowanie na warunkach podobnych do warunków określonych w odpowiednich przepisach unijnego prawa o ochronie danych 196 . Ma to miejsce w przypadku, gdy a) osoba, której dane dotyczą, wyraźnie wyraziła zgodę na przekazanie danych 197 ; b i c) przekazanie danych jest sporadyczne i niezbędne do wykonania umowy z osobą, której dane dotyczą, lub w jej interesie (lub do wykonania środków przedumownych na wniosek osoby, której dane dotyczą) 198 ; d) przekazanie danych jest niezbędne do wykonania zadania w ramach wypełniania przez EPO czynności urzędowych lub w ramach uzasadnionego wykonywania władzy publicznej powierzonej administratorowi 199 ; e) przekazanie danych jest sporadyczne i niezbędne do ustalenia, dochodzenia lub ochrony roszczeń prawnych 200 ; f) przekazanie danych jest niezbędne do ochrony żywotnych interesów osoby, w przypadku gdy osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia wyraźnej zgody 201 lub g) przekazanie danych następuje z rejestru, który ma służyć za źródło informacji dla ogółu społeczeństwa i który jest dostępny do wglądu dla ogółu obywateli lub dla każdej osoby mogącej wykazać prawnie uzasadniony interes, o ile w danym przypadku spełnione zostały warunki dotyczące wglądu do takiego rejestru 202 . Ze względu na ich charakter i zgodnie z wytycznymi IOD nie można powoływać się na te odstępstwa w przypadku systematycznego, regularnego przekazywania danych 203 .
(73) Ponadto w odniesieniu do przekazywania określonych kategorii danych do państw lub organizacji, które nie korzystają z decyzji stwierdzającej odpowiedni stopień ochrony, Prezes ma prawo jeszcze bardziej ograniczyć takie przekazywanie z ważnych powodów związanych z uzasadnionym wykonywaniem władzy publicznej powierzonej Urzędowi 204 . Dotychczas Prezes nie skorzystał z takich uprawnień.
2.4.8. Rozliczalność
(74) Zgodnie z zasadą rozliczalności podmioty przetwarzające dane są zobowiązane do wdrożenia odpowiednich środków technicznych i organizacyjnych, aby skutecznie przestrzegać swoich obowiązków w zakresie ochrony danych oraz być w stanie wykazać taką zgodność, zwłaszcza wobec właściwego organu nadzorczego.
(75) W art. 4 ust. 1 przepisów ODO ustanowiono ogólną zasadę rozliczalności, która jasno stwierdza, że administrator jest odpowiedzialny za przestrzeganie przepisów ODO i musi być w stanie wykazać zgodność z tymi przepisami. W szczególności administrator musi wdrożyć odpowiednie środki techniczne i organizacyjne w celu zapewnienia i wykazania zgodności z przepisami, z uwzględnieniem charakteru, zakresu, kontekstu i celów przetwarzania danych oraz różnego prawdopodobieństwa i wagi różnych rodzajów ryzyka dla praw osób fizycznych 205 . W tym względzie przepisami ODO wdrożono również zasady ochrony prywatności już w fazie projektowania oraz domyślnej ochrony prywatności, ponieważ nałożono na administratora obowiązek wprowadzenia środków mających na celu wdrożenie zasad ochrony danych i zapewnienie zgodności z przepisami ODO oraz obowiązek zagwarantowania, aby domyślnie przetwarzane były wyłącznie dane osobowe, które są niezbędne do każdego konkretnego celu przetwarzania 206 .
(76) Administrator i podmioty przetwarzające dane muszą prowadzić rejestr czynności przetwarzania, zawierający między innymi informacje na temat celu przetwarzania, kategorii przetwarzanych danych, kategorii odbiorców, którym ujawniane są dane, oraz wszelkich przypadków przekazywania danych osobowych 207 . Rejestry te są co do zasady publicznie dostępne (chyba że zawierają informacje poufne) i zawarte w publicznie dostępnym rejestrze ochrony danych oraz muszą być udostępniane ROD na żądanie 208 . Każda jednostka operacyjna musi też wyznaczyć co najmniej jedną osobę kontaktową ds. ochrony danych (na odnawialną kadencję trwającą od roku do trzech lat), która musi przejść obowiązkowe szkolenie w zakresie ochrony danych i pomagać administratorowi w wypełnianiu jego obowiązków 209 .
(77) Przepisy ODO przewidują ponadto różne instrumenty, które mogą pomóc administratorom i podmiotom przetwarzającym w przestrzeganiu przepisów. Na przykład zgodnie z przepisami ODO przestrzeganie zatwierdzonych mechanizmów certyfikacji może służyć jako dowód zgodności z obowiązkami wynikającymi z ODO 210 . Ponadto, w określonych warunkach, przepisy ODO nakładają wymóg przeprowadzenia oceny skutków dla ochrony danych lub uprzedniej konsultacji z IOD i ROD. Ocena skutków dla ochrony danych jest wymagana w przypadku, gdy dany rodzaj przetwarzania może powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych 211 . Jest to wymagane na przykład w przypadku systematycznej i szeroko zakrojonej oceny aspektów osobistych, na których opierają się zautomatyzowane decyzje, lub w przypadku przetwarzania szczególnych kategorii danych na dużą skalę 212 . Jeżeli ocena skutków wykaże, że przetwarzanie spowodowałoby wysokie ryzyko naruszenia praw i wolności osób fizycznych, i ryzyka tego nie można ograniczyć za pomocą zasadnych środków bezpieczeństwa, administrator musi skonsultować się z ROD 213 . ROD musi udzielić pisemnej porady, jeżeli jest zdania, że zamierzone przetwarzanie stanowiłoby naruszenie przepisów ODO 214 . Bardziej ogólnie, administrator ma obowiązek skonsultować się z IOD podczas przygotowywania przepisów lub dokumentów operacyjnych dotyczących wdrażania ograniczeń praw indywidualnych 215 .
2.5. Nadzór i egzekwowanie przepisów
(78) W celu zapewnienia odpowiedniego stopnia ochrony danych w praktyce, należy ustanowić niezależny organ nadzorczy, któremu powierzone zostaną uprawnienia do monitorowania i egzekwowania zgodności z przepisami o ochronie danych. Wykonując swoje obowiązki i uprawnienia, organ ten działa całkowicie niezależnie i bezstronnie.
(79) W ramach prawnych EPO nadzór nad przestrzeganiem przez EPO przepisów o ochronie danych powierzono dwóm organom: IOD i ROD. Oba te organy zostały utworzone na mocy art. 32A Regulaminu pracowniczego, a ich status i uprawnienia doprecyzowano w przepisach ODO 216 . Ich zadania się uzupełniają i obejmują współpracę, podczas gdy każdy z nich pozostaje niezależny w pełnieniu swoich funkcji.
2.5.1. Niezależność
(80) Zgodnie z Regulaminem pracowniczym IOD i ROD działają całkowicie niezależnie od jakiejkolwiek wewnętrznej lub zewnętrznej ingerencji w wykonywanie ich zadań i korzystanie z ich uprawnień 217 . Zasadę tę uzupełniają różne dodatkowe zabezpieczenia gwarantujące ich niezależność.
(81) IOD (i jego zastępcy) jest powoływany przez Prezesa na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w zakresie ochrony danych 218 . IOD jest mianowany na odnawialną kadencję trwającą od trzech do pięciu lat. Przed proponowanym usunięciem lub odwołaniem IOD z jego funkcji zasięga się opinii ROD 219 . Takie uprzednie konsultacje przed usunięciem lub odwołaniem IOD mają na celu zapewnienie dodatkowej kontroli i przeglądu w przypadku proponowanego usunięcia lub odwołania. Takie usunięcie lub odwołanie może mieć miejsce z jednego z następujących powodów 220 : w przypadku, gdy IOD nie spełnia już warunków wymaganych do wykonywania obowiązków 221 ; w przypadku nienależytego wykonywania obowiązków 222 lub w wyniku zastosowania środków dyscyplinarnych 223 . Przepisy ODO zakładają ponadto, że IOD nie może zostać odwołany ani ukarany za wykonywanie swoich zadań i nie może otrzymywać żadnych instrukcji 224 . IOD musi być zaangażowany we wszystkie kwestie związane z ochroną danych osobowych i wydawać roczne sprawozdania z działalności dla Prezesa i Rady Administracyjnej 225 . Urząd musi zapewnić IOD zasoby niezbędne do wykonywania jego zadań 226 .
(82) W skład ROD wchodzi trzech ekspertów zewnętrznych w dziedzinie ochrony danych, mianowicie przewodniczący i dwóch innych członków 227 , oraz zastępca członka, mianowani przez Prezesa EPO na odnawialną trzyletnią kadencję 228 . Członkowie ROD muszą posiadać kwalifikacje wymagane do mianowania na stanowisko sędziowskie lub być specjalistami w dziedzinie ochrony danych posiadającymi udokumentowaną wiedzę fachową i doświadczenie w dziedzinie prawa ochrony danych zdobyte na szczeblu krajowym lub międzynarodowym. Nie mogą być pracownikami EPO ani zatrudnionymi przez nią w ciągu ostatnich dziesięciu lat 229 . Zgodnie z art. 48 ust. 6 ODO członkowie ROD są w pełni niezależni w sprawowaniu swojej funkcji. W szczególności członkowie ROD nie mogą zwracać się o instrukcje do Urzędu ani Rady Administracyjnej i nie mogą być związani takimi instrukcjami. Regulamin ROD przewiduje również, że przy wykonywaniu swoich zadań musi ona działać w sposób bezstronny i całkowicie niezależny 230 . Ponadto członkowie ROD mogą zostać odwołani z funkcji przez EPO Zob. również art. 13 ust. 4 lit. b) Regulaminu pracowniczego, który stanowi, że "sprawozdanie dotyczące urzędnika na okresie próbnym może zostać sporządzone w każdej chwili w okresie próbnym, jeżeli jego obowiązki, wydajność i sposób postępowania okazują się niewystarczające. Na podstawie sprawozdania lub sprawozdań z okresu próbnego organ powołujący może: - odwołać nowego pracownika w okresie próbnym,
- zdecydować, że pracownik w okresie próbnym, który został przeniesiony lub awansowany, powróci na swoje poprzednie stanowisko lub, jeżeli zostało ono obsadzone, na stanowisko odpowiadające grupie zaszeregowania na poprzednim stanowisku, w odniesieniu do którego spełnia wymogi". jedynie z poważnej przyczyny 231 . Członkowie ROD są zobowiązani do zachowania poufności 232 i muszą wstrzymać się od działania w przypadku konfliktu interesów, w szczególności jeżeli chodzi o interes osobisty 233 . EPO ma obowiązek wspierać ROD w wykonywaniu jej zadań przez zapewnienie jej niezbędnych zasobów, a także wsparcia prawnego i administracyjnego (za pośrednictwem sekretariatu i przez zapewnienie ROD dostępu do danych osobowych i operacji przetwarzania) 234 .
2.5.2. Zadania i uprawnienia
(83) Do zadań IOD należy: informowanie administratora lub podmiotów przetwarzających dane o ich obowiązkach oraz odpowiednie doradzanie im; upowszechnianie wiedzy wśród pracowników zaangażowanych w operacje przetwarzania i zapewnianie im szkoleń; zapewnianie, by osoby, których dane dotyczą, były informowane o prawach przysługujących im na mocy przepisów ODO oraz monitorowanie w niezależny sposób wewnętrznego stosowania przepisów ODO i zgodności z nimi, a także z innymi przepisami prawnymi EPO mającymi wpływ na ochronę danych 235 . Osoby, których dane dotyczą, mogą kontaktować się z IOD we wszelkich kwestiach związanych z przetwarzaniem ich danych lub wykonywaniem przysługujących im praw 236 , a administrator i podmioty przetwarzające mogą konsultować się z IOD we wszelkich sprawach dotyczących interpretacji i stosowania przepisów ODO 237 .
(84) W ramach swojej funkcji nadzorczej IOD jest uprawniony do przeprowadzania kontroli i dochodzeń w sprawie ochrony danych 238 . Kontrole inicjuje IOD zgodnie z rocznym planem kontroli, który jest przygotowywany w porozumieniu z ROD 239 . Kontrola koncentruje się na ocenie rejestrów, oświadczeń i odpowiedniej dokumentacji w zakresie ochrony danych, na przykład w celu weryfikacji dokładności i kompletności dokumentacji dotyczącej ochrony danych, prawidłowego stosowania metod zarządzania ryzykiem, dokładności i terminowości odpowiedzi udzielanych osobom, których dane dotyczą, lub prawidłowego przeprowadzania i liczby ocen skutków dla ochrony danych 240 . Według informacji otrzymanych przez Komisję od IOD w 2023 r. przeprowadzono trzy kontrole, a w 2024 r. - cztery. IOD może wszcząć dochodzenie z własnej inicjatywy, na podstawie wniosku otrzymanego od ROD lub organu w ramach EPO (np. Prezesa lub administratora delegowanego) lub na podstawie informacji otrzymanych w inny sposób (na przykład od stron trzecich i osób fizycznych) 241 . Dochodzenia na wniosek ROD są prowadzone przez IOD w sposób niezależny. ROD ma prawo przekazać uwagi lub wnioskować o dodatkowe dochodzenie w dowolnej kwestii, która mogła się pojawić 242 . Inspekcje koncentrują się na operacjach przetwarzania, ich szczególnych aspektach lub zdarzeniach z nimi związanych i mają na celu zapewnienie, aby przetwarzanie spełniało wymogi przepisów ODO, oraz zapewnienie ochrony praw i wolności osób, których dane dotyczą 243 .
(85) IOD ma dostęp do wszystkich istotnych informacji, w tym do przetwarzanych danych osobowych, a także do wszystkich biur, instalacji przetwarzania danych i nośników danych 244 . Wszyscy pracownicy EPO i jednostki operacyjne są zobowiązani do wspierania IOD w wypełnianiu jego obowiązków, w tym przez zapewnienie dostępu do pomieszczeń i odpowiednich informacji 245 . (6) sześciomiesięcznego okresu pisemnego wypowiedzenia". Ponieważ umowa o świadczenie usług jest regulowana przez prawo niemieckie, pojęcie poważnego powodu należy interpretować zgodnie z § 626 niemieckiego kodeksu cywilnego. Zgodnie z orzecznictwem może to być na przykład powtarzające się i uporczywe naruszanie mających zastosowanie obowiązków (np. dotyczących konfliktu interesów) lub pozbawienie wolności.
(86) Kończąc kontrolę lub dochodzenie, IOD przyjmuje sprawozdanie zawierające ustalenia, wnioski i zalecane działania naprawcze 246 . Takie działania mogą obejmować na przykład: środki zapobiegawcze lub łagodzące mające na celu poprawę przestrzegania przepisów, a także środki mające na celu usunięcie niezgodności (np. zapewnienie zgodności przetwarzania z przepisami ODO, rozpatrywanie wniosków osób, których dane dotyczą, o skorzystanie z przysługujących im praw, zawieszenie lub zakończenie przetwarzania itp.) 247 . IOD może również powiadomić właściwy organ powołujący o niezastosowaniu się do przepisów ODO przez pracowników i zalecić wszczęcie dochodzenia administracyjnego w celu ustalenia, czy konieczne jest podjęcie działań dyscyplinarnych lub innych 248 . Każdy pracownik, który nie przestrzega przepisów ODO, umyślnie lub w wyniku zaniedbania, może podlegać karom dyscyplinarnym lub innym działaniom na podstawie Regulaminu pracowniczego 249 .
(87) Wyniki kontroli i dochodzeń muszą zostać przekazane ROD 250 . Sprawozdanie z kontroli lub dochodzenia należy udostępnić ROD na żądanie. ROD może wypowiadać się na temat sprawozdania IOD, w tym na temat ustaleń IOD, czy doszło do naruszenia przepisów ODO, oraz na temat proponowanych działań naprawczych, a także może wnioskować o podjęcie dodatkowych czynności dochodzeniowych 251 . Jeżeli w wyniku kontroli lub inspekcji przeprowadzonej przez IOD stwierdzono, że doszło do niezgodności (tj. naruszenia przepisów ODO), sprawozdanie IOD musi zostać przedłożone ROD w celu zatwierdzenia wniosków i zalecanych działań naprawczych. W przypadku gdy ROD nie zgadza się z wnioskami IOD lub zalecanymi przez niego działaniami naprawczymi, ROD przekazuje swoje uwagi IOD, m.in. w celu zmiany proponowanych wniosków i zalecanych działań naprawczych, które to uwagi powinny zostać odpowiednio uwzględnione. Działania naprawcze zatwierdzone przez ROD są wiążące dla administratora i administratorów delegowanych i osoby fizyczne mogą się na nie powoływać w ramach mechanizmów dochodzenia roszczeń opisanych w motywie 95 252 . IOD musi zweryfikować wdrożenie działań naprawczych (zasadniczo po upływie sześciu miesięcy od przekazania informacji o nich) i co roku składać Prezesowi sprawozdanie ze stanu ich wdrożenia 253 .
(88) Oprócz egzekwowania przestrzegania przepisów ODO do zadań ROD należy również doradzanie Prezesowi w zakresie przyjmowania decyzji stwierdzających odpowiedni stopień ochrony, doradzanie administratorowi w kwestii konieczności przeprowadzenia oceny skutków dla ochrony danych oraz rozpatrywanie skarg osób fizycznych (zob. motywy 92-96) 254 .
2.6. Dochodzenie roszczeń
(89) W celu zapewnienia odpowiedniej ochrony, a w szczególności egzekwowania praw indywidualnych, osoba, której dane dotyczą, powinna mieć dostęp do skutecznego dochodzenia roszczeń, w tym odszkodowania.
(90) Ramy prawne EPO oferują osobom fizycznym możliwość dochodzenia roszczeń na różne sposoby.
(91) Po pierwsze, osoby, których dane dotyczą, które uważają, że przetwarzanie ich danych osobowych przez EPO narusza ich prawa (tj. narusza przepisy ODO), mogą złożyć wniosek o dokonanie przeglądu przez administratora delegowanego zgodnie z art. 49 ODO. Administrator delegowany rozpatrzy skargę i podejmie decyzję 255 . Przed podjęciem decyzji administrator delegowany musi skonsultować się z IOD, który przedstawia pisemną opinię nie później niż piętnaście dni kalendarzowych od otrzymania wniosku o dokonanie przeglądu 256 . Administrator delegowany musi udzielić danej osobie odpowiedzi w terminie jednego miesiąca od daty otrzymania wniosku 257 .
Decyzja musi zostać przekazana tej osobie wraz z informacją o możliwości skorzystania z dalszych środków odwoławczych 258 . Jeżeli administrator delegowany nie podejmie żadnych działań w terminie trzech miesięcy, uznaje się to za dorozumiane odrzucenie wniosku.
(92) Po drugie, osoby fizyczne mogą zaskarżyć decyzję lub dorozumiane odrzucenie wniosku o dokonanie przeglądu przez administratora delegowanego, składając skargę do ROD 259 .
(93) Podczas rozpatrywania skargi ROD musi wezwać osobę, której dane dotyczą, administratora oraz, w stosownych przypadkach, podmiot przetwarzający dane do przedstawienia na piśmie stanowiska w przedmiocie roszczeń i faktów oraz do przedstawienia dowodów lub uwag i argumentów dotyczących dostępnych dowodów 260 . W tym kontekście ROD może zwrócić się do stron o wszelkie informacje potrzebne do rozpatrzenia skargi i może, dodatkowo, uzyskać dalsze informacje za pośrednictwem IOD 261 . Podejmując decyzję w sprawie niezbędnych działań następczych w związku ze skargą, ROD musi wziąć pod uwagę między innymi charakter i wagę zarzucanego naruszenia, liczbę osób, których dane dotyczą, kategorie danych, których dotyczy skarga, oraz czas trwania naruszenia 262 . ROD może wezwać strony do polubownego rozstrzygnięcia sporu oraz zachęca do takiego rozwiązania i aktywnie działa, aby ułatwić jego zastosowanie 263 . Skarżący może również zwrócić się do ROD o zastosowanie trybu pilnego ze względu na wagę domniemanego naruszenia lub ze względu na powagę ryzyka naruszenia praw jednostek 264 .
(94) Po zbadaniu skargi ROD wydaje administratorowi uzasadnioną opinię zawierającą przedstawienie stanu faktycznego, główne argumenty stron, uwagi ROD i jej zalecenia 265 . W przypadku trybu pilnego ROD musi formalnie wydać uzasadnioną opinię w terminie dwóch miesięcy od złożenia skargi 266 . W uzasadnionej opinii ROD może wydać wszelkie zalecenia, które uzna za konieczne, w tym nakaz sądowy (np. zaprzestanie niezgodnego z prawem przetwarzania danych, usunięcie danych przetwarzanych niezgodnie z prawem), odszkodowanie za szkodę materialną lub niematerialną 267 . Uzasadnioną opinię należy przekazać osobie, której dane dotyczą, i administratorowi (tj. Prezesowi Urzędu, przewodniczącemu Komisji Odwoławczych, przewodniczącemu Rady Administracyjnej lub przewodniczącemu komisji specjalnej, w zależności od tego, czy skarga dotyczy Urzędu, Komisji Odwoławczych, Rady lub komisji specjalnej). Następnie administrator podejmie prawomocną wiążącą decyzję na podstawie uzasadnionej opinii ROD 268 . Prawomocną decyzję przekazuje się osobie, której dane dotyczą, ROD i IOD 269 . Jeżeli administrator miał zdecydować o nieuwzględnieniu co najmniej jednego aspektu uzasadnionej opinii, powinien wyjaśnić to w decyzji 270 .
(95) Osoba, której dane dotyczą, która nie jest zadowolona z decyzji administratora, może się od niej dalej odwołać i w takim odwołaniu odnieść się do uzasadnionej opinii ROD. Pracownicy EPO mogą zaskarżyć decyzję do Trybunału Administracyjnego Międzynarodowej Organizacji Pracy 271 . Każda inna osoba, której dane dotyczą, która nie zgadza się z decyzją administratora, może, w terminie trzech miesięcy od otrzymania decyzji, złożyć do Prezesa wniosek o arbitraż ad hoc 272 . W przepisach ODO przewidziano specjalną procedurę, którą należy zastosować w przypadku arbitrażu ad hoc 273 . W szczególności w terminie trzech miesięcy od otrzymania wniosku osoby, której dane dotyczą, sekretarz generalny Stałego Trybunału Arbitrażowego musi wyznaczyć jednego arbitra na podstawie kryteriów określonych w przepisach ODO 274 . Arbiter musi posiadać kwalifikacje prawne, być dopuszczony do wykonywania zawodu prawniczego w jednym z umawiających się państw EPO, być w stanie wykazać się odpowiednią wiedzą fachową w dziedzinie ochrony danych oraz znać prawo regulujące działalność organizacji międzynarodowych 275 . Oprócz spełnienia tych kryteriów wyznaczona osoba nie mogła pracować dla EPO ani dla osoby, której dane dotyczą, ani świadczyć im usług. Przepisy ODO stanowią, że arbiter musi działać w sposób niezależny i bezstronny 276 , traktować każdą ze stron jednakowo i dać im możliwość przedstawienia swoich argumentów na każdym etapie postępowania 277 . Postępowanie arbitrażowe nie jest jawne 278 i jest regulowane przez konwencję o patencie europejskim, przepisy ODO, w tym wszelkie przepisy wykonawcze, prawo organizacji międzynarodowych oraz zasady prawa międzynarodowego publicznego 279 . Chociaż każda ze stron musi pokryć własne koszty i wydatki związane z zastępstwem prawnym (chyba że arbiter postanowi inaczej), honoraria i wydatki arbitra, koszty ewentualnych porad biegłych i świadków są pokrywane przez EPO 280 . Rozstrzygnięcie sporu musi nastąpić w formie pisemnego orzeczenia arbitrażowego o uzgodnionym brzmieniu, które jest prawomocne i wiążące 281 .
(96) Każda osoba fizyczna, która poniosła szkodę w wyniku naruszenia przepisów ODO, może zwrócić się do EPO o odszkodowanie, korzystając z procedur opisanych w motywach 91-95 282 . EPO nie zostanie pociągnięta do odpowiedzialności, jeżeli udowodni, że nie odpowiada za zdarzenie, które doprowadziło do powstania szkody.
3. DOSTĘP ORGANÓW PUBLICZNYCH DO DANYCH OSOBOWYCH PRZEKAZYWANYCH Z UNII DO EUROPEJSKIEGO URZĘDU PATENTOWEGO I ICH WYKORZYSTYWANIE
(97) Ramy prawne, na podstawie których EPO ocenia wnioski organów publicznych - w umawiających się państwach i w państwach trzecich - dotyczące danych osobowych przetwarzanych przez EPO, i odpowiada na nie, wynikają z Protokołu w sprawie przywilejów i immunitetów (PPI) EPO 283 , wymogów nałożonych przepisami ODO dotyczących przesyłania i przekazywania danych osobowych oraz z prawa międzynarodowego publicznego.
(98) Po pierwsze, przetwarzanie danych osobowych przez EPO do celów oficjalnej działalności jest objęte immunitetami tej organizacji. Immunitety EPO uzupełnia obowiązek współpracy określony w art. 20 PPI. W efekcie wszystkie wnioski organów publicznych umawiających się państw o dostęp do danych przetwarzanych przez EPO są oceniane przez Prezesa zgodnie z (art. 20 ust. 1) PPI, który przewiduje, że EPO "stale współpracuje z właściwymi organami umawiających się państw w celu ułatwienia właściwego działania wymiaru sprawiedliwości, zapewnienia przestrzegania zarządzeń policji oraz przepisów dotyczących zdrowia publicznego, inspekcji pracy lub innych podobnych przepisów krajowych oraz w celu zapobieżenia wszelkim naruszeniom przywilejów, immunitetów i ułatwień przewidzianych w niniejszym Protokole". W drodze wyjątku EPO może zrzec się immunitetu jurysdykcyjnego i egzekucyjnego 284 . Przy podejmowaniu decyzji w sprawie wniosku o współpracę Prezes korzysta z uprawnień dyskrecjonalnych, uwzględniając zgodność takiego wniosku z ramami prawnymi EPO. 285 W rezultacie Urząd może odpowiedzieć na wniosek na podstawie PPI i może ujawnić dane osobowe wyłącznie zgodnie z wymogami dotyczącymi przesyłania danych przewidzianymi w przepisach ODO (zob. motywy 62-67). Zgodnie z przepisami ODO odbiorca musi przedstawić dowody na to, że przesyłanie danych jest konieczne w konkretnym celu wynikającym z obowiązków EPO w zakresie współpracy z umawiającym się państwem lub umawiającymi się państwami 286 . W odniesieniu do każdego przesyłania danych administrator musi być w stanie wykazać, że jest ono konieczne i proporcjonalne do konkretnego celu, w którym to przesyłanie danych się odbywa 287 . Przesyłanie wszelkich danych musi odbywać się sposób zapewniający utrzymanie poziomu ochrony przewidzianego w przepisach ODO 288 . Zgodnie z wytycznymi wydanymi przez IOD oznacza to, że należy stosować odpowiednie zabezpieczenia, m.in. dane, które mają być udostępniane, należy ograniczyć do minimum i tylko do tego, co jest odpowiednie, istotne i absolutnie niezbędne do osiągnięcia tego celu 289 . Jeżeli istnieją jakiekolwiek przesłanki, aby przypuszczać, że może dojść do naruszenia praw i wolności danej osoby fizycznej, administrator - po wyważeniu różnych wchodzących w grę interesów - musi wykazać, że przesłanie danych osobowych w tym konkretnym celu jest proporcjonalne 290 .
(99) Po drugie, nie istnieje żaden instrument prawny mający zastosowanie do EPO, który konkretnie reguluje rozpatrywanie wniosków od organów publicznych państw trzecich (tj. niebędących umawiającą się stroną EPO) o uzyskanie danych przetwarzanych przez EPO. W związku z tym wszelkie ujawnienie danych w odpowiedzi na taki wniosek jest możliwe tylko wtedy, gdy spełnione są wymogi dotyczące międzynarodowego przekazywania danych na podstawie przepisów ODO (jak opisano w motywach 68-73). Ma to miejsce wyłącznie w przypadku przyjęcia decyzji stwierdzającej odpowiedni stopień ochrony w odniesieniu do danego państwa i obejmującej przekazanie danych, jeżeli istnieją odpowiednie zabezpieczenia lub jeżeli zastosowanie ma odstępstwo.
(100) Przestrzeganie PPI przez Prezesa, w tym sposobu rozpatrywania wniosków od organów publicznych o współpracę, podlega nadzorowi Rady Administracyjnej, natomiast spełnienie zawartych w przepisach ODO wymogów dotyczących przesyłania i przekazywania danych osobowych podlega nadzorowi IOD i ROD, jak opisano w motywach 84-88. Osoby fizyczne mogą skorzystać z możliwości dochodzenia roszczeń opisanych w motywach 90-96 i dotyczących przesyłania lub przekazywania danych osobowych z naruszeniem przepisów ODO.
4. WNIOSKI
(101) Komisja uważa, że EPO zapewnia stopień ochrony danych osobowych przekazywanych z Unii, który jest merytorycznie równoważny stopniowi ochrony zagwarantowanemu w rozporządzeniu (UE) 2016/679.
(102) Na podstawie ustaleń niniejszej decyzji należy uznać, że EPO zapewnia odpowiedni stopień ochrony w rozumieniu art. 45 rozporządzenia (UE) 2016/679, interpretowanego w świetle Karty praw podstawowych Unii Europejskiej, danych osobowych przekazywanych z Unii do EPO.
5. SKUTKI NINIEJSZEJ DECYZJI I DZIAŁANIA ORGANÓW OCHRONY DANYCH
(103) Państwa członkowskie i ich organy mają obowiązek stosować środki niezbędne do zapewnienia zgodności z aktami instytucji unijnych, ponieważ domniemywa się, że akty te są zgodne z prawem, a zatem wywołują skutki prawne do chwili ich uchylenia, stwierdzenia ich nieważności w postępowaniu o stwierdzenie nieważności lub orzeczenia o ich nieważności w następstwie wniosku o wydanie orzeczenia w trybie prejudycjalnym lub zarzutu niezgodności z prawem.
(104) Decyzja stwierdzająca odpowiedni stopień ochrony danych osobowych przyjęta przez Komisję na podstawie art. 45 ust. 3 rozporządzenia (UE) 2016/679 jest zatem wiążąca dla wszystkich organów państw członkowskich, do których jest skierowana, w tym ich niezależnych organów nadzorczych. W szczególności przekazywanie danych przez administratora lub podmiot przetwarzający w Unii do EPO może odbywać się bez konieczności uzyskania jakiegokolwiek dodatkowego zezwolenia.
(105) Należy przypomnieć, że zgodnie z art. 58 ust. 5 rozporządzenia (UE) 2016/679 i jak wyjaśnił Trybunał Sprawiedliwości w wyroku w sprawie C-362/14 291 , jeżeli krajowy organ ochrony danych kwestionuje, w tym na podstawie skargi, zgodność wydanej przez Komisję decyzji stwierdzającej odpowiedni stopień ochrony z przysługującymi osobie fizycznej prawami podstawowymi do prywatności i ochrony danych, należy zapewnić w prawie krajowym drogę prawną umożliwiającą tej osobie podniesienie tych zarzutów przed sądem krajowym, który może być zobowiązany do wystąpienia z odesłaniem prejudycjalnym do Trybunału Sprawiedliwości.
6. MONITOROWANIE, ZAWIESZENIE, UCHYLENIE LUB ZMIANA NINIEJSZEJ DECYZJI
(106) Zgodnie z orzecznictwem Trybunału Sprawiedliwości i art. 45 ust. 4 rozporządzenia (UE) 2016/679 Komisja powinna ciągle monitorować istotne zmiany zachodzące w państwie trzecim lub organizacji międzynarodowej po przyjęciu decyzji stwierdzającej odpowiedni stopień ochrony, aby ocenić, czy nadal zapewnia merytorycznie równoważny stopień ochrony. Taka kontrola jest wymagana w każdym przypadku, gdy Komisja otrzyma informacje budzące uzasadnione wątpliwości w tym względzie.
(107) W związku z tym Komisja powinna stale monitorować sytuację w zakresie ram prawnych i rzeczywistej praktyki EPO w odniesieniu do przetwarzania danych osobowych, podlegających ocenie w niniejszej decyzji. W celu ułatwienia tego procesu zachęca się EPO do informowania Komisji o merytorycznych zmianach, które są istotne dla niniejszej decyzji, dotyczących przetwarzania danych osobowych oraz ograniczeń i zabezpieczeń w zakresie dostępu organów publicznych do danych osobowych.
(108) Ponadto, aby Komisja mogła skutecznie realizować funkcję monitorowania, państwa członkowskie powinny informować ją o wszelkich istotnych działaniach podejmowanych przez ich krajowe organy ochrony danych, zwłaszcza w odniesieniu do zapytań lub skarg osób z Unii, których dane dotyczą, na temat przekazywania danych osobowych z Unii do EPO.
(109) W zastosowaniu art. 45 ust. 3 rozporządzenia (UE) 2016/679 oraz w świetle tego, że stopień ochrony zapewniany w ramach prawnych EPO może ulec zmianie, Komisja po przyjęciu niniejszej decyzji powinna okresowo oceniać, czy ustalenia odnoszące się do adekwatności stopnia ochrony gwarantowanego przez EPO są nadal faktycznie i prawnie uzasadnione. Taką ocenę należy przeprowadzać co najmniej raz na cztery lata w odniesieniu do wszystkich aspektów obowiązywania niniejszej decyzji, w tym funkcjonowania odpowiednich mechanizmów nadzoru i egzekwowania.
(110) W celu przeprowadzenia tej oceny Komisja powinna odbyć spotkanie z EPO, w tym z jego IOD i ROD. Uczestnictwo w tym spotkaniu powinno być otwarte dla przedstawicieli członków Europejskiej Rady Ochrony Danych. W ramach tej oceny Komisja powinna wystąpić do EPO o przedłożenie wyczerpujących informacji na temat wszystkich aspektów istotnych dla ustalenia dotyczącego stwierdzenia odpowiedniego stopnia ochrony. Komisja powinna również zwracać się o wyjaśnienia dotyczące wszelkich informacji istotnych dla niniejszej decyzji, w tym otrzymanych od EROD, poszczególnych organów ochrony danych i organizacji społeczeństwa obywatelskiego, a także informacji publicznie dostępnych, doniesień medialnych oraz informacji z innych dostępnych źródeł.
(111) Na podstawie tej oceny Komisja powinna przygotować ogólnodostępne sprawozdanie, które przedłoży Parlamentowi Europejskiemu i Radzie.
(112) W przypadku gdy z dostępnych informacji, w szczególności informacji uzyskanych w wyniku monitorowania przez Komisję - zgodnie z art. 45 ust. 4 rozporządzenia (UE) 2016/679 - zmian mogących wpłynąć na obowiązywanie niniejszej decyzji lub informacji przedstawionych przez EPO lub organy państw członkowskich wynika, że stopień ochrony zapewniany przez EPO może nie być już odpowiedni, Komisja powinna powiadomić o tym EPO i zwrócić się o zastosowanie właściwych środków w określonym, rozsądnym terminie.
(113) Jeśli po upływie tego określonego terminu EPO nie zastosuje tych środków lub w inny zadowalający sposób nie wykaże, że stopień ochrony będący podstawą niniejszej decyzji jest nadal odpowiedni, Komisja rozpocznie procedurę, o której mowa w art. 93 ust. 2 rozporządzenia (UE) 2016/679, w celu częściowego lub całkowitego zawieszenia lub uchylenia niniejszej decyzji.
(114) Ewentualnie Komisja rozpocznie tę procedurę w celu zmiany decyzji, zwłaszcza przez uzależnienie przekazywania danych od spełnienia dodatkowych warunków lub ograniczenie zakresu ustalenia dotyczącego stwierdzenia odpowiedniego stopnia ochrony wyłącznie do przekazywania danych, co do których zapewnia się ciągłość odpowiedniego stopnia ochrony.
(115) Komisja powinna również rozważyć wszczęcie procedury prowadzącej do zmiany, zawieszenia lub uchylenia niniejszej decyzji, jeżeli w kontekście przeglądu lub w innym przypadku EPO nie przedłoży informacji lub wyjaśnień wymaganych do oceny stopnia ochrony zapewnianego w odniesieniu do danych osobowych przekazywanych z Unii albo do oceny zgodności z niniejszą decyzją. W tej kwestii Komisja powinna uwzględnić również zakres, w jakim właściwe informacje można uzyskać z innych źródeł.
(116) W należycie uzasadnionych, szczególnie pilnych przypadkach Komisja skorzysta z możliwości przyjęcia - zgodnie z procedurą, o której mowa w art. 93 ust. 3 rozporządzenia (UE) 2016/679 - aktów wykonawczych mających natychmiastowe zastosowanie, zawieszających, uchylających lub zmieniających niniejszą decyzję.
7. UWAGI KOŃCOWE
(117) Europejska Rada Ochrony Danych opublikowała swoją opinię 292 , która została uwzględniona podczas przygotowywania niniejszej decyzji.
(118) Środki przewidziane w niniejszej decyzji są zgodne z opinią Komitetu ustanowionego na podstawie art. 93 ust. 1 rozporządzenia (UE) 2016/679,
PRZYJMUJE NINIEJSZĄ DECYZJĘ:
Sporządzono w Brukseli dnia 15 lipca 2025 r.
Senat zgłosił w środę poprawki do reformy orzecznictwa lekarskiego w ZUS. Zaproponował, aby w sprawach szczególnie skomplikowanych możliwe było orzekanie w drugiej instancji przez grupę trzech lekarzy orzeczników. W pozostałych sprawach, zgodnie z ustawą, orzekać będzie jeden. Teraz ustawa wróci do Sejmu.
10.12.2025
Mimo iż do 1 stycznia zostały trzy tygodnie, przedsiębiorcy wciąż nie mają pewności, które zmiany wejdą w życie w nowym roku. Brakuje m.in. rozporządzeń wykonawczych do KSeF i rozporządzenia w sprawie JPK VAT. Część ustaw nadal jest na etapie prac parlamentu lub czeka na podpis prezydenta. Wiadomo już jednak, że nie będzie dużej nowelizacji ustaw o PIT i CIT. W 2026 r. nadal będzie można korzystać na starych zasadach z ulgi mieszkaniowej i IP Box oraz sprzedać bez podatku poleasingowy samochód.
10.12.2025
Komitet Stały Rady Ministrów wprowadził bardzo istotne zmiany do projektu ustawy przygotowanego przez Ministerstwo Rodziny, Pracy i Polityki Społecznej – poinformował minister Maciej Berek w czwartek wieczorem, w programie „Pytanie dnia” na antenie TVP Info. Jak poinformował, projekt nowelizacji ustawy o PIP powinien trafić do Sejmu w grudniu 2025 roku, aby prace nad nim w Parlamencie trwały w I kwartale 2026 r.
05.12.2025
4 grudnia Komitet Stały Rady Ministrów przyjął projekt zmian w ustawie o PIP - przekazało w czwartek MRPiPS. Nie wiadomo jednak, jaki jest jego ostateczny kształt. Jeszcze w środę Ministerstwo Zdrowia informowało Komitet, że zgadza się na propozycję, by skutki rozstrzygnięć PIP i ich zakres działał na przyszłość, a skutkiem polecenia inspektora pracy nie było ustalenie istnienia stosunku pracy między stronami umowy B2B, ale ustalenie zgodności jej z prawem. Zdaniem prawników, to byłaby kontrrewolucja w stosunku do projektu resortu pracy.
05.12.2025
Przygotowany przez ministerstwo pracy projekt zmian w ustawie o PIP, przyznający inspektorom pracy uprawnienie do przekształcania umów cywilnoprawnych i B2B w umowy o pracę, łamie konstytucję i szkodzi polskiej gospodarce – ogłosili posłowie PSL na zorganizowanej w czwartek w Sejmie konferencji prasowej. I zażądali zdjęcia tego projektu z dzisiejszego porządku posiedzenia Komitetu Stałego Rady Ministrów.
04.12.2025
Prezydent Karol Nawrocki podpisał we wtorek ustawę z 7 listopada 2025 r. o zmianie ustawy o ochronie zwierząt. Jej celem jest wprowadzenie zakazu chowu i hodowli zwierząt futerkowych w celach komercyjnych, z wyjątkiem królika, w szczególności w celu pozyskania z nich futer lub innych części zwierząt. Zawetowana została jednak ustawa zakazująca trzymania psów na łańcuchach. Prezydent ma w tym zakresie złożyć własny projekt.
02.12.2025| Identyfikator: | Dz.U.UE.L.2025.1382 |
| Rodzaj: | Decyzja |
| Tytuł: | Decyzja wykonawcza 2025/1382 w sprawie odpowiedniej ochrony danych osobowych przez Europejską Organizację Patentową na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 |
| Data aktu: | 15/07/2025 |
| Data ogłoszenia: | 18/07/2025 |
| Data wejścia w życie: | 18/07/2025 |