(1)

I forordning (EU) 2016/679 fastsættes reglerne for overførsel af personoplysninger fra en dataansvarlig eller databehandler i Unionen til tredjelande og internationale organisationer, i det omfang overførslen falder inden for forordningens anvendelsesområde. Reglerne om internationale dataoverførsler er fastsat i kapitel V (artikel 44-50) i nævnte forordning. Strømmen af personoplysninger til og fra lande og internationale organisationer uden for EU er af afgørende betydning for udbygningen af den grænseoverskridende samhandel og det internationale samarbejde, men det beskyttelsesniveau, som personoplysninger sikres i Unionen, må ikke undermineres af overførsler til tredjelande og internationale organisationer (2).

(2)

I henhold til artikel 45, stk. 3, i forordning (EU) 2016/679 kan Kommissionen ved hjælp af en gennemførelsesretsakt fastslå, at et tredjeland, et område eller en eller flere specifikke sektorer i et tredjeland eller en international organisation sikrer et tilstrækkeligt beskyttelsesniveau. På denne betingelse kan overførsel af personoplysninger til en international organisation finde sted uden yderligere godkendelse, jf. artikel 45, stk. 1, i forordning (EU) 2016/679 og betragtning 103 til samme forordning.

(3)

Som omhandlet i artikel 45, stk. 2, i forordning (EU) 2016/679 skal vedtagelsen af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet finde sted på grundlag af en omfattende analyse af den international organisations retlige ordning, både hvad angår de regler, der finder anvendelse på dataimportøren, og de begrænsninger og garantier, der gælder med hensyn til offentlige myndigheders adgang til personoplysninger. Kommissionen skal i sin vurdering afgøre, om den pågældende internationale organisation sikrer et beskyttelsesniveau, som »i det væsentlige svarer« til det, der sikres i Unionen (3). Den standard, som dette væsentlighedskriterium vurderes på grundlag af, er den, der er fastsat i EU-lovgivningen, navnlig forordning (EU) 2016/679, samt Den Europæiske Unions Domstols retspraksis (4). Det Europæiske Databeskyttelsesråds »reference vedrørende et tilstrækkeligt beskyttelsesniveau« er også af betydning i denne forbindelse for yderligere at præcisere denne standard og yde vejledning (5).

(4)

Som Domstolen har præciseret, kan et tredjeland eller en international organisation ikke pålægges at sikre et beskyttelsesniveau, der er identisk med det, der er sikret i Unionens retsorden (6). Det betyder navnlig, at de midler, som tredjelandet eller den internationale organisation anvender til at beskytte personoplysninger, kan være forskellige fra de midler, som anvendes inden for Unionen, så længe de i praksis viser sig at være effektive med henblik på at sikre et tilstrækkeligt beskyttelsesniveau (7). Standarden for tilstrækkelighed er derfor ikke, at EU-reglerne duplikeres afsnit for afsnit. Testen består snarere i, om det udenlandske system som helhed gennem indholdet af retten til privatlivets fred og databeskyttelsesgarantier (herunder deres effektive gennemførelse, tilsyn og håndhævelse) samt gennem omstændighederne omkring en overførsel af personoplysninger sikrer det krævede beskyttelsesniveau (8).

(5)

Kommissionen har analyseret Den Europæiske Patentorganisations retlige rammer og praksis. På grundlag af konklusionerne i betragtning 7-100 konkluderer Kommissionen, at Den Europæiske Patentorganisation (EPO) sikrer tilstrækkelig beskyttelse af personoplysninger, som inden for rammerne af forordning (EU) 2016/679 overføres fra Unionen til EPO.

(6)

I henhold til denne afgørelse kan overførsler fra dataansvarlige og databehandlere i Unionen til Den Europæiske Patentorganisation finde sted, uden at det er nødvendigt at indhente yderligere tilladelse. Denne afgørelse bør ikke berøre den direkte anvendelse af forordning (EU) 2016/679 på sådanne enheder, hvis betingelserne vedrørende det territoriale anvendelsesområde i nævnte forordnings artikel 3 er opfyldt.

(7)

Den Europæiske Patentorganisation er en mellemstatslig organisation, der blev oprettet den 7. oktober 1977 på grundlag af den europæiske patentkonvention (EPK). Organisationen har hjemsted i München og har 39 kontraherende stater, der omfatter alle Unionens medlemsstater, Island, Norge og Liechtenstein samt Albanien, Nordmakedonien, Monaco, San Marino, Serbien, Schweiz, Montenegro, Det Forenede Kongerige og Tyrkiet (9).

(8)

Organisationen har status som juridisk person (10) og består af to organer (11): Den Europæiske Patentmyndighed (Patentmyndigheden) og Administrationsrådet. EPO's hovedopgave er at meddele europæiske patenter (12) i overensstemmelse med EPK, hvilket foretages af Patentmyndigheden under tilsyn af Administrationsrådet. Administrationsrådet består af repræsentanter for de kontraherende stater og udøver lovgivende beføjelser på vegne af EPO. Det er også ansvarligt for politiske spørgsmål og fører tilsyn med Patentmyndighedens aktiviteter (13). Patentmyndigheden, der fungerer som EPO's udøvende organ, ledes af en formand (14), som leder Patentmyndigheden (formanden) og står til ansvar over for Administrationsrådet (15). Formanden udarbejder og gennemfører bl.a. Patentmyndighedens budget, udnævner og fører tilsyn med Patentmyndighedens personale, udøver disciplinærmyndighed over personalet, sikrer Patentmyndighedens funktion, herunder vedtagelse af interne administrative instrukser og information til offentligheden, og kan forelægge Administrationsrådet ethvert forslag til ændring af konventionen, almindelige bestemmelser eller afgørelser, der falder ind under dets kompetence (16). Patentmyndigheden består af forskellige afdelinger, herunder en modtagelsesafdeling, en juridisk afdeling, undersøgelses- og indsigelsesafdelinger og appelkamrene (et internt uafhængigt organ, for hvilket afgørelser truffet af EPO i forbindelse med proceduren for meddelelse af patenter kan påklages) (17).

(9)

I forbindelse med udførelsen af sine opgaver modtager EPO personoplysninger fra en række forskellige aktører i Unionen. Løbende indgives europæiske patentansøgninger (18) til EPO af patentansøgere eller sendes til EPO af nationale patentmyndigheder i medlemsstaterne (19). EPO modtager og behandler også personoplysninger i forbindelse med de opgaver, den har fået pålagt i henhold til Europa-Parlamentets og Rådets forordning (EU) nr. 1257/2012 (20). Disse opgaver omfatter modtagelse og behandling af anmodninger om europæiske patenters ensartede retsvirkning, opkrævning af årlige gebyrer og registrering af ensartet retsvirkning (21). I den forbindelse modtager EPO også anmodninger om igangværende klager ved Patentmyndighedens appelkamre (22) fra Den Fælles Patentdomstol, som kan indeholde personoplysninger, der er nødvendige for at identificere den relevante sag (23).

(10)

På samme måde modtager EPO personoplysninger indeholdt i internationale patentansøgninger, når den handler i henhold til patentsamarbejdstraktaten (PCT), en international traktat, der giver ansøgere mulighed for at opnå patenter med virkning for alle PCT-kontraherende stater (24). EPO fungerer som international nyhedsundersøgende myndighed under PCT og gennemgår i denne egenskab patenterbarheden af opfindelser, der offentliggøres i internationale ansøgninger, hvilket hjælper ansøgere med at afgøre, om de skal indgive en ansøgning om en tilbundsgående undersøgelse på nationalt plan/EU-plan (25).

(11)

Desuden arbejder EPO tæt sammen med de nationale patentmyndigheder i alle medlemsstater inden for rammerne af et »europæisk patentnetværk« og udveksler i den forbindelse personoplysninger med dem, f.eks. i forbindelse med uddannelseskurser og IT-tjenester for at støtte og styrke samarbejdet inden for rammerne af EPK. EPO har ligeledes indgået bilaterale samarbejdsaftaler med medlemsstaterne, der omfatter udveksling af personoplysninger, f.eks. i forbindelse med nedsættelse af arbejdsgrupper, udstationering og udsendelse af tekniske eksperter osv. Den arbejder også tæt sammen med Den Europæiske Unions Kontor for Intellektuel Ejendomsret (EUIPO), f.eks. ved at gennemføre fælles uddannelseskurser og oplysningsarrangementer og udsende eksperter.

(12)

Endelig har EPO kontrakter med flere tjenesteudbydere i Unionen, der fungerer som databehandler som omhandlet i artikel 4, nr. 8), i forordning (EU) 2016/679 og overfører personoplysninger til EPO.

(13)

Den primære lovgivning, der regulerer EPO's aktiviteter, er fastsat ved en international traktat, dvs. den europæiske patentkonvention, og, når EPO handler i henhold til patentsamarbejdstraktaten, ved sidstnævnte. På et andet trin i det normhierarki, der finder anvendelse på EPO, er retsakter vedtaget af Administrationsrådet eller, for så vidt angår PCT, af PCT-forsamlingen. EPO's sekundære lovgivning omfatter gennemførelsesbestemmelser til EPK og de såkaldte Service Regulations (vedtægt, som regulerer aspekter vedrørende EPO's personale, herunder personalets rettigheder og forpligtelser) (26). Retten til beskyttelse af personoplysninger er fastsat i artikel 1B i Service Regulations (27), som også indeholder centrale bestemmelser i EPO's databeskyttelsesramme, dvs. vedrørende databeskyttelsesrammens anvendelsesområde, beskyttelsen af særlige kategorier af oplysninger og fysiske personers udøvelse af rettigheder. Ved artikel 2, stk. 1, og artikel 32A i Service Regulations indføres der uafhængige tilsynsmekanismer (databeskyttelsesrådgiveren og Databeskyttelsesrådet (DPB)) med henblik på at føre tilsyn med overholdelsen af DPR (28).

(14)

De samme materielle krav til beskyttelse af personoplysninger gælder for Administrationsrådet og Patentmyndigheden samt alle deres afdelinger. Navnlig er Patentmyndighedens behandling af personoplysninger reguleret af gennemførelsesbestemmelserne til artikel 1B og 32A i Service Regulations for Permanent and Other Employees of the European Patent Office on the Protection of Personal Data (vedtægten for tjenestemænd og øvrige ansatte ved Den Europæiske Patentmyndighed om beskyttelse af personoplysninger — Data Protection Rules — DPR), som er vedtaget af Administrationsrådet (29). Administrationsrådets behandling af personoplysninger er underlagt Administrationsrådets databeskyttelsesregler (Administrative Council — AC DPR), som tilsvarende anvender DPR (30). Når der i denne afgørelse henvises til DPR, omfatter henvisningerne de tilsvarende krav, der gælder for Administrationsrådet, dets sekretariat og dets komitéer. DPR's struktur og indhold er nøje afstemt med EU's databeskyttelsesramme (31). DPR har navnlig mange fællestræk med Europa-Parlamentets og Rådets forordning (EU) 2018/1725 (32), som fastsætter databeskyttelseskrav for Unionens institutioner og organer og dermed er velegnet til internationale organisationers specifikke struktur og karakteristika, og som samtidig nøje afspejler forordning (EU) 2016/679.

(15)

For så vidt angår Patentmyndighedens databehandling har formanden udstedt yderligere juridisk bindende instrumenter som f.eks. cirkulærer, afgørelser og interne administrative instrukser (33). DPR suppleres navnlig af formandens afgørelse af 13. december 2021 om behandling af personoplysninger i patentsager og dermed forbundne sager (PGP-afgørelsen) (34), afgørelse af 7. december 2022 om behandling af personoplysninger i sager vedrørende europæiske patenter med ensartet retsvirkning (UP-afgørelsen) (35), afgørelse af 17. november 2022 om lande og enheder, der anses for at sikre tilstrækkelig beskyttelse af personoplysninger (36), afgørelse af 2. maj 2024 om udpegelse af Patentmyndighedens operationelle enheder, der fungerer som delegerede dataansvarlige (37), og cirkulære 420, som omhandler gennemførelse af artikel 25 i DPR om begrænsninger af registreredes rettigheder (cirkulære 420) (38). Med hensyn til navnlig behandling af oplysninger i forbindelse med procedurer for meddelelse af patenter er det vigtigt at bemærke, at kravene til behandling af personoplysninger, der er fastsat direkte i EPK og PCT, har forrang for DPR. Samspillet mellem EPK og PCT på den ene side og DPR på den anden side er præciseret i PGP-afgørelsen (39) og UP-afgørelsen. De specifikke databeskyttelseskrav, der følger direkte af EPK og PCT, vurderes i betragtning 55-59. DPR og deres supplerende instrumenter er juridisk bindende og kan håndhæves, og de kan påberåbes af fysiske personer over for uafhængige prøvelsesmekanismer, som beskrevet i betragtning 89-96.

(16)

Reglerne i de retlige instrumenter, der er nævnt i betragtning 15, operationaliseres yderligere i instrumenter, der udstedes af databeskyttelsesrådgiveren (se betragtning 83-88) (40), og som gælder for Administrationsrådet og Patentmyndigheden samt alle deres afdelinger (41).

(17)

I henhold til DPR og Service Regulations (42) skal alle ansatte i EPO overholde DPR, når de behandler personoplysninger. DPR's materielle og personelle anvendelsesområde bestemmes af de deri definerede begreber »personoplysninger«, »behandling«, »dataansvarlig«, »delegeret dataansvarlig« og »databehandler«.

(18)

Definitionerne af »personoplysninger« og »behandling« i DPR er identiske med definitionerne i forordning (EU) 2016/679 (43). DPR finder anvendelse på enhver behandling af personoplysninger foretaget af EPO, uanset om en sådan behandling vedrører personoplysninger om EPO's egne ansatte eller oplysninger om andre personer (44). Oplysninger, der har været genstand for pseudonymisering (45), betragtes også som personoplysninger, mens oplysninger om afdøde personer eller juridiske personer eller anonyme oplysninger (46) ikke behandles som personoplysninger i henhold til DPR (47).

(19)

DPR finder anvendelse på EPO's behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og på anden ikkeautomatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register (48).

(20)

I DPR defineres en »dataansvarlig« som »en enhed, nemlig Den Europæiske Patentmyndighed, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger« (49). Formanden fungerer i princippet som dataansvarlig for de databehandlingsaktiviteter, der udføres af Patentmyndigheden (50). Det samme gælder for Administrationsrådet (hvor formanden fungerer som dataansvarlig), appelkamrene, når de handler i deres egenskab af domstol (hvor formanden fungerer som dataansvarlig (51)), og den særlige komité (hvor formanden fungerer som dataansvarlig (52)). Den dataansvarlige kan delegere denne beføjelse til operationelle enheder, der er repræsenteret ved en overordnet leder (53). I sådanne tilfælde fungerer de operationelle enheder som »delegerede dataansvarlige« (54), der definerer formålet med (f.eks. årsag, begrundelse og forretningsmæssige behov) og midlerne til en behandlingsaktivitet og sikrer, at alle behandlingsaktiviteter, der omfatter personoplysninger, er i overensstemmelse med DPR (55). I sådanne tilfælde er den dataansvarlige fortsat ansvarlig for behandlingen af personoplysninger. DPR indeholder også bestemmelser om et scenarie med »fælles dataansvar«, hvor en dataansvarlig fastlægger formålet med og midlerne til behandling sammen med en eller flere dataansvarlige uden for EPO (56).

(21)

Definitionen af »databehandler« i DPR er identisk med definitionen i artikel 4, nr. 8), i forordning (EU) 2016/679, dvs. en fysisk eller juridisk person, en offentlig myndighed, en institution eller enhver anden enhed, der behandler personoplysninger på vegne af den dataansvarlige (57). Den dataansvarlige må kun anvende databehandlere, der giver tilstrækkelige garantier for, at der vil blive gennemført passende tekniske og organisatoriske foranstaltninger for at sikre, at behandlingen opfylder kravene i DPR (58). Forholdet mellem den dataansvarlige og en databehandler skal være reguleret af en kontrakt eller et retligt dokument, der er bindende for databehandleren, og som bl.a. fastsætter genstanden for, varigheden af, arten af og formålet med behandlingen (59). Databehandleren må kun behandle oplysningerne efter dokumenteret instruks fra den dataansvarlige. Databehandleren er forpligtet til at bistå den dataansvarlige med at opfylde dennes forpligtelser i henhold til DPR. Databehandleren må ikke inddrage underdatabehandlere uden forudgående tilladelse fra den dataansvarlige (60). En standarddatabehandleraftale er tilgængelig for delegerede dataansvarlige (61). Hvis en databehandler er etableret i et tredjeland, skal enhver deling af personoplysninger med den pågældende databehandler desuden også opfylde kravene i DPR til internationale overførsler som beskrevet i betragtning 68-73 til denne afgørelse (62).

(22)

Enhver behandling af personoplysninger bør være lovlig og rimelig.

(23)

Disse generelle principper er fastsat i artikel 4, stk. 2, litra a), i DPR på en måde, der kan betragtes som identisk med artikel 5, stk. 1, litra a), i forordning (EU) 2016/679.

(24)

Princippet om lovlighed videreudvikles i artikel 5 i DPR, som indeholder en liste over de retsgrundlag, hvorpå personoplysninger kan behandles. Disse retsgrundlag er a) nødvendigheden af at udføre en opgave som led i EPO's officielle virksomhed (63) eller under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt, hvilket omfatter den behandling, der er nødvendig for Patentmyndighedens forvaltning og funktion (64), b) nødvendigheden af at overholde en retlig forpligtelse, som påhviler den dataansvarlige (f.eks. offentliggørelse af oplysninger, der er nævnt i en patentansøgning, i det europæiske patentregister) (65), c) nødvendigheden af at opfylde en kontrakt, som den registrerede er part i, eller at træffe foranstaltninger på den registreredes anmodning forud for indgåelsen af en kontrakt, d) den registreredes samtykke eller e) nødvendigheden af at beskytte den registreredes eller en anden fysisk persons vitale interesser.

(25)

Samtykke defineres i DPR på samme måde som i forordning (EU) 2016/679, dvs. »enhver frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede, hvorved den registrerede ved erklæring eller klar bekræftelse indvilliger i, at personoplysninger, der vedrører den pågældende, gøres til genstand for behandling« (66). Det er op til den dataansvarlige at påvise, at den registrerede har givet sit samtykke (67). Ved vurderingen af, om samtykke er givet frivilligt, bør der tages hensyn til, om opfyldelsen af en kontrakt er gjort betinget af samtykke til behandling af personoplysninger, som ikke er nødvendig for opfyldelse af denne kontrakt (68). Samtykke kan ikke anses for at være givet frivilligt, hvis den registrerede ikke har et reelt eller frit valg eller ikke kan afvise eller tilbagetrække sit samtykke, uden at det er til skade for den pågældende (69). For at sikre, at samtykket er informeret, skal den registrerede i henhold til DPR som minimum være bekendt med den dataansvarliges identitet og formålene med den behandling, som personoplysningerne skal bruges til (70). Endelig har den registrerede til enhver tid ret til at trække sit samtykke tilbage (71).

(26)

Der bør være specifikke garantier, når »særlige kategorier« af oplysninger behandles.

(27)

DPR indeholder særlige regler for behandling af særlige kategorier af personoplysninger (72), som defineres på samme måde som i forordning (EU) 2016/679, dvs. »personoplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold samt behandling af genetiske oplysninger (73), biometriske oplysninger (74) med det formål entydigt at identificere en fysisk person, helbredsoplysninger (75) eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering« (76). I henhold til DPR er behandling af særlige kategorier af oplysninger i princippet forbudt, medmindre der gælder en specifik undtagelse (77).

(28)

De specifikke undtagelser, der er anført i artikel 11, stk. 2, i DPR, svarer til undtagelserne i artikel 9, stk. 2 og 3, i forordning (EU) 2016/679 med nogle få tilpasninger til den retlige ramme, som EPO opererer inden for. Behandling af særlige kategorier af personoplysninger er kun tilladt under særlige og begrænsede omstændigheder (78), dvs. hvor 1) den registrerede har givet sit udtrykkelige samtykke, 2) behandlingen er nødvendig for at beskytte en persons vitale interesser (hvis den registrerede fysisk eller juridisk ikke er i stand til at give udtrykkeligt samtykke), 3) personoplysningerne tydeligvis er blevet offentliggjort af den registrerede, 4) behandlingen er nødvendig til et specifikt formål som led i EPO's officielle virksomhed eller som led i den legitime myndighedsudøvelse, som den dataansvarlige har fået pålagt (79), eller 5) behandlingen er nødvendig for, at retskrav kan fastlægges, gøres gældende eller forsvares.

(29)

Ud over de særlige kategorier af personoplysninger, der er omhandlet i betragtning 27, kræver DPR også specifik beskyttelse af behandlingen af personoplysninger vedrørende straffedomme og lovovertrædelser, dvs. ved kun at tillade en sådan behandling efter forudgående høring af DPB, eller hvis behandlingen er påkrævet i henhold til et retligt bindende instrument, der giver de fornødne garantier for fysiske personers rettigheder og frihedsrettigheder (80).

(30)

Personoplysninger skal behandles til et specifikt formål og efterfølgende udelukkende bruges, såfremt dette ikke er uforeneligt med behandlingsformålet.

(31)

Dette princip er sikret i artikel 4, stk. 2, litra b), i DPR, hvorefter personoplysninger skal »indsamles til udtrykkeligt angivne og legitime formål og må ikke viderebehandles på en måde, der er uforenelig med disse formål«.

(32)

I lighed med forordning (EU) 2016/679 tillader DPR yderligere behandling (uanset om formålet med den videre behandling er foreneligt med det oprindelige formål) på grundlag af den registreredes udtrykkelige samtykke eller på grundlag af EPO's gældende retlige bestemmelser (81). I sidstnævnte tilfælde kræver DPR, at behandlingen skal være en nødvendig og forholdsmæssig foranstaltning med henblik på at beskytte et mål af almen interesse (82).

(33)

Hvis viderebehandling ikke er baseret på disse to grunde, indeholder DPR bestemmelser om de faktorer, der skal tages i betragtning ved vurderingen af, om formålet med viderebehandling er foreneligt med det formål, som personoplysningerne oprindeligt blev indsamlet til (83). Denne tilgang og de faktorer, der er anført i DPR, er identiske med dem, der er fastsat i artikel 6, stk. 4, i forordning (EU) 2016/679 og artikel 6 i forordning (EU) 2018/1725 (84).

(34)

Personoplysninger skal være korrekte og om nødvendigt ajourførte. De skal være tilstrækkelige og relevante og ikke for omfattende i forhold til de formål, hvortil de behandles, og de må i princippet ikke opbevares i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil de behandles.

(35)

Disse principper er fastsat i artikel 4, stk. 2, litra c), d) og e), i DPR på samme måde som i forordning (EU) 2016/679.

(36)

Personoplysninger bør også behandles på en måde, der værner om deres sikkerhed, idet de bl.a. beskyttes mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse. Med henblik herpå bør de erhvervsdrivende træffe passende tekniske eller organisatoriske foranstaltninger for at beskytte personoplysninger mod mulige trusler. Disse foranstaltninger bør vurderes under hensyntagen til det aktuelle tekniske niveau og de relaterede omkostninger.

(37)

Datasikkerhed er nedfældet i EPO's retlige ramme gennem princippet om integritet og fortrolighed, der er fastsat i artikel 4, stk. 2, litra f), og artikel 33 i DPR, på næsten samme måde som i forordning (EU) 2016/679. I henhold til DPR skal der navnlig sikres et sikkerhedsniveau, der er passende i forhold til risikoen, ved hjælp af relevante tekniske og organisatoriske foranstaltninger under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder.

(38)

Desuden indeholder DPR specifikke krav til håndtering og anmeldelse af brud på datasikkerheden (85). For det første skal den dataansvarlige underrette databeskyttelsesrådgiveren om et brud på datasikkerheden uden unødig forsinkelse (og om muligt senest 72 timer efter at have fået kendskab til det), medmindre bruddet sandsynligvis ikke vil medføre en risiko for fysiske personers rettigheder og frihedsrettigheder (86). En databehandler er ligeledes forpligtet til uden unødig forsinkelse at underrette den dataansvarlige om et brud (87). Underretningen skal navnlig indeholde en beskrivelse af karakteren af bruddet på datasikkerheden, dets sandsynlige konsekvenser og de foranstaltninger, der er truffet eller foreslås truffet for at afhjælpe bruddet (88). Når et brud på datasikkerheden sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, skal den dataansvarlige uden unødig forsinkelse underrette den registrerede om bruddet på datasikkerheden (89). Underretningen af den registrerede skal i et klart og forståeligt sprog beskrive karakteren af bruddet på persondatasikkerheden (90) og er ikke påkrævet, hvis den dataansvarlige har truffet efterfølgende foranstaltninger, der sikrer, at den høje risiko for de registreredes rettigheder og frihedsrettigheder sandsynligvis ikke længere er reel (91).

(39)

De registrerede skal informeres om de vigtigste elementer i behandlingen af deres personoplysninger.

(40)

I overensstemmelse med DPR skal den dataansvarlige på det tidspunkt, hvor personoplysningerne indhentes, give de registrerede oplysninger, navnlig om den dataansvarliges identitet og kontaktoplysninger (samt databeskyttelsesrådgiverens kontaktoplysninger), formålet med behandlingen og retsgrundlaget herfor, modtagerne eller kategorierne af modtagere, det forhold, at den dataansvarlige har til hensigt at overføre oplysningerne uden for EPO, samt gældende rettigheder og muligheden for prøvelse (92). Det samme gælder, når personoplysninger behandles til et andet formål end det, hvortil oplysningerne blev indsamlet (93). Begge forpligtelser gælder kun, hvis den pågældende person endnu ikke har oplysningerne (94).

(41)

De samme oplysninger skal gives til de registrerede, når personoplysninger ikke indsamles direkte fra dem, sammen med yderligere oplysninger om kilden til personoplysningerne og de pågældende kategorier af oplysninger (95). Sådanne oplysninger skal gives inden for en rimelig frist efter indsamlingen af oplysningerne (men senest inden for en måned) under hensyn til de specifikke forhold, som oplysningerne er behandlet under (96). Hvis personoplysninger skal bruges til at kommunikere med den registrerede, bør de samme oplysninger gives senest på tidspunktet for den første kommunikation med den registrerede (97). De oplysninger, der er omhandlet i betragtning 40, skal også gives forud for enhver yderligere behandling eller, hvis der påtænkes videregivelse til en anden modtager, senest når personoplysninger videregives til tredjemand (98). Denne forpligtelse finder ikke anvendelse i en række tilfælde, dvs. når en registreret allerede er i besiddelse af de pågældende oplysninger, hvis disse oplysninger skal forblive fortrolige som følge af tavshedspligt i henhold til EPK og/eller andre lovbestemmelser, der gælder for EPO (99), hvis meddelelse af sådanne oplysninger viser sig umulig eller vil kræve en uforholdsmæssigt stor indsats, navnlig i forbindelse med behandling til arkivformål, til videnskabelige eller historiske forskningsformål eller til statistiske formål, eller i det omfang denne forpligtelse vil gøre det umuligt eller i alvorlig grad vil hindre opfyldelse af formålene med behandlingen, eller hvis indsamling eller videregivelse af disse oplysninger udtrykkeligt er fastsat i EPK eller andre gældende lovbestemmelser, som fastsætter passende foranstaltninger til beskyttelse af den registreredes legitime interesser (100).

(42)

Registrerede bør have visse rettigheder, som kan gøres gældende over for den dataansvarlige eller databehandleren, navnlig retten til indsigt i oplysninger, retten til berigtigelse, retten til at gøre indsigelse mod behandlingen og retten til at få oplysninger slettet. Samtidig kan sådanne rettigheder være underlagt begrænsninger, for så vidt som disse begrænsninger er nødvendige og forholdsmæssige for at beskytte vigtige mål af almen interesse.

(43)

Nødvendigheden af at lette udøvelsen af individuelle rettigheder er fastsat i artikel 1B, stk. 4, i Service Regulations. For yderligere at gennemføre dette krav giver DPR fysiske personer de samme rettigheder som dem, der er fastsat i forordning (EU) 2016/679, nemlig en ret til indsigt (artikel 18 i DPR), en ret til berigtigelse (artikel 19 i DPR), en ret til sletning (artikel 20 i DPR), en ret til begrænsning af behandling (artikel 21 i DPR), en ret til dataportabilitet (artikel 22 i DPR), en ret til indsigelse (artikel 23 i DPR) og en ret til ikke at være genstand for automatiske afgørelser (artikel 24 i DPR).

(44)

DPR indeholder også generelle bestemmelser om behandling af anmodninger om udøvelse af rettigheder fra fysiske personer og kræver, at den dataansvarlige kommunikerer med de registrerede i et klart og enkelt sprog i en kortfattet, gennemsigtig, letforståelig og lettilgængelig form (skriftligt eller på anden måde) (101). Den dataansvarlige skal give fysiske personer oplysninger om de foranstaltninger, der er truffet som svar på en anmodning, uden unødig forsinkelse og under alle omstændigheder senest en måned efter modtagelsen af anmodningen (som kan forlænges med yderligere to måneder, hvis det er nødvendigt i betragtning af kompleksiteten og antallet af anmodninger) (102). Hvis anmodninger fra en registreret er åbenbart grundløse eller overdrevne, især fordi de gentages, kan den dataansvarlige afvise at efterkomme anmodningen (103). Hvis den dataansvarlige ikke reagerer på en anmodning, skal den pågældende underrettes herom og oplyses om muligheden for prøvelse (104).

(45)

For så vidt angår retten til indsigt giver DPR for det første fysiske personer ret til at få EPO's bekræftelse på, om personoplysninger vedrørende dem behandles, og i givet fald adgang til personoplysningerne (105) og med rimelige mellemrum (106). Desuden har fysiske personer ret til at få oplysninger, navnlig om formålet med behandlingen, de pågældende kategorier af oplysninger, de modtagere, som oplysningerne deles med, og det påtænkte tidsrum, hvori oplysningerne vil blive opbevaret (107).

(46)

For det andet giver den ret til berigtigelse, der er fastsat i DPR, i henhold til DPR fysiske personer mulighed for at få berigtiget ukorrekte oplysninger eller fuldstændiggjort ufuldstændige oplysninger (f.eks. ved at fremlægge en supplerende erklæring) (108). Når berigtigelsen har fundet sted, er den dataansvarlige forpligtet til at meddele den til hver modtager, som personoplysningerne er blevet videregivet til (109). I henhold til DPR finder retten til berigtigelse anvendelse på objektive og faktuelle oplysninger og ikke på subjektive erklæringer (110), selv om fysiske personer i dette tilfælde kan supplere eksisterende dataoplysninger med en anden vurdering eller andre sagkyndige udtalelser eller fremsætte bemærkninger (111).

(47)

For det tredje giver DPR også fysiske personer ret til sletning (112), navnlig hvis a) personoplysningerne ikke længere er nødvendige til det formål, hvortil de behandles, b) den registrerede trækker sit samtykke tilbage, og der ikke er et andet retsgrundlag for behandlingen, c) den registrerede gør indsigelse mod behandlingen, og der ikke foreligger legitime grunde til behandlingen, d) oplysningerne er blevet behandlet ulovligt, e) eller oplysningerne skal slettes for at overholde en retlig forpligtelse, der gælder for den dataansvarlige (113). Den dataansvarlige skal meddele enhver sletning til hver modtager, som oplysningerne er blevet delt med, medmindre dette viser sig umuligt eller er uforholdsmæssigt vanskeligt (114). Hvis den dataansvarlige har offentliggjort personoplysningerne, skal denne ligeledes træffe rimelige foranstaltninger til at underrette andre dataansvarlige, der behandler dem, om, at den registrerede har anmodet om sletning (115). Retten til sletning gælder ikke for følgende scenarier, i det omfang behandlingen af oplysningerne er nødvendig, a) for at udøve retten til ytrings- og informationsfrihed, b) for overholdelse af en retlig forpligtelse for EPO eller en forpligtelse, der følger af EPO's forpligtelse til at samarbejde med sine kontraherende stater (116) eller for udøvelse af offentlig myndighed, som EPO er blevet pålagt (117), c) af hensyn til samarbejdet med de kontraherende stater på folkesundhedsområdet (118), d) til arkivformål, til videnskabelige eller historiske forskningsformål eller til statistiske formål, eller i det omfang denne forpligtelse vil gøre det umuligt eller i alvorlig grad vil hindre opfyldelse af formålene med behandlingen, eller e) for at retskrav kan fastlægges, gøres gældende eller forsvares (119).

(48)

For det fjerde fastsættes der i artikel 21 i DPR en ret til begrænsning af behandling, dvs. mærkning af personoplysninger med henblik på at begrænse fremtidig behandling heraf (herunder foranstaltninger, der permanent forhindrer adgang til sådanne oplysninger) (120). Denne ret kan navnlig påberåbes, hvis personoplysningernes rigtighed bestrides af den registrerede (i en periode, der kræves af den dataansvarlige for at kontrollere rigtigheden), eller hvis behandlingen er ulovlig, men den registrerede modsætter sig sletning af oplysningerne (121). Hvis behandlingen er begrænset, må personoplysninger, med undtagelse af opbevaring, kun behandles med den registreredes udtrykkelige samtykke, med henblik på at retskrav kan fastlægges, gøres gældende eller forsvares, for at beskytte andres rettigheder eller for at udføre en opgave som led i EPO's officielle virksomhed (dvs. en opgave, der er nødvendig for det administrative og tekniske arbejde, som EPO skal udføre i henhold til EPK) (122).

(49)

For det femte er der fastsat en ret til indsigelse i artikel 1B, stk. 4, i Service Regulations og artikel 23 i DPR. Fysiske personer har navnlig til enhver tid ret til at gøre indsigelse mod behandling af personoplysninger, der foretages med henblik på udførelse af en opgave som led i EPO's officielle virksomhed eller som led i den legitime myndighedsudøvelse, som den dataansvarlige har fået pålagt (123). Fysiske personer skal informeres om eksistensen af en sådan ret på en klar måde og senest på tidspunktet for den første kommunikation med dem (124). Hvis en person gør indsigelse mod behandlingen af personoplysninger, skal den dataansvarlige i henhold til DPR indstille behandlingen, medmindre den dataansvarlige kan påvise vægtige legitime grunde til behandlingen, der går forud for den registreredes interesser, rettigheder og frihedsrettigheder, eller behandlingen er nødvendig for, at retskrav kan fastlægges, gøres gældende eller forsvares (125).

(50)

For det sjette fastsætter DPR en ret til dataportabilitet, der giver fysiske personer mulighed for at modtage deres personoplysninger i et struktureret, almindeligt anvendt og maskinlæsbart format og videregive disse oplysninger til en anden dataansvarlig (126). En sådan ret gælder, når behandlingen foretages elektronisk og finder sted på grundlag af den registreredes samtykke eller med henblik på opfyldelse af en kontrakt med eller i den registreredes interesse (127).

(51)

Endelig har fysiske personer i henhold til DPR ret til ikke at være genstand for automatiske afgørelser, dvs. afgørelser, der udelukkende er baseret på automatisk behandling, herunder profilering, som har retsvirkning eller på tilsvarende vis væsentligt påvirker den pågældende (128). DPR fastsætter, at automatiske afgørelser kan tillades, hvis de er baseret på den registreredes udtrykkelige samtykke, eller hvis de er nødvendige for at indgå eller opfylde en kontrakt med den fysiske person, i hvilket tilfælde den dataansvarlige skal indføre fornødne garantier, f.eks. ved at give den registrerede mulighed for at bestride afgørelsen, fremsætte sit synspunkt og få foretaget en menneskelig vurdering (129). Automatiske afgørelser kan også tillades ved en retsakt, hvis den pågældende retsakt fastsætter passende foranstaltninger til beskyttelse af fysiske personers rettigheder (130). Hvis den dataansvarlige benytter automatiske afgørelser, herunder profilering, skal vedkommende proaktivt informere den registrerede herom som led i sine gennemsigtighedsforpligtelser og give meningsfulde oplysninger om den involverede logik samt betydningen og de forventede konsekvenser af en sådan behandling for den registrerede (131). De samme oplysninger skal gives efter anmodning (132).

(52)

I lighed med artikel 23 i forordning (EU) 2016/679 og artikel 25 i forordning (EU) 2018/1725 fastsættes det i artikel 25 i DPR, at specifikke retlige bestemmelser i EPO's retlige ramme kan begrænse anvendelsen af de rettigheder, der er omhandlet i betragtning 43-51 (133) (dvs. begrænse deres anvendelse midlertidigt) (134), når en sådan begrænsning respekterer det væsentligste indhold af de grundlæggende rettigheder (135) og frihedsrettigheder og er en nødvendig og forholdsmæssig foranstaltning i et demokratisk samfund for at sikre specifikke mål (136). En begrænsning skal desuden fastsættes i »klare og præcise« bestemmelser, der har til formål at skabe retsvirkninger over for de registrerede, og som skal vedtages på mindst formandsniveau (137). I sådanne bestemmelser skal navnlig formålet med behandlingen, begrænsningens omfang, de garantier, der skal forhindre misbrug, og opbevaringsperioderne og de gældende garantier fastsættes (138).

(53)

Det eneste retlige instrument, der indeholder begrænsninger af individuelle rettigheder, er på nuværende tidspunkt cirkulære 420 (et juridisk bindende instrument vedtaget af formanden). Det præciserer, hvordan og på hvilke betingelser den dataansvarlige kan anvende begrænsninger, og fastlægger på en udtømmende måde de specifikke scenarier, hvor rettigheder kan begrænses, og med henblik på hvilke mål (139). Det fastsættes navnlig, at EPO kan begrænse individuelle rettigheder med henblik på visse specifikke mål: a) og b) ved gennemførelse af undersøgelses- eller disciplinærsager vedrørende sit personale (140), c) i forbindelse med intern tvistbilæggelse eller fastlæggelse, udøvelse eller forsvar af retskrav, herunder voldgift, for at beskytte fortrolige oplysninger og dokumenter, der er indhentet fra parterne, intervenienterne eller andre legitime kilder, d) ved behandling af helbredsoplysninger i medicinske procedurer og journaler, men kun for at beskytte fysiske personers rettigheder (141), e og f) ved gennemførelse af interne revisioner og inspektioner (sidstnævnte udføres af databeskyttelsesrådgiveren), g) med henblik på håndtering af IT-hændelser og indberetninger af fysiske sikkerhedshændelser, og h) når EPO yder eller modtager bistand til eller fra kompetente offentlige myndigheder, herunder fra EPO's kontraherende stater og internationale organisationer, eller når EPO samarbejder med dem om aktiviteter, der er defineret i relevante serviceleveranceaftaler, aftalememoranda og samarbejdsaftaler, enten på deres anmodning eller på Patentmyndighedens eget initiativ (142).

(54)

Hvorvidt en begrænsning kan anvendes i et specifikt tilfælde, skal afgøres af den dataansvarlige i individuelle tilfælde i lyset af de relevante omstændigheder (143). Ved afgørelsen af, om en begrænsning skal anvendes eller ej, skal den dataansvarlige først vurdere nødvendigheden og proportionaliteten heraf i det specifikke tilfælde med inddragelse af databeskyttelsesrådgiveren (144). Denne vurdering indebærer en afvejning af de potentielle risici for den registreredes rettigheder og frihedsrettigheder i forhold til andre registreredes risici og frihedsrettigheder og risiciene for at hindre formålet med og resultatet af behandlingen (145). Begrænsninger skal dokumenteres, herunder ved at registrere vurderingen af de begrænsede rettigheder, hvor længe, af hvilke årsager og på hvilket grundlag (146). Så længe en begrænsning gælder, skal der desuden træffes passende tekniske og organisatoriske foranstaltninger (147). Enhver begrænsning kan kun anvendes, så længe årsagerne til begrænsningen er til stede (148). Hvis en rettighed begrænses, skal den dataansvarlige underrette den registrerede om de vigtigste grunde hertil og om retten til at indgive en klage (149).

(55)

Bestemmelserne i traktaten om oprettelse af EPO (dvs. EPK), PCT og de bestemmelser, der finder anvendelse i henhold hertil (som alle udgør primær lovgivning for EPO), indeholder visse specifikke krav i forbindelse med proceduren for meddelelse af patent, som kan påvirke udøvelsen af visse rettigheder i henhold til DPR (150). PGP-afgørelsen giver et overblik over disse krav i den primære lovgivning, forklarer, hvordan de registreredes rettigheder kan udøves i den forbindelse, og fastsætter klart mulige undtagelser (151). I henhold til cirkulære 420 skal de bestemmelser, der kan begrænse anvendelsen af databeskyttelsesrettigheder, klart identificere anvendelsesområdet for enhver undtagelse og derfor afveje de forskellige interesser, der er på spil (152).

(56)

For det første er Patentmyndigheden i henhold til artikel 127 i EPK forpligtet til at føre det europæiske patentregister, hvor visse retligt definerede personoplysninger offentliggøres. I henhold til den primære ret skal patentansøgninger generelt offentliggøres under proceduren for meddelelse af patenter hurtigst muligt efter udløbet af en periode på 18 måneder fra ansøgningsdatoen. I henhold til EPK kan personoplysninger, der indgår i sådanne patentansøgninger, enten tilgås ved aktindsigt eller ved kontrol af registret (153). Før offentliggørelse er patentansøgninger ikke tilgængelige for kontrol uden ansøgerens udtrykkelige samtykke. Lignende regler er fastsat i PCT (154).

(57)

For det andet er muligheden for at opnå ændringer af oplysninger, der anvendes i forbindelse med en procedure for meddelelse af patenter, specifikt reguleret af EPK (155). Navnlig giver EPK kun mulighed for at få foretaget berigtigelse af fejl i dokumenter, der er indgivet til EPO (156), berigtigelse af fejl i afgørelser (157), rettelser af oversættelser (158) og berigtigelse af opfinderbetegnelsen (159). Berigtigelse af personoplysninger i dokumenter, der anvendes i proceduren for meddelelse af patenter, kan derfor også kun opnås i disse tilfælde. Det samme gælder muligheden for at opnå en begrænsning af databehandlingen (160).

(58)

For det tredje pålægger EPK specifikke opbevarings- og offentliggørelseskrav for visse dokumenter, der anvendes i proceduren for meddelelse af patenter, hvilket har indvirkning på muligheden for at få slettet oplysninger deri, herunder personoplysninger (161). Navnlig skal offentliggjorte patentansøgninger og patentoplysninger, der offentliggøres i Den Europæiske Patenttidende, opbevares og holdes offentligt tilgængelige (162). Som følge heraf ville sletning af personoplysninger i disse dokumenter være i strid med EPO's grundlæggende retlige forpligtelser (artikel 129, litra a), i EPK) og kan ikke opnås. Andre sagsakter skal opbevares af EPO i en periode, der er fastsat i EPK, og som i princippet er fem år (163). Så længe denne periode gælder, kan sletning af oplysninger i disse filer (herunder personoplysninger) ikke opnås.

(59)

I betragtning af navnlig deres begrænsede anvendelsesområde og betingelser for deres anvendelse kan de begrænsninger i udøvelsen af rettigheder, der følger af de bestemmelser, der er omhandlet i betragtning 55-58, derfor anses for at være begrænset til, hvad der er nødvendigt og forholdsmæssigt for at sikre, at proceduren for meddelelse af patenter fungerer korrekt, som det kræves i offentlighedens interesse for udførelsen af EPO's officielle opgaver. I det omfang EPK og PCT ikke specifikt regulerer udøvelsen af databeskyttelsesrettigheder, dvs. i alle andre scenarier end dem, der er beskrevet i betragtning 55-58, finder kravene i DPR fuld anvendelse.

(60)

Beskyttelsesniveauet for personoplysninger, der overføres fra Unionen til EPO, må ikke undergraves ved videreoverførsel af sådanne oplysninger til modtagere i et tredjeland eller en anden international organisation.

(61)

I DPR sondres der mellem »videregivelse af personoplysninger« (dvs. EPO's videregivelse af oplysninger til de kontraherende stater) og »overførsel af personoplysninger« (EPO's deling af oplysninger med enhver anden person eller enhed uden for EPO) (164).

(62)

For det første må oplysninger i henhold til DPR kun videregives til en national myndighed for intellektuel ejendomsret i en EPO-kontraherende stat, a) hvis oplysningerne er nødvendige for udførelsen af modtagerens kompetence eller udøvelse af offentlig myndighed, og b) hvis videregivelsen er nødvendig for udførelsen af EPO's officielle opgaver/myndighed (165). Disse videregivelser finder sted inden for rammerne af den procedure for meddelelse af patent, der er fastsat i EPK og PCT (166).

(63)

For det andet tillader DPR videregivelse af oplysninger til en offentlig myndighed i en kontraherende stat i EPO (167), hvis oplysningerne er nødvendige for udførelsen af denne offentlige myndigheds opgaver, og overførslen er forenelig med EPO's opgaver og funktion (168). Sådanne videregivelser er ikke specifikt påkrævet i henhold til EPK eller andre retlige instrumenter, der regulerer proceduren for meddelelse af patenter, men kan stadig være nødvendige for udførelsen af EPO's opgaver, f.eks. EPO's samarbejde med sine kontraherende stater gennem høringer, udstationering og udsendelse af eksperter eller tilvejebringelse af oplysninger om EPO's personale med henblik på fastlæggelse af sociale ydelser, skattemæssige krav osv.

(64)

Databeskyttelsesrådgiveren har udarbejdet standardbestemmelser, der skal indgå i aftalememoranda om sådanne videregivelser, som er beskrevet i betragtning 62 og 63, og som bl.a. fastsætter databeskyttelsesprincipper, begrænser yderligere behandling til kun forenelige formål, fastsætter registreredes rettigheder samt forpligtelser med hensyn til datasikkerhed og brud på datasikkerheden og uafhængigt tilsyn (169).

(65)

I begge de scenarier, der er beskrevet i betragtning 62 og 63, skal modtageren i henhold til DPR fremlægge dokumentation for, at det er nødvendigt at få videregivet oplysningerne til et specifikt formål, der følger af EPO's forpligtelser til at samarbejde med den eller de kontraherende stater (170). Den dataansvarlige skal for hver videregivelse kunne påvise, at en sådan videregivelse er nødvendig og står i et rimeligt forhold til det specifikke formål, hvortil den deles (171). Enhver overførsel af data skal ske på en måde, der sikrer, at det beskyttelsesniveau, som DPR giver, opretholdes (172). I henhold til vejledningen fra databeskyttelsesrådgiveren betyder dette, at der skal være passende garantier, herunder ved at sikre, at det kræves, at de oplysninger, der skal deles, minimeres og begrænses til, hvad der er passende, relevant og strengt nødvendigt for at nå dette formål (173). Hvis der er grund til at antage, at den berørte persons legitime interesser kan blive berørt, skal den dataansvarlige godtgøre, at det er forholdsmæssigt at videregive personoplysningerne til dette specifikke formål efter at have afvejet de forskellige interesser, der er på spil (174).

(66)

Med hensyn til disse to scenarier skal det også bemærkes, at alle EPO's kontraherende stater er parter i den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder, der er underlagt Den Europæiske Menneskerettighedsdomstols kompetence, samt i Europarådets konvention om beskyttelse af det enkelte menneske i forbindelse med elektronisk databehandling af personoplysninger (ETS nr. 108).

(67)

Endelig giver DPR mulighed for videregivelse af oplysninger til en databehandler, der er beliggende i Det Europæiske Økonomiske Samarbejdsområde (EØS), forudsat at det sikres, at kravene i DPR vedrørende brug af databehandlere overholdes (175).

(68)

Udveksling af personoplysninger med enheder uden for EPO, bortset fra en offentlig myndighed eller en national myndighed for intellektuel ejendomsret i EPO's kontraherende stater eller en databehandler i EØS, betragtes som en »overførsel« af personoplysninger, der er underlagt specifikke krav i henhold til DPR (176). Disse krav gælder f.eks. for udveksling af oplysninger med databehandlere uden for EØS, dataansvarlige i eller uden for kontraherende stater, offentlige myndigheder i ikkekontraherende stater og andre internationale organisationer. Generelt kræver DPR, at det beskyttelsesniveau, som EPO garanterer fysiske personer, ikke undergraves, når oplysninger overføres til tredjeparter (177). Ifølge databeskyttelsesrådgiverens vejledning »skal den beskyttelse, der ydes de overførte personoplysninger i tredjelandet eller den internationale organisation, i det væsentlige svare til den beskyttelse, der garanteres i DPR« (178).

(69)

I henhold til DPR kan en overførsel af personoplysninger uden for EPO først og fremmest finde sted, hvis det land, hvor modtageren befinder sig, eller den internationale organisation sikrer et tilstrækkeligt beskyttelsesniveau, og hvis overførslen udelukkende foretages for at gøre det muligt for EPO at udføre opgaver inden for dens kompetenceområde (179). Formanden vedtager en afgørelse om tilstrækkeligheden af beskyttelsesniveauet (180) og træffer i tvivlstilfælde afgørelse efter høring af databeskyttelsesrådgiveren og DPB (181). Databeskyttelsesrådgiveren har udarbejdet en »referenceramme for tilstrækkelighed« med kriterier for afgørelser om tilstrækkeligheden af beskyttelsesniveauet (182). Tredjelandets eller den internationale organisations retlige ramme skal navnlig indeholde centrale databeskyttelsesprincipper, registreredes rettigheder, regler om videreoverførsel, procedure- og håndhævelsesmekanismer og prøvelsesadgang for fysiske personer. Hvis formanden vedtager en afgørelse om tilstrækkeligheden af beskyttelsesniveauet, kan overførslen finde sted uden gennemførelse af yderligere garantier (183). Medlemsstaterne samt Norge, Island og Liechtenstein, alle lande, der er omfattet af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet fra Kommissionen (184), og Unionens institutioner og organer anses i øjeblikket af EPO for at sikre et tilstrækkeligt beskyttelsesniveau (185).

(70)

I henhold til DPR må den dataansvarlige eller databehandleren, hvis der ikke er vedtaget en afgørelse om tilstrækkeligheden af beskyttelsesniveauet, kun overføre personoplysninger til modtagere uden for EPO, hvis den dataansvarlige eller databehandleren har givet de fornødne garantier, og på betingelse af at registreredes rettigheder, der kan håndhæves, og effektive retsmidler for registrerede er tilgængelige (186). Sådanne fornødne garantier kan indgå i administrative ordninger med offentlige myndigheder eller internationale organisationer, i kontraktbestemmelser (efter høring af DPB) (187) eller i certificeringsmekanismer (188). Databeskyttelsesrådgiveren har udarbejdet en oversigt over bestemmelser, der skal indgå i administrative ordninger (189). Der findes også en standarddatabeskyttelsesaftale for overførsler til databehandlere (190). I henhold til vejledningen fra databeskyttelsesrådgiveren skal EPO vurdere, om dataimportøren vil blive forhindret i at opfylde sine forpligtelser i henhold til et overførselsværktøj på grund af den retlige ramme, den er underlagt, og om nødvendigt træffe supplerende foranstaltninger (191). For at foretage denne vurdering anbefaler databeskyttelsesrådgiveren i EPO's forklarende note om videregivelse og overførsel af personoplysninger, at der tages hensyn til relevant vejledning fra DPB og Den Europæiske Tilsynsførende for Databeskyttelse (192).

(71)

I henhold til DPR skal EPO for så vidt angår dataoverførsler til lande eller organisationer, der er omfattet af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet, samt for så vidt angår dataoverførsler på grundlag af de fornødne garantier, påvise nødvendigheden og proportionaliteten af hver overførsel med henblik på behandlingen (193). Desuden skal EPO, efter at have afvejet de forskellige interesser, der er på spil, fastslå, at overførslen er forholdsmæssig, hvis der er grund til at antage, at de registreredes legitime interesser kan blive skadet (194). Det skal endvidere sikres (gennem kontraktlige garantier), at modtageren kun må behandle eller anvende oplysningerne til de formål, hvortil de blev overført, og at denne skal slette oplysningerne, så snart formålet er nået (195).

(72)

I henhold til DPR er overførsel af personoplysninger uden for EPO, hvis der ikke er vedtaget en afgørelse om tilstrækkeligheden af beskyttelsesniveauet, eller de fornødne garantier ikke foreligger, kun »undtagelsesvis« tilladt, hvis en såkaldt »undtagelse« finder anvendelse på samme betingelser som dem, der er fastsat i de tilsvarende bestemmelser i EU's databeskyttelseslovgivning (196). Dette er tilfældet, når a) den registrerede udtrykkeligt har givet sit samtykke til overførslen (197), b og c) overførslen er lejlighedsvis og nødvendig af hensyn til opfyldelsen af en kontrakt med den registrerede eller i denne interesse (eller af hensyn til gennemførelsen af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelsen af en sådan kontrakt (198)), d) overførslen er nødvendig for udførelsen af en opgave som led i EPO's officielle virksomhed eller som led i den legitime udøvelse af offentlig myndighed, som den dataansvarlige har fået pålagt (199), e) overførslen er lejlighedsvis og nødvendig for, at retskrav kan fastlægges, gøres gældende eller forsvares (200), f) overførslen er nødvendig for at beskytte en fysisk persons vitale interesser, hvis den registrerede fysisk eller juridisk ikke er i stand til at give udtrykkeligt samtykke (201), eller g) videregivelsen finder sted fra et offentligt register, der er beregnet til at informere offentligheden, og som er tilgængeligt for offentligheden generelt eller for personer, der kan godtgøre at have en legitim interesse heri, i det omfang de fastsatte betingelser for offentlig tilgængelighed er opfyldt i det specifikke tilfælde (202). I sagens natur og i henhold til databeskyttelsesrådgiverens vejledning kan disse undtagelser ikke påberåbes i forbindelse med systematiske, regelmæssige overførsler (203).

(73)

Endelig kan formanden for så vidt angår overførsler af specifikke kategorier af oplysninger til lande eller organisationer, der ikke er omfattet af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet, yderligere begrænse sådanne overførsler af vigtige årsager, der vedrører den legitime offentlige myndighedsudøvelse, som Patentmyndigheden har fået pålagt (204). Indtil videre har formanden ikke gjort brug af sådanne beføjelser.

(74)

I henhold til princippet om ansvarlighed skal enheder, der behandler oplysninger, træffe passende organisatoriske foranstaltninger med henblik på effektiv overholdelse af deres databeskyttelsesforpligtelser, og de skal være i stand til at dokumentere denne overholdelse, navnlig over for den kompetente tilsynsmyndighed.

(75)

I artikel 4, stk. 1, i DPR fastsættes der et generelt princip om ansvarlighed, der gør det klart, at den dataansvarlige er ansvarlig for og skal kunne påvise overholdelse af DPR. Den dataansvarlige skal navnlig gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre og være i stand til at påvise overholdelse under hensyntagen til den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder (205). I denne henseende gennemfører DPR også principperne om privatlivsbeskyttelse gennem design og som standard ved at kræve, at den dataansvarlige gennemfører foranstaltninger, der har til formål at gennemføre databeskyttelsesprincipperne og sikre overholdelse af DPR, og at det som standard kun er personoplysninger, der er nødvendige for hvert specifikt formål med behandlingen, der behandles (206).

(76)

Den dataansvarlige og databehandlerne skal føre en fortegnelse over behandlingsaktiviteter, der bl.a. indeholder oplysninger om formålet med behandlingen, kategorierne af behandlede oplysninger, kategorierne af modtagere, som oplysningerne videregives til, og eventuelle overførsler af personoplysninger (207). Disse fortegnelser er i princippet offentligt tilgængelige (medmindre de indeholder fortrolige oplysninger) og indgår i et offentligt tilgængeligt databeskyttelsesregister, og de skal efter anmodning stilles til rådighed for DPB (208). Hver operationel enhed skal også udpege mindst én databeskyttelsesforbindelse (for en periode på et til tre år, der kan forlænges), som skal gennemgå obligatorisk uddannelse i databeskyttelse og bistå den dataansvarlige i arbejdet med at opfylde dennes forpligtelser (209).

(77)

Endelig indeholder DPR forskellige instrumenter, der kan hjælpe den dataansvarlige og databehandlerne i deres bestræbelser på at overholde reglerne. I henhold til DPR kan overholdelse af godkendte certificeringsmekanismer f.eks. tjene som bevis for overholdelse af forpligtelserne i DPR (210). Desuden kræver DPR på visse betingelser, at der foretages en konsekvensanalyse vedrørende databeskyttelse eller en forudgående høring af databeskyttelsesrådgiveren og DPB. Der kræves en konsekvensanalyse vedrørende databeskyttelse, når en type behandling sandsynligvis vil medføre en høj risiko for en persons rettigheder og frihedsrettigheder (211). Dette er f.eks. påkrævet, når der foretages en systematisk og omfattende vurdering af de personlige aspekter, som automatiske afgørelser er baseret på, eller der foretages en omfattende behandling af særlige kategorier af oplysninger (212). Hvis en konsekvensanalyse viser, at behandlingen vil medføre en høj risiko for så vidt angår fysiske personers rettigheder og frihedsrettigheder, og risikoen ikke kan afbødes ved hjælp af rimelige sikkerhedsforanstaltninger, skal den dataansvarlige høre DPB (213). DPB skal yde skriftlig rådgivning, hvis det vurderer, at den påtænkte behandling vil være i strid med DPR (214). Mere generelt er den dataansvarlige forpligtet til at høre databeskyttelsesrådgiveren, når der udarbejdes regler eller operationelle dokumenter om gennemførelsen af begrænsninger af individuelle rettigheder (215).

(78)

For at sikre, at et tilstrækkeligt databeskyttelsesniveau garanteres i praksis, bør der være oprettet en uafhængig tilsynsmyndighed med beføjelser til at overvåge og sikre, at DPR overholdes. Denne myndighed bør være fuldstændig uafhængig og upartisk i udførelsen af sine opgaver og udøvelsen af sine beføjelser.

(79)

EPO's retlige ramme pålægger to organer at føre tilsyn med EPO's overholdelse af DPR: databeskyttelsesrådgiveren (DPO) og Databeskyttelsesrådet (DPB). Begge organer er oprettet ved artikel 32A i Service Regulations, mens deres status og beføjelser er yderligere specificeret i DPR (216). Deres roller supplerer hinanden og involverer samarbejde, men hvert organ er uafhængigt i dets respektive funktioner.

(80)

I henhold til Service Regulations handler databeskyttelsesrådgiveren og DPB fuldstændig uafhængigt af enhver intern eller ekstern indblanding i udførelsen af deres opgaver og udøvelsen af deres beføjelser (217). Dette princip suppleres af forskellige yderligere garantier, der sikrer deres uafhængighed.

(81)

Databeskyttelsesrådgiveren (og dennes stedfortrædere) udnævnes af formanden på grundlag af deres faglige kvalifikationer og navnlig deres ekspertviden om databeskyttelseslovgivning og -praksis (218). Databeskyttelsesrådgiveren udnævnes for en periode på tre til fem år, som kan forlænges. DPB skal høres forud for enhver foreslået fjernelse eller afskedigelse af databeskyttelsesrådgiveren fra dennes rolle (219). En sådan forudgående høring inden fjernelse eller afskedigelse af databeskyttelsesrådgiveren har til formål at sikre yderligere kontrol og revision i tilfælde af foreslået fjernelse eller afskedigelse. Forslag til en sådan fjernelse eller afskedigelse kan fremsættes af en af følgende grunde (220): hvis databeskyttelsesrådgiveren ikke længere opfylder betingelserne for at udføre sine opgaver (221), på grund af faglig inkompetence (222) eller som følge af disciplinære foranstaltninger (223). I DPR fastsættes det også, at Databeskyttelsesrådgiveren ikke kan afskediges eller straffes for at udføre sine opgaver og kan ikke modtage instrukser (224). Databeskyttelsesrådgiveren skal inddrages i alle spørgsmål vedrørende beskyttelse af personoplysninger og udarbejder årlige aktivitetsrapporter til formanden og Administrationsrådet (225). Patentmyndigheden skal give databeskyttelsesrådgiveren de ressourcer, der er nødvendige for, at denne kan udføre sine opgaver (226).

(82)

DPB består af tre eksterne databeskyttelseseksperter, nemlig en formand og to andre medlemmer (227), samt en suppleant, der udnævnes af formanden for EPO for en periode på tre år, som kan forlænges (228). DPB's medlemmer skal have de kvalifikationer, der kræves for at blive udnævnt til dommerembeder, eller være databeskyttelsesprofessionelle med dokumenteret ekspertise og erfaring inden for databeskyttelseslovgivning, der er erhvervet på nationalt eller internationalt plan. De må ikke være ansat i EPO eller have været ansat i EPO inden for de seneste ti år (229). I henhold til artikel 48, stk. 6, i DPR er medlemmerne af DPB fuldstændig uafhængige i udøvelsen af deres funktion. Navnlig må medlemmer af DPB ikke søge instrukser fra Patentmyndigheden eller Administrationsrådet og kan ikke være bundet af sådanne instrukser. DPB's forretningsorden fastsætter også, at det skal handle upartisk og i fuld uafhængighed under udførelsen af sine opgaver (230). Dertil kommer, at et DPB-medlem kun kan opsiges i stillingen af EPO af tungtvejende grunde (231). DPB's medlemmer er underlagt tavshedspligt (232) og skal afholde sig fra at handle i en sag, hvor de har en interessekonflikt, navnlig en personlig interesse (233). EPO skal støtte DPB i udførelsen af dets opgaver ved at give det de nødvendige ressourcer samt juridisk og administrativ støtte (gennem et sekretariat og ved at give DPB adgang til personoplysninger og behandlingsaktiviteter) (234).

(83)

Databeskyttelsesrådgiveren har bl.a. følgende opgaver: at underrette den dataansvarlige eller databehandlerne om deres forpligtelser og rådgive dem i overensstemmelse hermed, at øge bevidstheden blandt de ansatte og sørge for uddannelse af ansatte, der er involveret i behandlingsaktiviteter, at sikre, at de registrerede informeres om deres rettigheder i henhold til DPR, og på uafhængig vis overvåge den interne anvendelse og overholdelse af DPR samt andre retlige bestemmelser i EPO, der har indvirkning på databeskyttelsen (235). Registrerede kan kontakte databeskyttelsesrådgiveren om ethvert spørgsmål vedrørende behandlingen af deres oplysninger eller udøvelsen af deres rettigheder (236), og den dataansvarlige og databehandlerne kan høre databeskyttelsesrådgiveren om ethvert spørgsmål vedrørende fortolkningen og anvendelsen af DPR (237).

(84)

Som led i sin tilsynsrolle har databeskyttelsesrådgiveren beføjelse til at foretage databeskyttelsesrevisioner og -undersøgelser (238). Revisioner iværksættes af databeskyttelsesrådgiveren i overensstemmelse med en årlig revisionsplan, der udarbejdes i samråd med DPB (239). En revision fokuserer på at vurdere databeskyttelsesfortegnelser, erklæringer og relevant dokumentation, f.eks. for at kontrollere nøjagtigheden og fuldstændigheden af relevant databeskyttelsesdokumentation, den korrekte anvendelse af risikostyringsmetoder, nøjagtigheden og rettidigheden af svarene til de registrerede eller den korrekte gennemførelse og antallet af konsekvensanalyser vedrørende databeskyttelse (240). Ifølge de oplysninger, som Kommissionen har modtaget fra databeskyttelsesrådgiveren, blev der gennemført tre revisioner i 2023 og fire i 2024. Databeskyttelsesrådgiveren kan indlede en undersøgelse på eget initiativ, på grundlag af en anmodning fra DPB eller et organ inden for EPO (f.eks. formanden eller en delegeret dataansvarlig) eller på grundlag af oplysninger, der på anden måde er modtaget (herunder f.eks. fra tredjeparter og fysiske personer) (241). Undersøgelser, som DPB anmoder om, gennemføres af databeskyttelsesrådgiveren på en uafhængig måde. DPB kan fremsætte bemærkninger og/eller anmode om en supplerende undersøgelse af ethvert spørgsmål, der måtte opstå (242). Inspektionerne fokuserer på behandlingsaktiviteter eller særlige aspekter heraf eller begivenheder i forbindelse hermed med henblik på at sikre, at den pågældende behandling opfylder kravene i DPR, og for at sikre beskyttelsen af registreredes rettigheder og frihedsrettigheder (243).

(85)

Databeskyttelsesrådgiveren har adgang til alle relevante oplysninger, herunder de personoplysninger, der behandles, samt alle kontorer, databehandlingsanlæg og databærere (244). Alle EPO's ansatte og operationelle enheder skal bistå databeskyttelsesrådgiveren i udførelsen af dennes opgaver, herunder ved at give adgang til lokaler og relevante oplysninger (245).

(86)

Ved afslutningen af en revision eller undersøgelse vedtager databeskyttelsesrådgiveren en rapport med sine resultater, konklusioner og anbefalede afhjælpende foranstaltninger (246). Sådanne foranstaltninger kan f.eks. omfatte forebyggende eller afbødende foranstaltninger for at forbedre overholdelsen samt foranstaltninger til afhjælpning af manglende overholdelse (f.eks. for at bringe behandlingen i overensstemmelse med DPR, behandle anmodninger fra registrerede om at udøve deres rettigheder, suspendere eller afslutte en behandling osv.) (247). Databeskyttelsesrådgiveren kan også gøre den kompetente ansættelsesmyndighed opmærksom på ansattes manglende overholdelse af DPR og anbefale, at der iværksættes en administrativ undersøgelse for at afgøre, om der er behov for disciplinære eller andre foranstaltninger (248). Enhver ansat, der forsætligt eller uagtsomt undlader at overholde DPR, kan pålægges disciplinære sanktioner eller andre foranstaltninger i henhold til Service Regulations (249).

(87)

Resultatet af revisioner og undersøgelser skal meddeles DPB (250). Revisions- eller undersøgelsesrapporten skal efter anmodning deles med DPB. DPB kan fremsætte bemærkninger til databeskyttelsesrådgiverens rapport, herunder til dennes konklusioner om, hvorvidt der er sket en overtrædelse af DPR, og til foreslåede afhjælpende foranstaltninger, og det kan anmode om yderligere efterforskningsforanstaltninger (251). Hvis en revision eller inspektion foretaget af databeskyttelsesrådgiveren konkluderer, at der er tale om manglende overholdelse (dvs. en overtrædelse af DPR), skal databeskyttelsesrådgiverens rapport indsendes til DPB med henblik på validering af konklusionerne og de anbefalede afhjælpende foranstaltninger. Hvis DPB er uenigt i databeskyttelsesrådgiverens konklusioner eller anbefalede afhjælpende foranstaltninger, deler DPB sine bemærkninger med databeskyttelsesrådgiveren, herunder om at ændre de foreslåede konklusioner og anbefalede afhjælpende foranstaltninger, og databeskyttelsesrådgiveren bør gennemføre dem i overensstemmelse hermed. Afhjælpende foranstaltninger, der er valideret af DPB, er bindende for den dataansvarlige og delegerede dataansvarlige og kan påberåbes af fysiske personer over for de prøvelsesmekanismer, der er beskrevet i betragtning 95 (252). Databeskyttelsesrådgiveren skal kontrollere gennemførelsen af de afhjælpende foranstaltninger (i princippet seks måneder efter deres meddelelse) og årligt aflægge rapport til formanden om status for gennemførelsen (253).

(88)

Ud over sin rolle med at håndhæve overholdelsen af DPR omfatter DPB's andre opgaver rådgivning af formanden om vedtagelse af afgørelser om tilstrækkeligheden af beskyttelsesniveauet, rådgivning af den dataansvarlige om behovet for at foretage en konsekvensanalyse vedrørende databeskyttelse og gennemgang af klager fra fysiske personer (se betragtning 92-96) (254).

(89)

Med henblik på at sikre tilstrækkelig beskyttelse og navnlig håndhævelse af individuelle rettigheder bør den registrerede have effektiv adgang til prøvelse, herunder mulighed for at opnå skadeserstatning.

(90)

EPO's retlige ramme giver fysiske personer adgang til prøvelse gennem en kombination af forskellige muligheder.

(91)

For det første kan registrerede, der mener, at EPO's behandling af deres personoplysninger krænker deres rettigheder (dvs. overtræder DPR), indgive en anmodning om en fornyet gennemgang foretaget af den delegerede dataansvarlige i overensstemmelse med artikel 49 i DPR. Den delegerede dataansvarlige vil gennemgå klagen og træffe en afgørelse (255). Inden der træffes en afgørelse, skal den delegerede dataansvarlige høre databeskyttelsesrådgiveren, som afgiver en skriftlig udtalelse senest 15 kalenderdage efter modtagelsen af anmodningen om fornyet gennemgang (256). Den delegerede dataansvarlige skal svare den pågældende inden for en måned fra datoen for modtagelsen af anmodningen (257). Afgørelsen skal meddeles den pågældende person sammen med oplysninger om muligheden for yderligere prøvelse (258). Hvis den delegerede dataansvarlige ikke træffer foranstaltninger inden for tre måneder, betragtes dette som et stiltiende afslag på anmodningen.

(92)

For det andet kan fysiske personer anfægte en afgørelse eller et stiltiende afslag på en anmodning om fornyet gennemgang foretaget af en delegeret dataansvarlig ved at indgive en klage til DPB (259).

(93)

Ved behandlingen af en klage skal DPB opfordre den registrerede, den dataansvarlige og, hvor det er relevant, databehandleren til skriftligt at tilkendegive deres holdning til de pågældende påstande og faktiske omstændigheder og til at fremlægge beviser eller bemærkninger og argumenter vedrørende tilgængeligt bevismateriale (260). DPB kan i den forbindelse anmode parterne om alle de oplysninger, det skal bruge for at behandle klagen, og kan desuden indhente yderligere oplysninger gennem databeskyttelsesrådgiveren (261). Når DPB træffer afgørelse om den nødvendige opfølgning på en klage, skal det bl.a. tage hensyn til arten og grovheden af den påståede overtrædelse, antallet af berørte registrerede, de berørte kategorier af oplysninger og overtrædelsens varighed (262). DPB kan opfordre parterne til at søge en mindelig løsning og tilskynder til og fremmer aktivt en sådan løsning (263). Klageren kan også anmode DPB om at anvende en hasteprocedure på grund af den påståede overtrædelses grovhed eller på grund af alvoren af risikoen for så vidt angår fysiske personers rettigheder (264).

(94)

Efter at have behandlet en klage afgiver DPB en begrundet udtalelse til den dataansvarlige med en redegørelse for de faktiske omstændigheder, parternes vigtigste argumenter, DPB's betragtninger og dets anbefalinger (265). I tilfælde af en hasteprocedure skal DPB formelt afgive en begrundet udtalelse senest to måneder efter indgivelsen af klagen (266). DPB kan i sin begrundede udtalelse fremsætte alle de henstillinger, det finder nødvendige, herunder påbud (f.eks. ophør af ulovlig databehandling eller sletning af ulovligt behandlede oplysninger) og erstatning for materiel eller immateriel skade (267). Den begrundede udtalelse skal meddeles den registrerede og den dataansvarlige (dvs. patentmyndighedens formand, formanden for appelkamrene, formanden for Administrationsrådet eller formanden for den særlige komité, afhængigt af om klagen vedrører myndigheden, appelkamrene, Administrationsrådet eller den særlige komité). Den dataansvarlige træffer derefter en endelig bindende afgørelse efter DPB's begrundede udtalelse (268). Den endelige afgørelse meddeles den registrerede, DPB og databeskyttelsesrådgiveren (269). Hvis den dataansvarlige skulle beslutte ikke at følge et eller flere aspekter af den begrundede udtalelse, redegør denne skriftligt herfor i afgørelsen (270).

(95)

En registreret, der ikke kan acceptere den dataansvarliges afgørelse, kan anfægte den yderligere og henvise til DPB's begrundede udtalelse i sin appel. EPO's ansatte kan indbringe afgørelsen for Den Internationale Arbejdsorganisations forvaltningsdomstol (271). Enhver anden registreret, der er uenig i den dataansvarliges afgørelse, kan inden for tre måneder efter modtagelsen af afgørelsen indgive en anmodning til formanden om ad hoc-voldgift (272). DPR indeholder bestemmelser om en særlig procedure, der skal følges i tilfælde af ad hoc-voldgift (273). Navnlig skal generalsekretæren for Den Faste Voldgiftsret senest tre måneder efter modtagelsen af den registreredes anmodning udpege en voldgiftsmand på grundlag af de kriterier, der er fastsat i DPR (274). Voldgiftsmanden skal være juridisk kvalificeret, have adgang til at udøve advokatvirksomhed i en af EPO's kontraherende stater, kunne påvise relevant ekspertise i databeskyttelsesspørgsmål og være bekendt med den lovgivning, der gælder for internationale organisationer (275). Ud over at opfylde disse kriterier kan kun personer, der ikke har arbejdet for eller på vegne af EPO eller den registrerede, udpeges. I henhold til DPR skal voldgiftsmanden handle uafhængigt og upartisk (276), behandle hver part ens og give begge parter mulighed for at fremlægge deres sag på alle trin i sagen (277). Voldgiftssagen er ikke offentlig (278) og er underlagt EPK, DPR, herunder eventuel gennemførelseslovgivning, lovgivningen vedrørende internationale organisationer og folkerettens principper (279). Hver part skal afholde sine egne omkostninger og udgifter til juridisk repræsentation (medmindre voldgiftsmanden træffer anden afgørelse), mens EPO betaler voldgiftsmandens honorarer og udgifter samt omkostningerne til eventuel ekspertrådgivning og eventuelle vidner (280). Et forlig skal indgås i form af en skriftlig voldgiftskendelse med en aftalt ordlyd, som er endelig og bindende (281).

(96)

Enhver person, der har lidt skade som følge af en overtrædelse af DPR, kan anmode om erstatning fra EPO ved hjælp af de procedurer, der er beskrevet i betragtning 91-95 (282). EPO kan ikke drages til ansvar, hvis den godtgør, at den ikke var ansvarlig for den begivenhed, der gav anledning til skaden.

(97)

Den retlige ramme, inden for hvilken EPO vurderer og besvarer anmodninger fra offentlige myndigheder — i sine kontraherende stater og i tredjelande — vedrørende personoplysninger, der behandles af EPO, følger af EPO's protokol vedrørende privilegier og immuniteter (PPI) (283), kravene i DPR vedrørende videregivelse og overførsel af personoplysninger og folkeretten.

(98)

For det første er EPO's behandling af personoplysninger med henblik på dens officielle aktiviteter omfattet af EPO's immuniteter. EPO's immuniteter suppleres af en samarbejdsforpligtelse, der er fastsat i artikel 20 i PPI. Følgelig skal enhver anmodning fra en offentlig myndighed i en kontraherende stat om at indhente oplysninger, der behandles af EPO, vurderes af formanden i overensstemmelse med artikel 20, stk. 1, i PPI, som bestemmer, at organisationen »til enhver tid samarbejder med de kontraherende staters kompetente myndigheder med henblik på at lette retsplejen, at sikre overholdelsen af politivedtægter og sundhedsvedtægter, forskrifter om arbejdstilsyn og anden lignende national lovgivning og at forhindre ethvert misbrug af de i denne protokol indeholdte bestemmelser om privilegier, immuniteter og lempelser«. EPO kan undtagelsesvis ophæve sin immunitet med hensyn til jurisdiktion og fuldbyrdelse (284). Når formanden træffer afgørelse om en anmodning om samarbejde, udøver han et skøn under hensyntagen til anmodningens overensstemmelse med organisationens retlige rammer (285). Konklusionen kan være, at Patentmyndigheden kan besvare en anmodning i henhold til PPI og kun må videregive personoplysninger i overensstemmelse med kravene til videregivelse af oplysninger i DPR (se betragtning 62-67). I henhold til DPR skal modtageren fremlægge dokumentation for, at det er nødvendigt at få oplysningerne videregivet til et specifikt formål, der følger af EPO's forpligtelser til at samarbejde med den eller de kontraherende stater (286). Den dataansvarlige skal for hver videregivelse kunne påvise, at en sådan videregivelse er nødvendig og står i et rimeligt forhold til det specifikke formål, hvortil den foretages (287). Enhver overførsel af data skal ske på en måde, der sikrer, at det beskyttelsesniveau, som DPR giver, opretholdes (288). I henhold til vejledningen fra databeskyttelsesrådgiveren betyder dette, at der skal være passende garantier, herunder ved at sikre, at det kræves, at de oplysninger, der skal deles, minimeres og begrænses til, hvad der er passende, relevant og strengt nødvendigt for at nå dette formål (289). Hvis der er grund til at antage, at den pågældende persons rettigheder og frihedsrettigheder kan blive berørt, skal den dataansvarlige godtgøre, at det er forholdsmæssigt at videregive personoplysningerne til dette specifikke formål efter at have afvejet de forskellige interesser, der er på spil (290).

(99)

For det andet er der ikke et retligt instrument, der finder anvendelse på EPO, som specifikt regulerer behandlingen af anmodninger fra offentlige myndigheder i tredjelande (dvs. som ikke er kontraherende part i EPO) om at indhente oplysninger, der behandles af EPO. Som følge heraf kan fremlæggelse af oplysninger som svar på en sådan anmodning kun finde sted, hvis kravene til internationale dataoverførsler i henhold til DPR (som beskrevet i betragtning 68-73) er opfyldt. Dette vil kun være tilfældet, hvis der er vedtaget en afgørelse om tilstrækkeligheden af beskyttelsesniveauet for det relevante land, som vil omfatte overførslen, hvis der er indført fornødne garantier, eller hvis der gælder en undtagelse.

(100)

Formandens overholdelse af PPI, herunder håndteringen af anmodninger om samarbejde med offentlige myndigheder, er underlagt Administrationsrådets tilsyn, mens overholdelsen af kravene vedrørende videregivelse og overførsel af personoplysninger i DPR er underlagt databeskyttelsesrådgiverens og DPB's tilsyn (se betragtning 84-88). Fysiske personer kan gøre brug af de prøvelsesmuligheder, der er beskrevet i betragtning 90-96 vedrørende videregivelse eller overførsel af deres personoplysninger i strid med DPR.

(101)

Kommissionen mener, at EPO sikrer et beskyttelsesniveau for personoplysninger, der overføres fra Unionen, som i det væsentlige svarer til det, der er garanteret ved forordning (EU) 2016/679.

(102)

På grundlag af konklusionerne i denne afgørelse bør det besluttes, at EPO sikrer et tilstrækkeligt beskyttelsesniveau i henhold til artikel 45 i forordning (EU) 2016/679, fortolket i lyset af Den Europæiske Unions charter om grundlæggende rettigheder, for personoplysninger, der overføres fra Unionen til EPO.

(103)

Medlemsstaterne og deres organer er forpligtet til at træffe de nødvendige foranstaltninger for at overholde EU-institutionernes retsakter, da der gælder en formodning om, at disse retsakter er lovlige, og de afføder derfor retsvirkninger, så længe de ikke er blevet trukket tilbage, annulleret under et annullationssøgsmål eller erklæret ugyldige som følge af en præjudiciel forelæggelse eller en ulovlighedsindsigelse.

(104)

En afgørelse fra Kommissionen om tilstrækkeligheden af beskyttelsesniveauet i henhold til artikel 45, stk. 3, i forordning (EU) 2016/679 er således bindende for alle de organer i medlemsstaterne, som den er rettet til, herunder deres uafhængige tilsynsmyndigheder. Overførsler fra en dataansvarlig eller databehandler i Unionen til EPO kan navnlig finde sted uden yderligere godkendelse.

(105)

Det bør bemærkes, at i henhold til artikel 58, stk. 5, i forordning (EU) 2016/679, og som forklaret af Domstolen i sag C-362/14 (291), skal den nationale lovgivning, når en national databeskyttelsesmyndighed, herunder efter en klage, sætter spørgsmålstegn ved, om en afgørelse fra Kommissionen om tilstrækkeligheden af beskyttelsesniveauet er forenelig med den enkeltes grundlæggende ret til privatlivets fred og databeskyttelse, give den mulighed for at gøre disse klagepunkter gældende for en national domstol, som eventuelt kan forelægge Domstolen et præjudicielt spørgsmål.

(106)

Ifølge Domstolens praksis og i henhold til artikel 45, stk. 4, i forordning (EU) 2016/679 bør Kommissionen løbende overvåge den relevante udvikling i tredjelandet eller den internationale organisation efter vedtagelsen af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet for at vurdere, hvorvidt tredjelandet eller den internationale organisation stadig sikrer et i det væsentlige tilsvarende beskyttelsesniveau. En sådan undersøgelse skal under alle omstændigheder foretages, når Kommissionen modtager oplysninger, der rejser begrundet tvivl i denne henseende.

(107)

Kommissionen bør derfor løbende overvåge situationen med hensyn til EPO's retlige rammer og den faktiske praksis for behandling af personoplysninger som vurderet i denne afgørelse. For at lette denne proces opfordres EPO til at underrette Kommissionen om materiel udvikling, som er relevant for denne afgørelse, både hvad angår behandling af personoplysninger og de begrænsninger og garantier, som finder anvendelse med hensyn til offentlige myndigheders adgang til personoplysninger.

(108)

For at gøre det muligt for Kommissionen effektivt at udøve sin overvågningsfunktion bør medlemsstaterne desuden underrette Kommissionen om alle relevante foranstaltninger, der træffes af de nationale databeskyttelsesmyndigheder, navnlig vedrørende forespørgsler eller klager fra registrerede i Unionen vedrørende overførsel af personoplysninger fra Unionen til EPO.

(109)

I medfør af artikel 45, stk. 3, i forordning (EU) 2016/679 og henset til den omstændighed, at det beskyttelsesniveau, som EPO's retlige ramme sikrer, kan ændre sig, vil Kommissionen efter vedtagelse af denne afgørelse med regelmæssige mellemrum undersøge, om konstateringen af det tilstrækkelige beskyttelsesniveau, som er sikret af EPO, stadig er faktisk og retligt begrundet. Sådanne evalueringer bør finde sted mindst hvert fjerde år og bør omfatte alle aspekter af denne afgørelses funktion, herunder de relevante tilsyns- og håndhævelsesmekanismers funktion.

(110)

Med henblik på revisionen bør Kommissionen mødes med EPO, herunder EPO's databeskyttelsesrådgiver og DPB. Deltagelsen i dette møde bør være åben for repræsentanter for medlemmerne af Det Europæiske Databeskyttelsesråd. I forbindelse med revisionen bør Kommissionen anmode EPO om at fremlægge omfattende oplysninger om alle aspekter, der er relevante for konstateringen af et tilstrækkeligt beskyttelsesniveau. Kommissionen bør også indhente forklaringer vedrørende alle oplysninger, der er relevante for denne afgørelse, og som den har modtaget, herunder fra DPB, individuelle databeskyttelsesmyndigheder, civilsamfundsgrupper, offentlig rapportering eller medierne eller enhver anden tilgængelig informationskilde.

(111)

Kommissionen vil på grundlag af revisionen udarbejde en offentlig rapport til Europa-Parlamentet og Rådet.

(112)

Hvis tilgængelige oplysninger, navnlig oplysninger fra Kommissionens overvågning af udvikling, der kan påvirke denne afgørelses funktion i henhold til artikel 45, stk. 4, i forordning (EU) 2016/679, eller oplysninger fra EPO eller medlemsstaternes myndigheder viser, at det beskyttelsesniveau, som EPO yder, muligvis ikke længere er tilstrækkeligt, bør Kommissionen underrette EPO herom og anmode om, at der træffes passende foranstaltninger inden for en nærmere angivet rimelig tidsramme.

(113)

Hvis EPO efter udløbet af den angivne tidsramme ikke har truffet disse foranstaltninger eller ikke på tilfredsstillende vis dokumenterer, at denne afgørelse fortsat er baseret på et tilstrækkeligt beskyttelsesniveau, vil Kommissionen indlede proceduren i artikel 93, stk. 2, i forordning (EU) 2016/679 med henblik på helt eller delvis at suspendere eller ophæve denne afgørelse.

(114)

Alternativt vil Kommissionen indlede den pågældende procedure med henblik på at ændre denne afgørelse, navnlig ved at underkaste dataoverførsler yderligere betingelser eller ved at begrænse omfanget af konstateringen af et tilstrækkeligt beskyttelsesniveau til kun at omfatte dataoverførsler, for hvilke der fortsat sikres et tilstrækkeligt beskyttelsesniveau.

(115)

Kommissionen bør ligeledes overveje at indlede proceduren med henblik på ændring, suspension eller ophævelse af denne afgørelse, hvis EPO i forbindelse med revisionen eller på anden vis undlader at forelægge de oplysninger og præciseringer, der er nødvendige for at vurdere beskyttelsesniveauet for personoplysninger, der overføres fra Unionen til EPO, eller for at vurdere overholdelsen af denne afgørelse. I den forbindelse bør Kommissionen tage hensyn til, i hvilket omfang de relevante oplysninger kan indhentes fra andre kilder.

(116)

I behørigt begrundede særligt hastende tilfælde vil Kommissionen gøre brug af muligheden for efter proceduren i artikel 93, stk. 3, i forordning (EU) 2016/679 at vedtage gennemførelsesretsakter, der finder anvendelse straks, og som suspenderer, ophæver eller ændrer afgørelsen.

(117)

Det Europæiske Databeskyttelsesråd har offentliggjort sin udtalelse (292), som er blevet taget i betragtning ved udarbejdelsen af denne afgørelse.

(118)

Foranstaltningerne i denne afgørelse er i overensstemmelse med udtalelse fra det udvalg, der er nedsat ved artikel 93, stk. 1, i forordning (EU) 2016/679 —