(1)

Reglamente (ES) 2016/679 nustatytos asmens duomenų perdavimo iš Sąjungoje įsikūrusių duomenų valdytojų arba duomenų tvarkytojų į trečiąsias valstybes ir tarptautinėms organizacijoms taisyklės, susijusios su tomis duomenų perdavimo operacijomis, kurioms taikomas minėtas reglamentas. Tarptautinio duomenų perdavimo taisyklės yra nustatytos to reglamento V skyriuje (44–50 straipsniuose). Nors asmens duomenų srautas į Sąjungai nepriklausančias valstybes ir tarptautines organizacijas ir iš jų yra labai svarbus siekiant plėsti tarpvalstybinę prekybą ir tarptautinį bendradarbiavimą, perduodant duomenis į trečiąsias valstybes ir tarptautinėms organizacijoms Sąjungoje užtikrinamas asmens duomenų apsaugos lygis sumažėti negali (2).

(2)

Reglamento (ES) 2016/679 45 straipsnio 3 dalyje nustatyta, kad Komisija, priimdama įgyvendinimo aktą, gali nuspręsti, kad trečioji valstybė, teritorija arba vienas ar daugiau nurodytų sektorių toje trečiojoje valstybėje, arba tarptautinė organizacija užtikrina tinkamo lygio apsaugą. Tokiu atveju, kaip nustatyta Reglamento (ES) 2016/679 45 straipsnio 1 dalyje ir 103 konstatuojamojoje dalyje, asmens duomenys tarptautinei organizacijai gali būti perduodami nereikalaujant jokio papildomo leidimo.

(3)

Kaip nurodyta Reglamento (ES) 2016/679 45 straipsnio 2 dalyje, priimant sprendimą dėl tinkamumo turi būti remiamasi išsamia tarptautinės organizacijos teisinės sistemos analize, apimančia ir duomenų importuotojams taikomas taisykles, ir apribojimus bei apsaugos priemones, taikomas valdžios institucijoms gaunant galimybę susipažinti su asmens duomenimis. Atlikdama vertinimą Komisija privalo nustatyti, ar atitinkama tarptautinė organizacija garantuoja tokio lygio apsaugą, kuri yra iš esmės lygiavertė Sąjungoje užtikrinamai apsaugai (3). Standartas, kuriuo remiantis vertinamas esminis lygiavertiškumas, yra nustatytas Sąjungos teisės aktuose, pirmiausia Reglamente (ES) 2016/679, ir Europos Sąjungos Teisingumo Teismo jurisprudencijoje (4). Šiuo atžvilgiu, siekiant išsamiau paaiškinti šį standartą ir pateikti gaires, taip pat svarbūs Europos duomenų apsaugos valdybos (toliau – EDAV) tinkamumo pavyzdžiai (5).

(4)

Kaip yra išaiškinęs Teisingumo Teismas, iš trečiosios valstybės arba tarptautinės organizacijos negalima reikalauti, kad ji užtikrintų tokį pat apsaugos lygį, koks užtikrinamas Sąjungos teisės sistemoje (6). Visų pirma priemonės, kurių, siekdama apsaugoti asmens duomenis, imasi atitinkama trečioji valstybė arba tarptautinė organizacija, gali skirtis nuo Sąjungoje taikomų priemonių, jeigu šios priemonės praktiškai padeda veiksmingai užtikrinti tinkamo lygio apsaugą (7). Todėl pagal tinkamumo standartą nėra reikalaujama, kad Sąjungos taisyklės būtų atkartotos papunkčiui. Veikiau reikia patikrinti, ar reikiamas apsaugos lygis užtikrinamas visoje užsienio valstybės sistemoje, atsižvelgiant į teisių į privatumą esmę bei duomenų apsaugos priemones (įskaitant veiksmingą jų įgyvendinimą, priežiūrą ir vykdymo užtikrinimą) ir asmens duomenų perdavimo aplinkybes (8).

(5)

Komisija išanalizavo Europos patentų organizacijos teisinę sistemą ir praktiką. Remdamasi 7–100 konstatuojamosiose dalyse nustatytais faktais Komisija daro išvadą, kad Europos patentų organizacija (toliau – EPO) užtikrina tinkamą asmens duomenų, kurie pagal Reglamentą (ES) 2016/679 iš Sąjungos perduodami Europos patentų organizacijai, apsaugos lygį.

(6)

Remiantis šiuo sprendimu, Sąjungoje esantys duomenų valdytojai ir duomenų tvarkytojai duomenis Europos patentų organizacijai gali perduoti be papildomo leidimo. Šis sprendimas nedaro poveikio tiesioginiam Reglamento (ES) 2016/679 taikymui šiems subjektams, kai tenkinamos to reglamento 3 straipsnyje nustatytos teritorinės taikymo srities sąlygos.

(7)

Europos patentų organizacija yra tarpvyriausybinė organizacija, įsteigta 1977 m. spalio 7 d., remiantis Europos patentų konvencija (toliau – EPK). Šiai organizacijai, kurios būstinė yra Miunchene, priklauso 39 susitariančios valstybės: visos Sąjungos valstybės narės, Islandija, Norvegija ir Lichtenšteinas, taip pat Albanija, Šiaurės Makedonija, Monakas, San Marinas, Serbija, Šveicarija, Juodkalnija, Jungtinė Karalystė ir Turkija (9).

(8)

Organizacija turi juridinio asmens statusą (10) ir yra sudaryta iš dviejų organų (11): Europos patentų tarnybos (toliau – Tarnyba) ir Administracinės tarybos. Pagrindinė EPO užduotis – pagal EPK išduoti Europos patentus (12). Šią užduotį atlieka Administracinės tarybos prižiūrima Tarnyba. Administracinę tarybą sudaro susitariančiųjų valstybių atstovai. Taryba EPO vardu vykdo teisėkūros įgaliojimus. Ji taip pat yra atsakinga už politikos klausimus ir prižiūri Tarnybos veiklą (13). Tarnyba veikia kaip vykdomasis EPO organas. Jai vadovauja prezidentas (14), kuris valdo Tarnybą (prezidentas) ir yra atskaitingas Administracinei tarybai (15). Prezidentas, be kita ko, rengia ir vykdo Tarnybos biudžetą, skiria Tarnybos darbuotojus ir vykdo jų priežiūrą, vykdo drausminius įgaliojimus darbuotojų atžvilgiu, užtikrina Tarnybos veikimą, įskaitant vidaus administracinių nurodymų priėmimą ir viešą informacinių leidinių skelbimą, ir gali pateikti Administracinei tarybai pasiūlymus dėl Konvencijos keitimo, bendrų nuostatų arba į jo kompetencijos sritį patenkančių sprendimų (16). Tarnybą sudaro įvairūs skyriai, įskaitant Priėmimo poskyrį, Juridinį, Ekspertizės ir Protestų skyrius ir apeliacines kolegijas (nepriklausomą vidaus organą, kuriam galima apskųsti pagal patentų išdavimo procedūrą priimtus Europos patentų organizacijos sprendimus) (17).

(9)

Vykdydama užduotis EPO gauna asmens duomenis iš įvairių skirtingų Sąjungoje veikiančių subjektų. Europos patentų paraiškas Europos patentų organizacijai nuolat teikia patentų pareiškėjai (18) arba perduoda valstybėse narėse veikiantys nacionaliniai patentų biurai (19). Asmens duomenis EPO taip pat gauna ir tvarko vykdydama užduotis, kurias vykdyti jai pavesta pagal Europos Parlamento ir Tarybos reglamentą (ES) Nr. 1257/2012 (20). Iš šių užduočių būtų galima paminėti prašymų suteikti Europos patentų bendrą galiojimą gavimą ir nagrinėjimą, metų mokesčių rinkimą ir bendro galiojimo registravimą (21). Šiuo atžvilgiu EPO taip pat gauna Bendro patentų teismo (BPT) užklausas dėl Tarnybos apeliacinėje kolegijoje nagrinėjamų skundų (22), kuriose gali būti susijusiai bylai nustatyti būtinų asmens duomenų (23).

(10)

BPT taip pat gauna tarptautinėse patentų paraiškose pateiktus asmens duomenis, veikdamas pagal Patentinės kooperacijos sutartį (toliau – PKS) – tarptautinę sutartį, pagal kurią pareiškėjai gali gauti visose PKS susitariančiosiose valstybėse galiojančius patentus (24). EPO veikia kaip tarptautinė paieškos institucija pagal PKS, o vykdydama šią funkciją, tikrina tarptautinėse paraiškose atskleistų išradimų patentabilumą ir taip padeda pareiškėjams nuspręsti, ar teikti paraišką dėl tikrinimo iš esmės nacionaliniu / Sąjungos lygmeniu (25).

(11)

Be to, EPO glaudžiai bendradarbiauja su visų valstybių narių nacionaliniais patentų biurais Europos patentų tinkle, kuriame su šiais biurais keičiasi asmens duomenimis, pvz., rengdama mokymus ir teikdama IT paslaugas, kad galėtų paremti ir sustiprinti bendradarbiavimą pagal EPK. Be to, ji yra sudariusi dvišalius bendradarbiavimo susitarimus su valstybėmis narėmis, pagal kuriuos asmens duomenimis keičiamasi, pvz., steigiant darbo grupes, komandiruojant bei siunčiant techninius ekspertus ir pan. Ji taip pat glaudžiai bendradarbiauja su Europos Sąjungos intelektinės nuosavybės tarnyba (EUIPO), pvz., rengdama bendrus mokymus, informuotumo didinimo renginius ir komandiruodama ekspertus.

(12)

Galiausiai EPO yra sudariusi sutartis su keliais Sąjungoje įsisteigusiais paslaugų teikėjais, kurie veikia kaip duomenų tvarkytojai pagal Reglamento (ES) 2016/679 4 straipsnio 8 punktą ir perduoda asmens duomenis Europos patentų organizacijai.

(13)

Pirminės teisės aktai, kuriais reglamentuojama EPO veikla, yra tarptautinė sutartis, t. y. Europos patentų konvencija, o kai EPO veikia pagal Patentinės kooperacijos sutartį – Patentinės kooperacijos sutartis. Antrąjį Europos patentų organizacijai taikomų normų hierarchijos lygmenį sudaro teisės aktai, kuriuos yra priėmusi Administracinė taryba, o PKS atžvilgiu – PKS asamblėja. Antrinės EPO teisės aktus sudaro EPK įgyvendinimo taisyklės ir vadinamieji Tarnybos nuostatai (jais reglamentuojami su EPO darbuotojais susiję aspektai, įskaitant darbuotojų teises ir pareigas) (26). Teisė į asmens duomenų apsaugą nustatyta Tarnybos nuostatų 1B straipsnyje (27), kuriame taip pat išdėstytos kelios pagrindinės EPO duomenų apsaugos sistemos nuostatos, t. y. su duomenų apsaugos sistemos taikymo sritimi, specialių kategorijų duomenų apsauga ir asmenų naudojimusi teisėmis susijusios nuostatos. Kad būtų galima prižiūrėti, ar laikomasi duomenų apsaugos taisyklių, Tarnybos nuostatų 2 straipsnio 1 dalyje ir 32A straipsnyje nustatyti nepriklausomos priežiūros mechanizmai (duomenų apsaugos pareigūnas, toliau – DAP, ir Duomenų apsaugos valdyba, toliau – DAV) (28).

(14)

Tie patys esminiai reikalavimai, kuriais reglamentuojama asmens duomenų apsauga, taikomi ir Administracinei tarybai, Tarnybai bei visiems jų skyriams. Pavyzdžiui, Tarnybos atliekamas asmens duomenų tvarkymas reglamentuojamas Administracinės tarybos priimtomis Europos patentų tarnybos nuolatinių ir kitų darbuotojų tarnybos nuostatų dėl asmens duomenų apsaugos (Duomenų apsaugos taisyklės (toliau – DAT)) 1B ir 32A straipsnių įgyvendinimo taisyklėmis (29). Administracinės tarybos atliekamam asmens duomenų tvarkymui taikomos Administracinės tarybos duomenų apsaugos taisyklės (toliau – Administracinės tarybos DAT), kurioms mutatis mutandis taikomos DAT (30). Šiame sprendime pateikiamos nuorodos į Duomenų apsaugos taisykles apima atitinkamus Administracinei tarybai, jos sekretoriatui ir komitetams taikomus reikalavimus. DAT struktūra ir turinys yra gerai suderinti su Sąjungos duomenų apsaugos sistema (31). Pavyzdžiui, ši struktūra ir turinys turi daug panašumų su Europos Parlamento ir Tarybos reglamentu (ES) 2018/1725 (32), kuriame nustatyti Sąjungos institucijoms ir organams taikomi duomenų apsaugos reikalavimai, todėl yra labai tinkami konkrečiai tarptautinių organizacijų struktūrai bei ypatybėms ir kartu gerai atspindi Reglamentą (ES) 2016/679.

(15)

Dėl Tarnybos atliekamo duomenų tvarkymo prezidentas yra paskelbęs daugiau teisiškai privalomų priemonių, pvz., aplinkraščių, sprendimų ir vidaus administracinių nurodymų (33). Pavyzdžiui, Duomenų apsaugos taisykles papildo 2021 m. gruodžio 13 d. prezidento sprendimas dėl asmens duomenų tvarkymo taikant patentų išdavimo ir susijusias procedūras (toliau – PIP sprendimas) (34), 2022 m. gruodžio 7 d. sprendimas dėl asmens duomenų tvarkymo taikant su bendro galiojimo Europos patentais susijusias procedūras (toliau – BGP sprendimas) (35), 2022 m. lapkričio 17 d. sprendimas dėl valstybių ir subjektų, kurie laikomi užtikrinančiais tinkamą asmens duomenų apsaugą (36), 2024 m. gegužės 2 d. sprendimas, kuriuo nustatomi Tarnybos veiklos skyriai, veikiantys kaip įgaliotieji duomenų valdytojai (37) ir Aplinkraštis Nr. 420, kuriuo įgyvendinamas DAT 25 straipsnis dėl duomenų subjektų teisių apribojimų, (toliau – Aplinkraštis Nr. 420) (38). Konkrečiai dėl duomenų tvarkymo taikant patentų išdavimo procedūras svarbu pažymėti, kad Europos patentų konvencijoje ir Patentinės kooperacijos sutartyje tiesiogiai nustatyti asmens duomenų tvarkymo reikalavimai yra viršesni už Duomenų apsaugos taisykles. EPK ir PKS sąveika su Duomenų apsaugos taisyklėmis paaiškinta PIP sprendime (39) ir BGP sprendime. Tiesiogiai iš EPK ir PKS kylantys konkretūs duomenų apsaugos reikalavimai vertinami 55–59 konstatuojamosiose dalyse. Duomenų apsaugos taisyklės ir jas papildančios priemonės yra teisiškai privalomos ir vykdytinos, o asmenys jomis gali remtis naudodamiesi 89–96 konstatuojamosiose dalyse aprašytais nepriklausomais teisių gynimo mechanizmais.

(16)

15 konstatuojamojoje dalyje nurodytose teisinėse priemonėse nustatytos taisyklės išsamiau įgyvendinamos duomenų apsaugos pareigūno skelbiamose priemonėse (žr. 83–88 konstatuojamąsias dalis) (40), kurios taikomos Administracinei tarybai, Tarnybai ir visiems jų skyriams (41).

(17)

DAT ir Tarnybų nuostatuose (42) nurodyta, kad tvarkydami asmens duomenis visi EPO darbuotojai privalo laikytis DAT. Materialinė ir subjektinė Duomenų apsaugos taisyklių taikymo sritis yra nustatyta jose apibrėžtomis sąvokomis asmens duomenys, duomenų tvarkymas, duomenų valdytojas, įgaliotasis duomenų valdytojas ir duomenų tvarkytojas.

(18)

Duomenų apsaugos taisyklėse pateiktos sąvokų asmens duomenys ir duomenų tvarkymas apibrėžtys sutampa su Reglamente (ES) 2016/679 pateiktomis apibrėžtimis (43). Duomenų apsaugos taisyklės taikomos bet kokiam Europos patentų organizacijos atliekamam asmens duomenų tvarkymui, neatsižvelgiant į tai, ar šis duomenų tvarkymas susijęs su jos pačios darbuotojų, ar su kitų asmenų asmens duomenimis (44). Duomenys, kuriems suteikti pseudonimai (45), taip pat laikomi asmens duomenimis, o mirusių arba juridinių asmenų duomenys arba anonimiška informacija (46) asmens duomenimis pagal DAT nelaikoma (47).

(19)

DAT taikomos Europos patentų organizacijos atliekamam asmens duomenų tvarkymui visiškai arba iš dalies automatizuotomis priemonėmis ir asmens duomenų, kurie sudaro arba yra skirti sudaryti susisteminto rinkinio dalį, tvarkymui neautomatizuotomis priemonėmis (48).

(20)

Duomenų apsaugos taisyklėse duomenų valdytojas apibrėžiamas kaip subjektas, konkrečiai – Europos patentų tarnyba, kuris vienas ar drauge su kitais nustato asmens duomenų tvarkymo tikslus ir priemones (49). Tarnybos atliekamų duomenų tvarkymo operacijų atžvilgiu kaip duomenų valdytojas iš esmės veikia prezidentas (50). Tai taikoma ir Administracinei tarybai (jos atžvilgiu kaip duomenų valdytojas veikia pirmininkas), teismines funkcijas vykdančioms apeliacinėms kolegijoms (jų atžvilgiu kaip duomenų valdytojas veikia jų pirmininkas (51)) ir Specialiajam komitetui (jo atžvilgiu kaip duomenų valdytojas veikia pirmininkas (52)). Duomenų valdytojas gali perduoti šiuos įgaliojimus veiklos skyriams, kuriems atstovauja aukšto rango vadovas (53). Šiais atvejais veiklos skyriai veikia kaip įgaliotieji duomenų valdytojai (54), apibrėžiantys tikslą (pvz., priežastį, pagrindimą ir veiklos poreikius), duomenų tvarkymo operacijos priemones ir užtikrinantys, kad visos duomenų tvarkymo operacijos, kurias atliekant tvarkomi asmens duomenys, atitiktų DAT (55). Tokiais atvejais duomenų valdytojas tebėra atsakingas už asmens duomenų tvarkymą. Duomenų apsaugos taisyklėse taip pat numatytas bendro duomenų valdymo scenarijus, pagal kurį duomenų valdytojas duomenų tvarkymo tikslą ir priemones nustato kartu su vienu arba keliais Europos patentų organizacijai nepriklausančiais duomenų valdytojais (56).

(21)

Duomenų apsaugos taisyklėse duomenų tvarkytojas yra apibrėžtas taip pat, kaip Reglamento (ES) 2016/679 4 straipsnio 8 punkte, t. y. kaip fizinis arba juridinis asmuo, valdžios institucija, agentūra ar kitas subjektas, kuris duomenų valdytojo vardu tvarko asmens duomenis (57). Duomenų valdytojui leidžiama pasitelkti tik tokius duomenų tvarkytojus, kurie suteikia pakankamai garantijų, kad, siekiant užtikrinti, kad duomenų tvarkymas atitiktų DAT reikalavimus, bus įgyvendinamos tinkamos techninės ir organizacinės priemonės (58). Duomenų valdytojo ir duomenų tvarkytojo santykiai turi būti sureguliuoti sutartimi arba teisės aktu, kuri(s) yra privaloma(s) duomenų tvarkytojui ir kurioje (-iame), be kita ko, nustatyti duomenų tvarkymo dalykas, trukmė, pobūdis ir tikslas (59). Duomenų tvarkytojui tvarkyti duomenis leidžiama tik pagal dokumentais įformintus duomenų valdytojo nurodymus. Duomenų tvarkytojas turi padėti duomenų valdytojui vykdyti Duomenų apsaugos taisyklėse nustatytas prievoles. Duomenų tvarkytojui draudžiama pasitelkti pagalbinius duomenų tvarkytojus be išankstinio duomenų valdytojo leidimo (60). Įgaliotiesiems duomenų valdytojams suteikta galimybė naudotis standartiniu duomenų tvarkymo susitarimu (61). Be to, jei duomenų tvarkytojas yra trečiojoje valstybėje, bet koks dalijimasis asmens duomenimis su juo taip pat turi atitikti DAT reikalavimus, taikomus tarptautiniam duomenų perdavimui, kaip aprašyta šio sprendimo 68–73 konstatuojamosiose dalyse (62).

(22)

Asmens duomenys turi būti tvarkomi teisėtai ir sąžiningai.

(23)

Šie bendrieji principai DAT 4 straipsnio 2 dalies a punkte nustatyti taip, kad juos galima laikyti sutampančiais su Reglamento (ES) 2016/679 5 straipsnio 1 dalies a punkte nustatytais bendraisiais principais.

(24)

Teisėtumo principas plačiau aprašytas DAT 5 straipsnyje, kuriame nurodyti galimi teisiniai asmens duomenų tvarkymo pagrindai. Šie teisiniai pagrindai yra a) būtinybė atlikti užduotį vykdant oficialią EPO veiklą (63) arba teisėtai vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas, kurios apima Tarnybos valdymui ir veikimui būtiną duomenų tvarkymą (64), b) būtinybė vykdyti duomenų valdytojui taikomą teisinę prievolę (pvz., skelbti patento paraiškoje nurodytą informaciją Europos patentų registre) (65), c) būtinybė įvykdyti sutartį, kurios šalis yra duomenų subjektas, arba prieš sudarant sutartį imtis veiksmų duomenų subjekto prašymu, d) duomenų subjekto sutikimas arba e) būtinybė apsaugoti gyvybinius duomenų subjekto arba kito fizinio asmens interesus.

(25)

Sutikimas Duomenų apsaugos taisyklėse apibrėžtas taip pat, kaip Reglamente (ES) 2016/679, t. y. kaip bet koks laisva valia duotas, konkretus ir nedviprasmiškas tinkamai informuoto duomenų subjekto valios išreiškimas pareiškimu arba vienareikšmiais veiksmais, kuriais jis sutinka, kad būtų tvarkomi su juo susiję asmens duomenys (66). Tai, kad duomenų subjektas sutiko, turi įrodyti duomenų valdytojas (67). Vertinant, ar sutikimas duotas laisva valia, turėtų būti atsižvelgiama į tai, ar sutarties vykdymui yra nustatyta sąlyga, kad turi būti duotas sutikimas tvarkyti duomenis, kurie nėra būtini tai sutarčiai vykdyti (68). Sutikimas negali būti laikomas duotu laisva valia, jei duomenų subjektas faktiškai neturi laisvo pasirinkimo arba negali atsisakyti sutikti ar sutikimo atšaukti, nepatirdamas žalos (69). Be to, kad sutikimas būtų duotas informuoto duomenų subjekto, Duomenų apsaugos taisyklėse reikalaujama, kad jis žinotų bent duomenų valdytojo tapatybę ir numatomo asmens duomenų tvarkymo tikslus (70). Galiausiai duomenų subjektas turi teisę sutikimą bet kada atšaukti (71).

(26)

Tvarkant specialių kategorijų duomenis, turi būti taikomos konkrečios apsaugos priemonės.

(27)

Duomenų apsaugos taisyklėse nustatytos konkrečios taisyklės dėl specialių kategorijų asmens duomenų tvarkymo (72). Šie duomenys apibrėžiami taip pat, kaip Reglamente (ES) 2016/679, t. y. kaip asmens duomenys, atskleidžiantys rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus ar narystę profesinėse sąjungose, genetiniai duomenys (73) arba biometriniai duomenys (74) , tvarkomi siekiant konkrečiai nustatyti fizinio asmens tapatybę, sveikatos duomenys (75) arba duomenys apie fizinio asmens lytinį gyvenimą ir lytinę orientaciją (76). Duomenų apsaugos taisyklėse nustatyta, kad tvarkyti specialių kategorijų duomenis iš esmės draudžiama, išskyrus atvejus, kai taikomos konkrečios išimtys (77).

(28)

Konkrečios DAT 11 straipsnio 2 dalyje išvardytos išimtys panašios į tas, kurios nurodytos Reglamento (ES) 2016/679 9 straipsnio 2 ir 3 dalyse, išskyrus kelis pritaikymus prie teisinės sistemos, kurioje veikia EPO. Tvarkyti specialių kategorijų asmens duomenis leidžiama tik konkrečiomis ribotomis aplinkybėmis (78), t. y. kai 1) duomenų subjektas yra davęs aiškų sutikimą, 2) tvarkyti duomenis būtina, kad būtų apsaugoti gyvybiniai asmens interesai (kai duomenų subjektas dėl fizinių ar teisinių priežasčių negali duoti aiškaus sutikimo), 3) duomenų subjektas asmens duomenis yra akivaizdžiai paviešinęs pats, 4) tvarkyti duomenis būtina konkrečiu su oficialios EPO veiklos vykdymu susijusiu tikslu arba vykdant duomenų valdytojui pavestas teisėtas funkcijas (79) arba 5) duomenis tvarkyti būtina siekiant pareikšti, vykdyti ar ginti teisinius reikalavimus.

(29)

Be 27 konstatuojamojoje dalyje nurodytų specialių kategorijų asmens duomenų, Duomenų apsaugos taisyklėse taip pat reikalaujama taikyti specialias apsaugos priemones tvarkant asmens duomenis apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas, t. y. šiuos duomenis leidžiama tvarkyti tik iš anksto pasikonsultavus su DAV arba kai tvarkyti šiuos duomenis reikalaujama teisiškai privalomu dokumentu, kuriuo užtikrinamos tinkamos asmens teisių ir laisvių apsaugos priemonės (80).

(30)

Asmens duomenys turi būti tvarkomi konkrečiu tikslu ir vėliau naudojami tik tiek, kiek tai nėra nesuderinama su jų tvarkymo tikslu.

(31)

Šis principas užtikrintas DAT 4 straipsnio 2 dalies b punktu, pagal kurį asmens duomenys turi būti renkami nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir toliau netvarkomi su šiais tikslais nesuderinamu būdu.

(32)

Duomenų apsaugos taisyklėse, kaip ir Reglamente (ES) 2016/679, toliau tvarkyti duomenis (neatsižvelgiant į tolesnio duomenų tvarkymo tikslo suderinamumą su pirminiu tikslu) leidžiama remiantis aiškiu duomenų subjekto sutikimu arba taikomomis EPO teisės nuostatomis (81). Duomenų apsaugos taisyklėse reikalaujama, kad pastaruoju atveju duomenų tvarkymas būtų būtina ir proporcinga bendro viešojo intereso tikslo (82) apsaugos priemonė.

(33)

Jei tolesnis duomenų tvarkymas nėra grindžiamas šiais dviem pagrindais, Duomenų apsaugos taisyklėse nurodyti veiksniai, į kuriuos turi būti atsižvelgiama vertinant tolesnio duomenų tvarkymo tikslo suderinamumą su tikslu, kuriuo asmens duomenys iš pradžių buvo surinkti (83). Šis požiūris ir Duomenų apsaugos taisyklėse išvardyti veiksniai yra tokie pat, kaip nustatyta Reglamento (ES) 2016/679 6 straipsnio 4 dalyje ir Reglamento (ES) 2018/1725 6 straipsnyje (84).

(34)

Asmens duomenys turi būti tikslūs, o prireikus turi būti atnaujinami. Duomenys taip pat turi būti adekvatūs, tinkami ir nepertekliniai atsižvelgiant į jų tvarkymo tikslus ir iš esmės saugomi ne ilgiau, nei būtina atsižvelgiant į asmens duomenų tvarkymo tikslus.

(35)

Šie principai DAT 4 straipsnio 2 dalies c, d ir e punktuose nustatyti taip pat, kaip Reglamente (ES) 2016/679.

(36)

Asmens duomenys taip pat turi būti tvarkomi taip, kad būtų užtikrintas jų saugumas, įskaitant apsaugą nuo neleistino ar neteisėto tvarkymo ir netyčinio praradimo, sunaikinimo ar sugadinimo. Todėl verslo subjektai turi imtis tinkamų techninių ir organizacinių priemonių, kad asmens duomenis apsaugotų nuo galimų grėsmių. Tokios priemonės turi būti įvertintos atsižvelgiant į techninių galimybių išsivystymo lygį ir susijusias sąnaudas.

(37)

Duomenų saugumas EPO sistemoje įtvirtintas vientisumo ir konfidencialumo principu, kuris DAT 4 straipsnio 2 dalies f punkte ir 33 straipsnyje nustatytas beveik taip pat kaip Reglamente (ES) 2016/679. Konkrečiai Duomenų apsaugos taisyklėse reikalaujama tinkamomis techninėmis ir organizacinėmis priemonėmis užtikrinti pavojui tinkamo lygio saugumą, atsižvelgiant į techninių galimybių išsivystymo lygį, įgyvendinimo sąnaudas, duomenų tvarkymo pobūdį, aprėptį, kontekstą bei tikslus ir įvairios tikimybės bei rimtumo pavojus fizinių asmenų teisėms ir laisvėms.

(38)

Be to, Duomenų apsaugos taisyklėse nustatyti konkretūs reikalavimai dėl to, ką daryti įvykus duomenų saugumo pažeidimui (85) ir kaip apie jį pranešti. Pirma, reikalaujama, kad duomenų valdytojas apie duomenų saugumo pažeidimą nedelsdamas (jei įmanoma, ne vėliau kaip per 72 val. nuo sužinojimo apie jį) praneštų duomenų apsaugos pareigūnui, išskyrus atvejus, kai nėra tikėtina, kad dėl pažeidimo kils pavojus asmens teisėms ir laisvėms (86). Duomenų tvarkytojas taip pat turi nedelsdamas pranešti apie pažeidimą duomenų valdytojui (87). Pranešime visų pirma būtina aprašyti pažeidimo pobūdį, tikėtinas jo pasekmes ir priemones, kurių imtasi arba siūloma imtis pažeidimui pašalinti (88). Kai dėl duomenų saugumo pažeidimo gali kilti didelis pavojus asmens teisėms ir laisvėms, duomenų valdytojas apie asmens duomenų saugumo pažeidimą privalo nedelsdamas pranešti ir duomenų subjektui (89). Duomenų subjektui skirtame pranešime būtina aiškia ir paprasta kalba aprašyti asmens duomenų saugumo pažeidimo pobūdį (90), bet pranešti nereikia, jei duomenų valdytojas vėliau ėmėsi priemonių, kuriomis užtikrinta, kad nebekiltų didelis pavojus duomenų subjektų teisėms ir laisvėms (91).

(39)

Duomenų subjektai turi būti informuojami apie pagrindinius jų asmens duomenų tvarkymo aspektus.

(40)

Duomenų apsaugos taisyklėse reikalaujama, kad duomenų valdytojas asmens duomenų gavimo metu pateiktų asmenims informaciją, pirmiausia – savo tapatybės informaciją ir kontaktinius duomenis (taip pat kontaktinius duomenų apsaugos pareigūno duomenis), nurodytų duomenų tvarkymo tikslą ir teisinį pagrindą, duomenų gavėjus arba jų kategorijas, tai, kad ketina perduoti duomenis ne EPO, ir taikomas teises bei galimybę reikalauti atlyginti žalą (92). Tai taikoma ir tuo atveju, kai asmens duomenys tvarkomi kitu tikslu nei tas, kuriuo duomenys buvo surinkti (93). Abi prievolės taikomos tik jei susijęs asmuo šios informacijos dar neturi (94).

(41)

Tokią pat informaciją būtina pateikti duomenų subjektams, kai asmens duomenys renkami ne tiesiai iš jų, kartu pateikiant papildomą informaciją apie asmens duomenų šaltinį ir susijusių duomenų kategorijas (95). Šią informaciją būtina pateikti per pagrįstą laikotarpį nuo duomenų gavimo (bet ne vėliau kaip per vieną mėnesį), atsižvelgiant į konkrečias duomenų tvarkymo aplinkybes (96). Jei asmens duomenys bus naudojami ryšiams su duomenų subjektu palaikyti, tokia pat informacija turėtų būti pateikiama ne vėliau kaip pirmą kartą susisiekiant su asmeniu (97). 40 konstatuojamojoje dalyje nurodytą informaciją taip pat būtina pateikti prieš bet kokį tolesnį duomenų tvarkymą arba, jei juos numatyta atskleisti kitam duomenų gavėjui, – bent tuo metu, kai asmens duomenys atskleidžiami trečiajai šaliai (98). Ši prievolė netaikoma keliais atvejais, t. y. kai duomenų subjektas atitinkamą informaciją jau turi, ši informacija turi išlikti konfidenciali dėl prievolės saugoti profesinę paslaptį, reglamentuojamą remiantis EPK ir (arba) kitomis Europos patentų organizacijai taikomomis teisės nuostatomis (99), paaiškėja, kad pateikti šios informacijos neįmanoma arba tam prireiktų neproporcingai daug pastangų, visų pirma, kai duomenys tvarkomi archyvavimo, mokslinių, istorinių tyrimų arba statistiniais tikslais, jei ją pateikus nebebūtų įmanoma arba būtų labai sunku pasiekti to duomenų tvarkymo tikslus, arba jei šios informacijos gavimas arba atskleidimas aiškiai nustatytas EPK arba kitose taikomose teisės nuostatose, kuriose numatytos tinkamos duomenų subjekto teisėtų interesų apsaugos priemonės (100).

(42)

Duomenų subjektai turi turėti tam tikras teises, kurias galėtų įgyvendinti duomenų valdytojo arba duomenų tvarkytojo atžvilgiu, pirmiausia – teisę susipažinti su duomenimis, teisę reikalauti ištaisyti duomenis, teisę nesutikti su duomenų tvarkymu ir teisę reikalauti ištrinti duomenis. Vis dėlto šioms teisėms gali būti taikomi apribojimai, jei jie būtini ir proporcingi, siekiant apsaugoti svarbius bendro viešojo intereso tikslus.

(43)

Tai, kad būtina sudaryti palankias sąlygas naudotis asmens teisėmis, nustatyta Tarnybos nuostatų 1B straipsnio 4 dalyje. Šis reikalavimas toliau įgyvendinamas Duomenų apsaugos taisyklėse asmenims nustatant tokias pat teises, kokios nustatytos Reglamente (ES) 2016/679, t. y. teisę susipažinti su duomenimis (DAT 18 straipsnis), teisę reikalauti ištaisyti duomenis (DAT 19 straipsnis), teisę reikalauti ištrinti duomenis (DAT 20 straipsnis), teisę apriboti duomenų tvarkymą (DAT 21 straipsnis), teisę į duomenų perkeliamumą (DAT 22 straipsnis), teisę nesutikti (DAT 23 straipsnis) ir teisę į tai, kad nebūtų taikomas automatizuotas sprendimų priėmimas (DAT 24 straipsnis).

(44)

Į Duomenų apsaugos taisykles taip pat įtrauktos bendrosios nuostatos dėl to, kaip nagrinėti iš asmenų gautus naudojimosi teisėmis prašymus, pagal kurias reikalaujama, kad duomenų valdytojas su duomenų subjektais bendrautų aiškia ir paprasta kalba, glausta, skaidria, suprantama ir lengvai prieinama forma (raštu arba kitomis priemonėmis) (101). Atsakydamas į prašymą, duomenų valdytojas nedelsdamas, tačiau bet kuriuo atveju ne vėliau kaip per vieną mėnesį nuo prašymo gavimo privalo pateikti asmenims informaciją apie priemones, kurių imtasi (šis laikotarpis gali būti pratęsiamas dar dviem mėnesiams, kai tai būtina atsižvelgiant į prašymų sudėtingumą ir skaičių) (102). Jei duomenų subjekto prašymai yra akivaizdžiai nepagrįsti arba neproporcingi, visų pirma, dėl jų pasikartojančio turinio, imtis veiksmų dėl prašymo duomenų valdytojas gali atsisakyti (103). Jei duomenų valdytojas nesiima veiksmų dėl prašymo, jis apie tai privalo informuoti asmenį ir pateikti jam informaciją apie galimybę ginti savo teises (104).

(45)

Pirma, dėl teisės susipažinti su duomenimis pažymėtina, kad Duomenų apsaugos taisyklėse asmenims suteikiama teisė iš EPO gauti patvirtinimą dėl to, ar tvarkomi su jais susiję asmens duomenys, o jei jie tvarkomi – galimybė lengvai (105) ir pagrįstais intervalais (106) su šiais asmens duomenimis susipažinti. Be to, asmenys turi teisę gauti informaciją, ypač apie duomenų tvarkymo tikslą, susijusių duomenų kategorijas, duomenų gavėjus, su kuriais dalijamasi duomenimis, ir numatomą duomenų saugojimo laikotarpį (107).

(46)

Antra, Duomenų apsaugos taisyklėse nustatyta, kad, naudodamiesi jose nustatyta teise reikalauti ištaisyti duomenis, asmenys gali reikalauti, kad būtų ištaisyti netikslūs duomenys arba papildyti neišsamūs duomenys (pvz., pateikti papildomą pareiškimą) (108). Kai duomenys ištaisomi, duomenų valdytojas apie tai privalo pranešti kiekvienam duomenų gavėjui, kuriam šie asmens duomenys buvo atskleisti (109). Duomenų apsaugos taisyklėse nustatyta, kad teisė reikalauti ištaisyti duomenis taikoma objektyviems ir faktiniams duomenims, o ne subjektyviems pareiškimams (110), – vis dėlto šiuo atveju asmenims leidžiama papildyti esamus duomenis antrąja nuomone, priešpriešinėmis ekspertinėmis išvadomis arba pateikti pastabų (111).

(47)

Trečia, Duomenų apsaugos taisyklėse taip pat nustatyta, kad asmenys turi teisę reikalauti ištrinti duomenis (112), ypač jei a) asmens duomenų nebereikia jų tvarkymo tikslu, b) duomenų subjektas atšaukia sutikimą ir nebėra kito teisinio šių duomenų tvarkymo pagrindo, c) duomenų subjektas nesutinka su duomenų tvarkymu ir nėra viršesnių teisėtų priežasčių tvarkyti duomenis, d) duomenys buvo tvarkomi neteisėtai arba e) duomenys turi būti ištrinti, siekiant įvykdyti teisinę duomenų valdytojui taikomą prievolę (113). Duomenų valdytojas apie kiekvieną duomenų ištrynimą turi pranešti kiekvienam duomenų gavėjui, su kuriuo duomenimis buvo pasidalyta, išskyrus atvejus, kai paaiškėja, kad tai neįmanoma arba tam prireiktų neproporcingai daug pastangų (114). Jei duomenų valdytojas asmens duomenis paskelbė viešai, jis taip pat privalo imtis pagrįstų veiksmų, siekdamas informuoti kitus šiuos duomenis tvarkančius duomenų valdytojus apie tai, kad asmuo pareikalavo juos ištrinti (115). Teisė reikalauti ištrinti duomenis netaikoma, jei tvarkyti duomenis būtina šiais scenarijais: a) siekiant pasinaudoti teise į saviraiškos ir informacijos laisvę, b) siekiant įvykdyti teisinę EPO prievolę ar įsipareigojimą, kylantį iš EPO pareigos bendradarbiauti su savo susitariančiosiomis valstybėmis (116), arba vykdyti Europos patentų organizacijai pavestas viešosios valdžios funkcijas (117), c) dėl bendradarbiavimo su susitariančiosiomis valstybėmis viešosios sveikatos srityje priežasčių (118), d) archyvavimo, mokslinių arba istorinių tyrimų ir statistiniais tikslais (jei ištrynus duomenis gali tapti neįmanoma pasiekti duomenų tvarkymo tikslo arba atsirasti rimta kliūtis juos pasiekti) arba e) siekiant pareikšti, vykdyti arba apginti teisinius reikalavimus (119).

(48)

Ketvirta, DAP 21 straipsnyje nustatyta teisė apriboti duomenų tvarkymą, t. y. pažymėti duomenis, siekiant apriboti jų tvarkymą ateityje (įskaitant programavimo priemones, kuriomis galima visam laikui neleisti susipažinti su šiais duomenimis) (120). Šia teise pirmiausia galima remtis tuo atveju, kai asmuo užginčija asmens duomenų tikslumą (laikotarpiui, kurio duomenų valdytojui reikia tikslumui patikrinti) arba kai duomenų tvarkymas yra neteisėtas, bet asmuo nesutinka su tuo, kad duomenys būtų ištrinti (121). Jei duomenų tvarkymas yra apribotas, asmens duomenys, išskyrus saugojimą, gali būti tvarkomi tik su aiškiu asmens sutikimu, siekiant pareikšti, vykdyti arba ginti teisinius reikalavimus, apsaugoti kitų teises arba vykdant užduotį, atliekamą vykdant oficialią EPO veiklą (t. y. užduotį, būtiną administraciniam arba techniniam darbui, kurį EPO turi atlikti pagal Europos patentų konvenciją) (122).

(49)

Penkta, Tarnybos nuostatų 1B straipsnio 4 dalyje ir DAT 23 straipsnyje nustatyta teisė nesutikti. Asmenys pirmiausia turi teisę bet kada nesutikti su asmens duomenų tvarkymu, atliekamu siekiant įvykdyti užduotį, vykdant oficialią EPO veiklą arba teisėtai vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas (123). Asmenis būtina aiškiai informuoti apie šios teisės taikymą ne vėliau kaip su jais susisiekiant pirmą kartą (124). Duomenų apsaugos taisyklėse reikalaujama, kad, jei asmuo nesutinka su asmens duomenų tvarkymu, duomenų valdytojas turi nustoti tvarkyti asmens duomenis, išskyrus atvejus, kai gali įrodyti, kad duomenys tvarkomi dėl įtikinamų teisėtų priežasčių, kurios yra viršesnės už duomenų subjekto interesus, teises ir laisves, arba siekiant pareikšti, vykdyti ar apginti teisinius reikalavimus (125).

(50)

Šešta, Duomenų apsaugos taisyklėse nustatyta teisė į duomenų perkeliamumą, kuria asmenims suteikiama galimybė gauti savo asmens duomenis susistemintu, įprastai naudojamu ir kompiuterio skaitomu formatu ir persiųsti šiuos duomenis kitam duomenų valdytojui (126). Ši teisė taikoma, kai duomenys yra tvarkomi automatizuotomis priemonėmis ir remiantis asmens sutikimu arba siekiant įvykdyti su asmeniu sudarytą sutartį ar įvykdyti sutartį asmens interesais (127).

(51)

Galiausiai, remiantis Duomenų apsaugos taisyklėmis, asmenys turi teisė į tai, kad jiems nebūtų taikomas automatizuotas sprendimų priėmimas, t. y. sprendimai, grindžiami tik automatizuotu duomenų tvarkymu, įskaitant profiliavimą, dėl kurių jiems kyla teisinių pasekmių arba kurie jiems panašiu būdu daro didelį poveikį (128). Duomenų apsaugos taisyklėse nustatyta, kad automatizuotas sprendimų priėmimas gali vykti, jei yra grindžiamas aiškiu duomenų subjekto sutikimu arba yra būtinas siekiant sudaryti sutartį su asmeniu arba ją įvykdyti, – šiuo atveju duomenų valdytojas privalo įgyvendinti tinkamas apsaugos priemones, pvz., suteikti teisę reikalauti žmogaus įsikišimo, teisę asmeniui pareikšti savo požiūrį ir užginčyti sprendimą (129). Automatizuotas sprendimų priėmimas taip pat gali būti leidžiamas teisės aktu, jei jame nustatytos tinkamos asmens teisių apsaugos priemonės (130). Jei duomenų valdytojas taiko automatizuotą sprendimų priėmimą, įskaitant profiliavimą, jis, vykdydamas prievoles užtikrinti skaidrumą, apie tai privalo aktyviai informuoti asmenį ir turi pateikti prasmingą informaciją apie loginį šio sprendimų priėmimo pagrindimą, taip pat tokio duomenų tvarkymo reikšmę ir numatomas pasekmes duomenų subjektui (131). Tokią pat informaciją būtina pateikti gavus prašymą (132).

(52)

DAT 23 straipsnyje, kaip ir kaip Reglamento (ES) 2016/679 25 straipsnyje bei Reglamento (ES) 2018/1725 25 straipsnyje, nurodyta, kad konkrečiomis EPO teisinės sistemos teisės nuostatomis 43–51 konstatuojamosiose dalyse nurodytų teisių taikymas gali būti apribojamas (133) (t. y. jų taikymas gali būti apribojamas laikinai) (134), jei šiuo apribojimu nepažeidžiama pagrindinių teisių (135) ir laisvių esmė ir jis demokratinėje visuomenėje yra būtina ir proporcinga priemonė konkretiems tikslams apsaugoti (136). Be to, apribojimas turi būti nustatytas aiškiomis ir tiksliomis nuostatomis, kuriomis siekiama sukelti teisinių pasekmių duomenų subjektams ir kurios turi būti patvirtintos ne žemesniu nei prezidento lygmeniu (137). Šiose nuostatose pirmiausia būtina nustatyti duomenų tvarkymo tikslą, apribojimo apimtį, apsaugos nuo piktnaudžiavimo priemones, saugojimo laikotarpius ir taikomas apsaugos priemones (138).

(53)

Šiuo metu vienintelė teisinė priemonė, kurioje nustatyti asmens teisių apribojimai, yra Aplinkraštis Nr. 420 (prezidento priimta teisiškai privaloma priemonė). Jame paaiškinta, kaip ir kokiomis sąlygomis duomenų valdytojas gali taikyti apribojimus, ir išsamiai nurodyti konkretūs scenarijai, kuriais teises galima apriboti, ir kokiais tikslais jas galima apriboti (139). Konkrečiai jame nurodyta, kad EPO gali apriboti asmens teises tam tikrais konkrečiais tikslais: a ir b) taikydama su savo darbuotojais susijusias tyrimo arba drausmines procedūras (140), c) kai sprendžiami vidaus ginčai arba pareiškiami, vykdomi ar ginami teisiniai reikalavimai, įskaitant arbitražą, siekiant apsaugoti iš šalių, įstojusių į bylą šalių arba kitų teisėtų šaltinių gautą konfidencialią informaciją ir dokumentus, d) kai, taikant medicinos procedūras, tvarkomi sveikatos duomenys ir jie tvarkomi medicinos dokumentuose, bet tik siekiant apsaugoti asmens teises (141), e ir f) kai atliekami vidaus auditai ir patikrinimai (pastaruosius atlieka DAP), g) IT incidentų valdymo ir fizinio saugumo incidentų ataskaitų rengimo tikslais ir h) kai teikiama parama kompetentingoms valdžios institucijoms arba gaunama parama iš jų, taip pat iš EPO susitariančiųjų valstybių ir tarptautinių organizacijų, arba su jomis jų prašymu arba pačios Tarnybos iniciatyva bendradarbiaujama dėl atitinkamuose susitarimuose dėl paslaugų lygio, susitarimo memorandumuose ir bendradarbiavimo susitarimuose apibrėžtos veiklos (142).

(54)

Tai, ar konkrečiu atveju galima taikyti apribojimą, atsižvelgdamas į susijusias aplinkybes, atskirais atvejais sprendžia duomenų valdytojas (143). Spręsdamas, ar taikyti apribojimą, duomenų valdytojas, dalyvaujant duomenų apsaugos pareigūnui, pirmiausia turi įvertinti šio apribojimo būtinumą ir proporcingumą konkrečiu atveju (144). Šis vertinimas apima galimų pavojų duomenų subjekto teisėms ir laisvėms palyginimą su kitiems duomenų subjektams kylančiais pavojais ir šių duomenų subjektų laisvėmis, taip pat su pavojais, kad gali būti trukdoma pasiekti duomenų tvarkymo operacijos tikslą ir rezultatą (145). Apribojimai turi būti dokumentuojami, be kita ko, užregistruojant apribotų teisių vertinimą, jų apribojimo laikotarpį, priežastis ir pagrindus (146). Be to, apribojimo galiojimo metu būtina taikyti tinkamas technines ir organizacines priemones (147). Bet koks apribojimas gali būti taikomas tik tol, kol esama priežasčių jį taikyti (148). Jei apribojama teisė, duomenų valdytojas privalo informuoti asmenį apie pagrindines šio apribojimo priežastis ir teisę pateikti skundą (149).

(55)

EPO steigiamosios sutarties (t. y. EPK) nuostatose, PKS nuostatose ir pagal jas taikomose nuostatose (visos jos yra EPO pirminės teisės aktai) nustatyti tam tikri konkretūs patentų išdavimo procedūrai taikomi reikalavimai, galintys daryti poveikį tam tikroms Duomenų apsaugos taisyklėse nustatytoms teisėms (150). PIP sprendime pateikta šių pirminės teisės aktų reikalavimų apžvalga, paaiškinta, kaip šiomis aplinkybėmis gali būti naudojamasi duomenų subjektų teisėmis ir aiškiai nustatytos galimos išimtys (151). Aplinkraštyje Nr. 420 nustatyta, kad šiose nuostatose, kuriomis galima apriboti duomenų apsaugos teisių taikymą, turi būti aiškiai nustatyta bet kokios išimties taikymo sritis ir taip užtikrinta įvairių konkrečių interesų pusiausvyra (152).

(56)

Pirma, EPK 127 straipsnyje nustatyta, kad Tarnyba privalo tvarkyti Europos patentų registrą, kuriame skelbiami tam tikri teisiškai apibrėžti asmens duomenys. Pagal pirminės teisės aktus, patentų paraiškos per patentų išdavimo procedūrą paprastai turi būti paskelbiamos kuo greičiau, kai tik praeina aštuoniolika mėnesių nuo paraiškos pateikimo dienos. Europos patentų konvencijoje nurodyta, kad su šiose patentų paraiškose pateiktais asmens duomenimis galima susipažinti susipažįstant su byla arba registru (153). Kol patentų paraiškos nepaskelbtos, su jomis be aiškaus pareiškėjo sutikimo susipažinti negalima. Panašios taisyklės nustatytos Patentinės kooperacijos sutartyje (154).

(57)

Antra, Europos patentų konvencijoje konkrečiai reglamentuojama galimybė reikalauti, kad būtų pakeista per patentų išdavimo procedūrą naudojama informacija (155). Konkrečiai Europos patentų konvencijoje numatyta tik galimybė reikalauti ištaisyti Europos patentų organizacijai pateiktų dokumentų klaidas (156), sprendimų klaidas (157), vertimus (158) ir patikslinti išradėjo nuorodą (159). Todėl pasiekti, kad būtų patikslinti asmens duomenys, kurie yra įtraukti į taikant patentų išdavimo procedūrą naudojamus dokumentus, įmanoma tik šiais atvejais. Tai taikoma ir galimybei reikalauti apriboti duomenų tvarkymą (160).

(58)

Trečia, Europos patentų konvencijoje nustatyti konkretūs tam tikriems taikant patentų išdavimo procedūrą naudojamiems dokumentams taikomi laikymo ir skelbimo reikalavimai, darantys poveikį galimybei reikalauti, kad juose pateikta informacija, įskaitant asmens duomenis, būtų ištrinta (161). Paskelbtos patentų paraiškos ir Europos patentų biuletenyje paskelbta patentų informacija pirmiausia turi būti saugoma ir laikoma taip, kad su ja galėtų susipažinti visuomenė (162). Todėl, ištrynus šiuose dokumentuose pateiktus asmens duomenis, būtų pažeistos pagrindinės teisinės EPO prievolės (EPK 129 straipsnio a punktas), todėl pasiekti, kad jie būtų ištrinti, neįmanoma. Kitas bylas EPO privalo laikyti Europos patentų konvencijoje nurodytą laikotarpį, kuris iš esmės yra penkeri metai (163). Todėl pasiekti, kad šio laikotarpio galiojimo metu šiose bylose esanti informacija (įskaitant asmens duomenis) būtų ištrinta, neįmanoma.

(59)

Taigi, apribojimus, kurie taikomi naudojimuisi teisėmis, kylančiomis iš 55–58 konstatuojamosiose dalyse nurodytų nuostatų, pirmiausia atsižvelgiant į ribotą šių apribojimų taikymo sritį ir sąlygas, galima laikyti apribotais tiek, kiek būtina ir proporcinga siekiant užtikrinti tinkamą patentų išdavimo procedūros veikimą, kaip reikalaujama siekiant atlikti dėl viešojo intereso vykdomas oficialias EPO užduotis. Tais atvejais, kai naudojimasis duomenų apsaugos teisėmis Europos patentų konvencija ir Patentinės kooperacijos sutartimi konkrečiai nereglamentuojamas, t. y. visais kitais nei 55–58 konstatuojamosiose dalyse aprašytais scenarijais, DAT reikalavimai taikomi visapusiškai.

(60)

Iš Sąjungos Europos patentų organizacijai perduodamų asmens duomenų apsaugos lygis negali sumažėti tokius duomenis toliau perduodant duomenų gavėjams trečiojoje valstybėje arba kitoje tarptautinėje organizacijoje.

(61)

Duomenų apsaugos taisyklėse skiriamas asmens duomenų perdavimas viduje (t. y. EPO dalijimasis duomenimis su savo susitariančiosiomis valstybėmis) ir asmens duomenų perdavimas į išorę (EPO dalijimasis su duomenimis su bet kuriuo kitu EPO nepriklausančiu asmeniu arba subjektu) (164).

(62)

Pirma, Duomenų apsaugos taisyklėse nustatyta, kad duomenys EPO susitariančiosios valstybės nacionalinei intelektinės nuosavybės tarnybai gali būti perduodami, jei a) šie duomenys būtini į duomenų gavėjo kompetencijos taikymo sritį patenkančioms užduotims atlikti ar viešosios valdžios funkcijai įvykdyti ir b) šiuos duomenis perduoti būtina, kad EPO galėtų įvykdyti oficialias užduotis ir (arba) viešosios valdžios funkcijas (165). Šie duomenys perduodami taikant Europos patentų konvencijoje ir Patentinės kooperacijos sutartyje nustatytą patentų išdavimo procedūrą (166).

(63)

Antra, pagal DAT leidžiama perduoti duomenis EPO susitariančiosios valstybės valdžios institucijai (167), jei šie duomenys būtini šios valdžios institucijos užduotims įvykdyti, o jų perdavimas yra suderinamas su EPO užduotimis ir veikimu (168). Pagal EPK arba kitas teisines priemones, kuriomis reglamentuojama patentų išdavimo procedūra, perduoti šių duomenų konkrečiai nereikalaujama, bet juos perduoti vis tiek gali būti būtina, kad būtų galima įvykdyti EPO užduotis, pvz., bendradarbiauti su savo susitariančiosiomis valstybėmis per konsultavimosi procesus, komandiruoti ir siųsti ekspertus arba teikti informaciją apie EPO darbuotojus, siekiant nustatyti socialines išmokas, su mokesčiais susijusius reikalavimus ir pan.

(64)

Duomenų apsaugos pareigūnas yra parengęs į susitarimo memorandumus, kuriais reglamentuojamas šis duomenų perdavimas, apibūdintas 62 ir 63 konstatuojamosiose dalyse, įtrauktinas pavyzdines sąlygas, kuriose, be kita ko, nustatyti duomenų apsaugos principai, tolesnis duomenų tvarkymas leidžiamas tik suderinamais tikslais, nustatytos duomenų subjektų teisės ir su duomenų saugumu, jo pažeidimais ir nepriklausoma priežiūra susijusios prievolės (169).

(65)

Abiem 62 ir 63 konstatuojamosiose dalyse aprašytais scenarijais duomenų gavėjas pagal DAT privalo pateikti įrodymus, kad duomenis būtina perduoti konkrečiu tikslu, kylančiu iš EPO įsipareigojimų bendradarbiauti su susitariančiąja (-iosiomis) valstybe (-ėmis) (170). Duomenų valdytojas dėl kiekvieno duomenų perdavimo privalo gebėti įrodyti, kad šis duomenų perdavimas yra būtinas ir proporcingas atsižvelgiant į konkretų tikslą, kuriuo jais dalijamasi (171). Bet koks duomenų perdavimas turi būti vykdomas taip, kad būtų išlaikytas DAT nustatytas apsaugos lygis (172). Remiantis duomenų apsaugos pareigūno paskelbtomis gairėmis, tai reiškia, kad įdiegiamos tinkamos apsaugos priemonės, be kita ko, užtikrinant, kad duomenų, kuriais siekiama dalytis, kiekis būtų kuo mažesnis ir kad būtų apsiribota tuo, kas adekvatu, tinkama ir tikrai būtina tam tikslui pasiekti (173). Jei yra priežasčių manyti, kad gali būti daromas poveikis teisėtiems susijusio asmens interesams, duomenų valdytojas, įvertinęs įvairius konkrečius interesus, privalo konstatuoti, kad perduoti asmens duomenis šiuo konkrečiu tikslu yra proporcinga (174).

(66)

Dėl šių dviejų scenarijų taip pat svarbu pažymėti, kad visos EPO susitariančios valstybės yra Europos žmogaus teisių ir pagrindinių laisvių apsaugos konvencijos šalys, kurioms taikoma Europos žmogaus teisių teismo jurisprudencija, ir Europos Tarybos konvencijos dėl asmenų apsaugos ryšium su asmens duomenų automatizuotu tvarkymu (ETS Nr. 108) šalys.

(67)

Galiausiai pagal Duomenų apsaugos taisykles leidžiama perduoti duomenis Europos ekonominėje erdvėje (EEE) esančiam duomenų tvarkytojui, jei užtikrinama atitiktis šiose taisyklėse nustatytiems reikalavimams dėl duomenų tvarkytojų pasitelkimo (175).

(68)

Dalijimasis asmens duomenimis su bet kokiu Europos patentų organizacijai nepriklausančiu asmeniu, kuris nėra valdžios institucija arba EPO susitariančiųjų valstybių narių nacionalinės intelektinės nuosavybės tarnybos arba Europos ekonominėje erdvėje esantis duomenų tvarkytojas, vadinamas asmens duomenų perdavimu į išorę, kuriam taikomi konkretūs DAT reikalavimai (176). Šie reikalavimai taikomi, pvz., dalijimuisi duomenimis su ne Europos ekonominėje erdvėje esančiais duomenų tvarkytojais, susitariančiosiose valstybėse arba ne jose esančiais duomenų valdytojais, valstybių, kurios nėra susitariančiosios valstybės, valdžios institucijomis ir kitomis tarptautinėmis organizacijomis. Apskritai Duomenų apsaugos taisyklėse reikalaujama, kad, perduodant duomenis trečiosioms šalims, nebūtų sumažintas duomenų apsaugos lygis, kurį EPO užtikrina asmenims (177). Duomenų apsaugos pareigūno gairėse nurodyta, kad trečiajai valstybei arba tarptautinei organizacijai perduodamų duomenų apsauga turi iš esmės būti lygiavertė Duomenų apsaugos taisyklėmis užtikrinamai apsaugai (178).

(69)

Duomenų apsaugos taisyklėse nustatyta, kad asmens duomenys Europos patentų organizacijai nepriklausantiems subjektams gali būti perduodami, pirma, jei valstybė, kurioje yra duomenų gavėjas, arba tarptautinė organizacija užtikrina tinkamą apsaugos lygį ir duomenys perduodami tik siekiant sudaryti Europos patentų organizacijai sąlygas atlikti į jos kompetencijos sritį patenkančias užduotis (179). Sprendimą dėl tinkamumo priima prezidentas (180). Kilus abejonių, jis sprendimą priima pasikonsultavęs su duomenų apsaugos pareigūnu ir Duomenų apsaugos valdyba (181). Duomenų apsaugos pareigūnas yra parengęs tinkamumo pavyzdžius, kuriuose nustatyti sprendimų dėl tinkamumo priėmimo kriterijai (182). Trečiosios valstybės arba tarptautinės organizacijos teisinėje sistemoje pirmiausia turi būti nustatyti pagrindiniai duomenų apsaugos principai, duomenų subjektų teisės, taisyklės dėl tolesnio duomenų perdavimo, su procedūromis susiję bei vykdymo užtikrinimo mechanizmai ir asmenims skirtos teisių gynimo priemonės. Jei prezidentas yra priėmęs sprendimą dėl tinkamumo, duomenis galima perduoti neįgyvendinant papildomų apsaugos priemonių (183). Šiuo metu EPO laiko, kad tinkamą apsaugos lygį užtikrina valstybės narės, Norvegija, Islandija, Lichtenšteinas, visos valstybės, kurioms taikomas Komisijos sprendimas dėl tinkamumo (184), ir Sąjungos institucijos bei organai (185).

(70)

Remiantis Duomenų apsaugos taisyklėmis, jei nėra priimtas sprendimas dėl tinkamumo, duomenų valdytojas arba duomenų tvarkytojas gali perduoti asmens duomenis EPO nepriklausantiems duomenų gavėjams tik tuo atveju, jei duomenų valdytojas arba duomenų tvarkytojas yra nustatęs tinkamas apsaugos priemones, ir su sąlyga, kad suteikiama galimybė naudotis vykdytinomis duomenų subjektų teisėmis ir veiksmingomis duomenų subjektų teisių gynimo priemonėmis (186). Šios tinkamos apsaugos priemonės gali būti įtrauktos į administracinius susitarimus su valdžios institucijomis arba tarptautinėmis organizacijomis, sutarčių sąlygas (pasikonsultavus su DAV) (187) arba sertifikavimo mechanizmus (188). Duomenų apsaugos pareigūnas yra parengęs į administracinius susitarimus įtrauktinų nuostatų apžvalgą (189). Taip pat galima naudotis pavyzdiniu duomenų apsaugos susitarimu dėl duomenų perdavimo duomenų tvarkytojams (190). Pagal duomenų apsaugos pareigūno gaires, EPO privalo įvertinti, ar duomenų importuotojas negalėtų vykdyti pagal duomenų perdavimo priemonę jam tenkančių prievolių dėl jam taikomos teisinės sistemos, ir prireikus nustatyti papildomas priemones (191). Duomenų apsaugos pareigūnas Europos patentų organizacijos aiškinamajame rašte dėl asmens duomenų perdavimo viduje ir į išorę rekomenduoja, atliekant šį vertinimą, atsižvelgti į atitinkamas EDAV ir Europos duomenų apsaugos priežiūros pareigūno gaires (192).

(71)

Duomenų apsaugos taisyklėse nustatyta, kad dėl duomenų perdavimo į valstybes arba organizacijas, kurioms taikomas sprendimas dėl tinkamumo, ir duomenų perdavimo remiantis tinkamomis apsaugos priemonėmis Europos patentų organizacija privalo įrodyti kiekvieno duomenų perdavimo būtinumą ir proporcingumą, atsižvelgiant į duomenų tvarkymo tikslą (193). Be to, jei yra priežasčių manyti, kad gali būti pažeisti teisėti duomenų subjektų interesai, Europos patentų organizacija, įvertinusi įvairius susijusius interesus, turi įrodyti, kad duomenų perdavimas yra proporcingas (194). Be to, būtina užtikrinti (sutartinėmis apsaugos priemonėmis), kad duomenų gavėjas šiuos duomenis galėtų tvarkyti arba naudoti tik tais tikslais, kuriais jie buvo perduoti, o šį tikslą pasiekus privalėtų juos iš karto ištrinti (195).

(72)

Duomenų apsaugos taisyklėse nustatyta, kad, nesant sprendimo dėl tinkamumo arba tinkamų apsaugos priemonių, perduoti asmens duomenis Europos patentų organizacijai nepriklausantiems subjektams leidžiama tik išimtiniais atvejais, jei panašiomis sąlygomis, kokios nustatytos atitinkamose Sąjungos duomenų apsaugos teisės aktų nuostatose, taikoma vadinamoji leidžianti nukrypti nuostata (196). Taip yra, kai a) duomenų subjektas yra aiškiai sutikęs, kad duomenys būtų perduoti (197), b ir c) duomenų perdavimas yra nereguliarus ir būtinas su duomenų subjektu sudarytai arba jo interesus atitinkančiai sutarčiai įvykdyti (arba duomenų subjekto prašymu ikisutartinėms priemonėms įgyvendinti) (198), d) perduoti duomenis būtina siekiant atlikti užduotį vykdant oficialią EPO veiklą arba teisėtai vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas (199), e) duomenų perdavimas yra nereguliarus ir būtinas siekiant pareikšti, vykdyti ar ginti teisinius reikalavimus (200), f) perduoti duomenis būtina siekiant apsaugoti gyvybinius asmens interesus (kai duomenų subjektas dėl fizinių ar teisinių priežasčių negali duoti aiškaus sutikimo) (201) arba g) duomenys perduodami iš registro, kuris yra skirtas tam, kad su jame esančia informacija galėtų susipažinti visuomenė ir kuriuo gali naudotis plačioji visuomenė arba bet kuris teisėtai reikalaujantis asmuo, tačiau kiekvienu konkrečiu atveju turi būti įvykdytos naudojimosi tokiu registru sąlygos (202). Šiomis nuostatomis, atsižvelgiant į jų pobūdį ir remiantis DAP gairėmis, negali būti remiamasi perduodant duomenis sistemingai ir reguliariai (203).

(73)

Galiausiai dėl specialių kategorijų duomenų perdavimo į valstybes arba organizacijoms, dėl kurių nėra priimti sprendimai dėl tinkamumo, prezidentas dėl svarbių priežasčių, susijusių su teisėtu Tarnybai pavestų valdžios funkcijų vykdymu, šį duomenų perdavimą gali apriboti dar labiau (204). Kol kas prezidentas šiais įgaliojimais dar nėra pasinaudojęs.

(74)

Pagal atskaitomybės principą duomenis tvarkantys subjektai privalo nustatyti tinkamas technines ir organizacines priemones, kad veiksmingai laikytųsi duomenų apsaugos prievolių ir galėtų įrodyti (visų pirma kompetentingai priežiūros institucijai), kad jų laikosi.

(75)

DAT 4 straipsnio 1 dalyje nustatytas bendrasis atskaitomybės principas: paaiškinta, kad duomenų valdytojas yra atsakingas už DAT laikymąsi ir turi gebėti įrodyti jų laikymąsi. Duomenų valdytojas pirmiausia turi įgyvendinti tinkamas technines ir organizacines priemones, kuriomis užtikrinamas taisyklių laikymasis ir gebėjimas jį įrodyti, atsižvelgiant į duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus, ir galima patikrinti asmens teisėms kylančių pavojų tikimybę ir rimtumą (205). Šiuo atžvilgiu Duomenų apsaugos taisyklėse taip pat įgyvendinti integruotosios ir standartizuotosios privatumo apsaugos principai, nes reikalaujama, kad duomenų valdytojas įgyvendintų šiems duomenų apsaugos principams įgyvendinti skirtas priemones, užtikrintų DAT laikymąsi ir, kad standartizuotai būtų tvarkomi tik tie asmens duomenis, kurie yra būtini kiekvienu konkrečiu duomenų tvarkymo tikslu (206).

(76)

Duomenų valdytojai ir duomenų tvarkytojai privalo tvarkyti duomenų tvarkymo veiklos įrašus, apimančius, be kita ko, informaciją apie duomenų tvarkymo tikslą, tvarkomų duomenų kategorijas, duomenų gavėjų, kuriems duomenys atskleidžiami, kategorijas, ir visus asmens duomenų perdavimus (207). Šie įrašai iš esmės yra prieinami viešai (išskyrus atvejus, kai juose yra konfidencialios informacijos), įtraukti į viešai prieinamą Duomenų apsaugos registrą, o Duomenų apsaugos valdybos prašymu jai turi būti sudaroma galimybė su jais susipažinti (208). Kiekvienas veiklos skyrius taip pat turi paskirti bent vieną ryšių palaikymo duomenų apsaugos klausimais pareigūną (nuo vienų iki trejų metų kadencijai, kuri gali būti pratęsiama). Šis pareigūnas turi išklausyti privalomą duomenų apsaugos mokymą ir padėti duomenų valdytojui vykdyti prievoles (209).

(77)

Galiausiai Duomenų apsaugos taisyklėse nustatytos įvairios priemonės, kuriomis naudojantis duomenų valdytojui ir duomenų tvarkytojams gali būti lengviau laikytis jiems taikomų reikalavimų. Pavyzdžiui, Duomenų apsaugos taisyklėse nustatyta, kad patvirtintų sertifikavimo mechanizmų laikymusi gali būti remiamasi kaip Duomenų apsaugos taisyklėse nustatytų prievolių vykdymo įrodymu (210). Be to, Duomenų apsaugos taisyklėse reikalaujama tam tikromis sąlygomis atlikti poveikio duomenų apsaugai vertinimą arba iš anksto pasikonsultuoti su DAP ir DAV. Poveikio duomenų apsaugai vertinimą reikalaujama atlikti tais atvejais, kai dėl duomenų tvarkymo rūšies gali kilti didelis pavojus asmens teisėms ir laisvėms (211). To reikalaujama, pvz., kai sistemingai ir išsamiai vertinami asmeniniai aspektai, kuriais grindžiami automatizuoti sprendimai, arba dideliu mastu tvarkomi specialių kategorijų duomenys (212). Jei atlikus poveikio vertinimą matyti, kad tvarkant duomenis kiltų didelis pavojus asmens teisėms bei laisvėms ir šio pavojaus negalima sumažinti pagrįstomis saugumo priemonėmis, duomenų valdytojas privalo pasikonsultuoti su Duomenų apsaugos valdyba (213). Jei Duomenų apsaugos valdyba mano, kad, tvarkant duomenis taip, kaip numatyta, būtų pažeistos Duomenų apsaugos taisyklės, ji privalo pateikti rašytinę rekomendaciją (214). Apskritai reikalaujama, kad, rengdamas taisykles arba veiklos dokumentus dėl asmens teisių apribojimų įgyvendinimo, duomenų valdytojas konsultuotųsi su duomenų apsaugos pareigūnu (215).

(78)

Siekiant užtikrinti, kad tinkamas duomenų apsaugos lygis būtų garantuojamas praktiškai, reikalinga nepriklausoma priežiūros institucija, kuriai suteikti įgaliojimai stebėti, kaip laikomasi duomenų apsaugos taisyklių, ir užtikrinti, kad jų būtų laikomasi. Atlikdama savo pareigas ir naudodamasi savo įgaliojimais ši institucija turi veikti visiškai nepriklausomai ir nešališkai.

(79)

Prižiūrėti, kaip EPO laikosi duomenų apsaugos taisyklių, pagal teisinę EPO sistemą patikėta dviem institucijoms: duomenų apsaugos pareigūnui ir Duomenų apsaugos valdybai. Abi šios institucijos įsteigtos Tarnybos nuostatų 32A straipsniu, o jų statusas ir įgaliojimai išsamiau nurodyti Duomenų apsaugos taisyklėse (216). Jų funkcijos papildo vienos kitas ir apima bendradarbiavimą, o kiekviena institucija, vykdydama savo atitinkamas funkcijas, išlieka nepriklausoma.

(80)

Tarnybos nuostatuose nurodyta, kad, vykdydami savo užduotis ir įgaliojimus, DAP ir DAV veikia visiškai nepriklausomai nuo bet kokio vidaus arba išorės įsikišimo (217). Šis principas sustiprintas įvairiomis papildomomis jų nepriklausomumą užtikrinančiomis apsaugos priemonėmis.

(81)

Duomenų apsaugos pareigūną (ir jo pavaduotojus) skiria prezidentas, remdamasis jo (jų) profesine kvalifikacija, o ypač – ekspertinėmis žiniomis apie duomenų apsaugos teisės aktus ir praktiką (218). Duomenų apsaugos pareigūnas skiriamas nuo trejų iki penkerių metų kadencijai, kuri gali būti pratęsiama. Prieš kiekvieną siūlomą duomenų apsaugos pareigūno pašalinimą arba atleidimą iš pareigų konsultuojamasi su DAV (219). Šiomis išankstinėmis konsultacijomis prieš pašalinant arba atleidžiant duomenų apsaugos pareigūną siekiama užtikrinti papildomą siūlomo pašalinimo arba atleidimo kontrolę ir peržiūrą. Jį pašalinti arba atleisti gali būti siūloma dėl kurios nors iš šių priežasčių (220): duomenų apsaugos pareigūnas nebeatitinka šioms pareigoms vykdyti reikiamų sąlygų (221), dėl profesinio neišmanymo (222) arba taikant drausminamąsias priemones (223). DAT taip pat nustatyta, kad duomenų apsaugos pareigūnas negali būti atleidžiamas arba baudžiamas už užduočių vykdymą ir negali gauti jokių nurodymų (224). Duomenų apsaugos pareigūnas turi būti įtraukiamas sprendžiant visus su asmens duomenų apsauga susijusius klausimus ir teikia prezidentui bei Administracinei tarybai metines veiklos ataskaitas (225). Tarnyba privalo aprūpinti duomenų apsaugos pareigūną jo užduotims vykdyti reikiamais ištekliais (226).

(82)

Duomenų apsaugos valdybą sudaro trys duomenų apsaugos srities išorės ekspertai, t. y. pirmininkas ir dar du nariai (227), ir pakaitinis narys, kuriuos pratęsiamai trejų metų kadencijai skiria EPO prezidentas (228). DAV nariai turi turėti kvalifikaciją, kurios reikalaujama skiriant į teisėjo pareigas, arba būti duomenų apsaugos specialistai, turintys įrodymais pagrįstų nacionaliniu arba tarptautiniu lygmeniu įgytų ekspertinių žinių ir patirties duomenų apsaugos teisės srityje. Jie negali būti Europos patentų organizacijos darbuotojai arba joje dirbę per pastaruosius dešimt metų (229). Pagal DAT 48 straipsnio 6 straipsnį, DAV nariai savo funkcijas vykdo visiškai nepriklausomai. Konkrečiai Duomenų apsaugos valdybos nariai negali prašyti Tarnybos arba Administracinės tarybos nurodymų ir negali būti saistomi tokiais nurodymais. Duomenų apsaugos valdybos darbo tvarkos taisyklėse taip pat nurodyta, kad ji, vykdydama savo užduotis, turi veikti nešališkai ir visiškai nepriklausomai (230). Be to, DAV narius Europos patentų organizacija gali atleisti iš pareigų tik dėl rimtos priežasties (231). DAV nariai privalo laikytis konfidencialumo užtikrinimo prievolės (232) ir negali imtis veiksmų, jei kyla jų interesų – ypač asmeninių interesų – konfliktas (233). EPO turi padėti Duomenų apsaugos valdybai vykdyti užduotis, aprūpindama ją reikiamais ištekliais ir teikdama teisinę bei administracinę paramą (per sekretoriatą ir sudarydama Duomenų apsaugos valdybai sąlygas susipažinti su asmens duomenimis ir atlikti duomenų tvarkymo operacijas) (234).

(83)

Duomenų apsaugos pareigūno užduotys, be kita ko, yra šios: informuoti duomenų valdytoją arba duomenų tvarkytojus apie jų prievoles ir konsultuoti juos atitinkamais klausimais, didinti duomenų tvarkymo operacijose dalyvaujančių darbuotojų informuotumą, rengti jiems mokymus, užtikrinti, kad duomenų subjektai būtų informuoti apie Duomenų apsaugos taisyklėse nustatytas jų teises ir nepriklausomai stebėti, kaip viduje taikomos DAT bei kitos poveikį duomenų apsaugai darančios EPO teisinės nuostatos ir kaip jų laikomasi (235). Duomenų subjektai gali kreiptis į DAP bet kuriais su jų duomenų tvarkymu arba naudojimusi jų teisėmis susijusiais klausimais (236), o duomenų valdytojas ir duomenų tvarkytojai gali konsultuotis su DAP bet kuriais su DAT aiškinimu ir taikymu susijusiais klausimais (237).

(84)

Vykdydamas priežiūros funkciją DAP turi įgaliojimą atlikti duomenų apsaugos auditus ir tyrimus (238). Auditus DAP inicijuoja pagal konsultuojantis su Duomenų apsaugos valdyba parengtą metinį audito planą (239). Atliekant auditą pirmiausia siekiama įvertinti duomenų apsaugos įrašus, pareiškimus ir susijusius dokumentus, pvz., siekiant patikrinti, ar susiję duomenų apsaugos dokumentai yra tikslūs ir išsamūs, ar tinkamai taikyti rizikos valdymo metodai, ar duomenų subjektams pateikti tikslūs atsakymai ir ar jie pateikti laiku, arba ar tinkamai atlikti duomenų apsaugos poveikio vertinimai ir kiek vertinimų atlikta (240). Remiantis Komisijos iš duomenų apsaugos pareigūno gauta informacija, 2023 m. buvo atlikti trys, o 2024 m. – keturi auditai. Tyrimą DAP gali inicijuoti savo iniciatyva, remdamasis iš DAV arba EPO organo (pvz., prezidento arba įgaliotojo duomenų valdytojo) gautu prašymu arba kitaip gauta informacija (įskaitant, pvz., iš trečiųjų šalių ir asmenų gautą informaciją) (241). DAV prašomus tyrimus nepriklausomai atlieka duomenų apsaugos pareigūnas. DAV gali teikti pastabas ir (arba) prašyti atlikti papildomą tyrimą bet kuriuo klausimu, kuris gali iškilti (242). Atliekant patikrinimus daugiausia dėmesio skiriama duomenų tvarkymo operacijoms arba konkretiems jų aspektams ar su jomis susijusiais įvykiais, siekiant užtikrinti, kad atitinkamas duomenų tvarkymas atitiktų DAT reikalavimus, ir užtikrinti duomenų subjektų teisių ir laisvių apsaugą (243).

(85)

DAP gali susipažinti su visa reikšminga informacija, įskaitant tvarkomus asmens duomenis, patekti į visas patalpas ir gauti prieigą prie duomenų tvarkymo įrangos ir duomenų laikmenų (244). Visi EPO darbuotojai ir veiklos skyriai turi padėti duomenų apsaugos pareigūnui vykdyti užduotis, taip pat sudarydami sąlygas patekti į patalpas ir susipažinti su reikšminga informacija (245).

(86)

Audito arba tyrimo pabaigoje DAP priima ataskaitą, kurioje pateikia nustatytus faktus, išvadas ir nurodo rekomenduojamas taisomąsias priemones (246). Šios priemonės gali būti, pvz., prevencinės arba poveikio mažinimo priemonės, kuriomis siekiama pagerinti reikalavimų laikymąsi, taip pat priemonės, kuriomis galima ištaisyti reikalavimų nesilaikymą (pvz., užtikrinti duomenų tvarkymo atitiktį Duomenų apsaugos taisyklėms, nagrinėti duomenų subjektų prašymus dėl naudojimosi teisėmis, sustabdyti arba nutraukti duomenų tvarkymą ir pan.) (247). DAP taip pat gali atkreipti kompetentingos skiriančiosios institucijos dėmesį į tai, kad darbuotojai nesilaiko DAT, ir rekomenduoti pradėti administracinį tyrimą, siekiant nustatyti, ar reikia imtis drausminių arba kitokių veiksmų (248). Bet kuriam tyčia ar dėl aplaidumo Duomenų apsaugos taisyklių nesilaikančiam darbuotojui gali būti taikomos drausminės nuobaudos arba kiti Tarnybos nuostatuose nurodyti veiksmai (249).

(87)

Auditų ir tyrimų rezultatus būtina pranešti Duomenų apsaugos valdybai (250). Duomenų apsaugos valdybos prašymu jai būtina pateikti audito arba tyrimo ataskaitą. Duomenų apsaugos valdyba gali teikti pastabas dėl duomenų apsaugos pareigūno ataskaitos, įskaitant jo išvadas dėl to, ar buvo padarytas DAT pažeidimas, taip pat pastabas dėl siūlomų taisomųjų priemonių ir prašyti imtis papildomų tyrimo priemonių (251). Jei atlikus duomenų apsaugos pareigūno auditą arba tyrimą padaroma išvada, kad reikalavimų nesilaikyta (t. y. pažeistos DAT), duomenų apsaugos pareigūno ataskaitą būtina pateikti Duomenų apsaugos valdybai išvadoms ir rekomenduojamoms taisomosioms priemonėms patvirtinti. Jei Duomenų apsaugos valdyba su duomenų apsaugos pareigūno išvadomis arba rekomenduojamomis taisomosiomis priemonėmis nesutinka, ji pateikia duomenų apsaugos pareigūnui pastabas, taip pat dėl išvadų ir rekomenduojamų taisomųjų priemonių pakeitimo, o duomenų apsaugos pareigūnas jas turi atitinkamai įgyvendinti. Duomenų apsaugos valdybos patvirtintos taisomosios priemonės duomenų valdytojui ir įgaliotiesiems duomenų tvarkytojams yra privalomos, o asmenys jomis gali remtis naudodamiesi 95 konstatuojamojoje dalyje aprašytais teisių gynimo mechanizmais (252). DAP privalo patikrinti, ar taisomosios priemonės įgyvendintos (iš esmės po šešių mėnesių nuo pranešimo apie jas), ir kasmet pranešti prezidentui apie įgyvendinimo būseną (253).

(88)

Be užduoties užtikrinti Duomenų apsaugos taisyklių laikymąsi, Duomenų apsaugos valdybai taip pat pavesta konsultuoti prezidentą sprendimų dėl tinkamumo priėmimo klausimais, duomenų valdytoją – būtinybės atlikti poveikio duomenų apsaugai vertinimą klausimais ir nagrinėti asmenų skundus (žr. 92–96 konstatuojamąsias dalis) (254).

(89)

Siekiant užtikrinti tinkamą asmens teisių apsaugą, o ypač – šių teisių įgyvendinimą, duomenų subjektui turi būti suteikiamos veiksmingos teisių gynimo priemonės, įskaitant kompensaciją už patirtą žalą.

(90)

EPO teisinėje sistemoje asmenims suteikiama galimybė ginti savo teises derinant įvairius jų gynimo būdus.

(91)

Pirma, duomenų subjektai, manantys, kad, Europos patentų organizacija jų asmens duomenis tvarko pažeisdama jų teises (t. y. pažeisdama Duomenų apsaugos taisykles), pagal DAT 49 straipsnį gali pateikti prašymą, kad įgaliotasis duomenų valdytojas tai patikrintų. Įgaliotasis duomenų valdytojas išnagrinėja skundą ir priima sprendimą (255). Prieš priimdamas sprendimą, įgaliotasis duomenų valdytojas turi pasikonsultuoti su duomenų apsaugos pareigūnu, o šis ne vėliau kaip per penkiolika kalendorinių dienų nuo prašymo atlikti patikrinimą gavimo pateikia rašytinę nuomonę (256). Įgaliotasis duomenų valdytojas privalo atsakyti asmeniui per vieną mėnesį nuo prašymo gavimo dienos (257). Sprendimą būtina perduoti asmeniui, kartu pateikiant informaciją apie galimybę pasinaudoti kitomis teisių gynimo priemonėmis (258). Jei įgaliotasis duomenų valdytojas per tris mėnesius veiksmų nesiima, laikoma, kad prašymas buvo netiesiogiai atmestas.

(92)

Antra, įgaliotojo duomenų valdytojo sprendimą arba netiesioginį prašymo atlikti patikrinimą atmetimą asmenys gali apskųsti Duomenų apsaugos valdybai (259).

(93)

Nagrinėdama skundą DAV turi paraginti duomenų subjektą, duomenų valdytoją ir, jei taikoma, duomenų tvarkytoją raštu išdėstyti savo pozicijas dėl skundų bei nagrinėjamų faktų ir pateikti įrodymus arba pastabas bei argumentus dėl esamų įrodymų (260). Šiuo atžvilgiu DAV gali prašyti šalių pateikti bet kokią jai skundui išnagrinėti reikiamą informaciją ir su duomenų apsaugos pareigūno pagalba gauti daugiau informacijos (261). Spręsdama, ar dėl skundo būtina imtis tolesnių veiksmų, DAV turi, be kita ko, atsižvelgti į įtariamo pažeidimo pobūdį ir sunkumą, susijusių duomenų subjektų skaičių, susijusių duomenų kategorijas ir pažeidimo trukmę (262). DAV gali paraginti šalis siekti išspręsti ginčą draugiškai, tai skatina ir aktyviai sudaro tam palankias sąlygas (263). Skundo pateikėjas taip pat gali prašyti, kad DAV dėl įtariamo pažeidimo sunkumo arba asmens teisėms kylančio pavojaus rimtumo taikytų skubos procedūrą (264).

(94)

Išnagrinėjusi skundą, DAV pateikia duomenų valdytojui pagrįstą nuomonę, kurioje nurodo faktus, pagrindinius šalių argumentus ir savo pastabas bei rekomendacijas (265). Skubos procedūros atveju Duomenų apsaugos valdyba pagrįstą nuomonę turi oficialiai pateikti per du mėnesius nuo skundo pateikimo (266). Pagrįstoje nuomonėje DAV gali pateikti bet kokias, jos nuomone, reikiamas rekomendacijas, įskaitant uždraudimą (pvz., neteisėto duomenų tvarkymo nutraukimą, neteisėtai tvarkomų duomenų ištrynimą), materialinės arba nematerialinės žalos atlyginimą (267). Pagrįsta nuomonė turi būti perduota duomenų subjektui ir duomenų valdytojui (t. y. Tarnybos pirmininkui, Apeliacinių tarybų pirmininkui, Administracinės tarybos pirmininkui arba Specialiojo komiteto pirmininkui, priklausomai nuo to, ar skundas buvo susijęs su Tarnyba, apeliacinėmis tarybomis, Taryba ar specialiuoju komitetu). Tuomet duomenų valdytojas, gavęs pagrįstą DAV nuomonę (268), priims galutinį privalomą sprendimą. Galutinis sprendimas perduodamas duomenų subjektui, DAV ir DAP (269). Jei duomenų valdytojas nuspręstų neatsižvelgti į vieną ar daugiau pagrįstos nuomonės aspektų, jis tai raštu paaiškina sprendime (270).

(95)

Duomenų subjektas, kurio netenkina duomenų valdytojo sprendimas, gali jį apskųsti toliau ir apeliaciniame skunde nurodyti DAV pagrįstą nuomonę. EPO darbuotojai sprendimus gali užginčyti Tarptautinės darbo organizacijos administraciniame teisme (271). Visi kiti su duomenų valdytojo sprendimu nesutinkantys duomenų subjektai per tris mėnesius nuo sprendimo gavimo gali pateikti prezidentui prašymą dėl ad hoc arbitražo (272). Duomenų apsaugos taisyklėse nustatyta konkreti ad hoc arbitražo atveju taikytina procedūra (273). Jose konkrečiai nustatyta, kad Nuolatinio arbitražo teismo generalinis sekretorius, remdamasis Duomenų apsaugos taisyklėse nustatytais kriterijais, per tris mėnesius nuo duomenų subjekto prašymo gavimo turi paskirti arbitrą (274). Arbitras turi turėti teisinę kvalifikaciją, teisę verstis teisininko praktika kurioje nors iš EPO susitariančiųjų valstybių, gebėti įrodyti atitinkamas praktines žinias duomenų apsaugos klausimais ir išmanyti tarptautinėms organizacijoms taikomą teisę (275). Paskirti galima tik tuos asmenis, kurie, be šių kriterijų, įvykdo reikalavimą, pagal kurį jie negali būti dirbę arba teikę paslaugų Europos patentų organizacijai arba duomenų subjektui. Duomenų apsaugos taisyklėse nustatyta, kad arbitras turi veikti nepriklausomai ir nešališkai (276), kiekvieną šalį vertinti vienodai ir suteikti joms galimybę bet kuriuo proceso etapu pristatyti savo argumentus (277). Arbitražo procesas yra neviešas (278). Jis reglamentuojamas Europos patentų konvencija, Duomenų apsaugos taisyklėmis, įskaitant visus įgyvendinimo teisės aktus, tarptautinių organizacijų teisės aktais ir viešosios tarptautinės teisės principais (279). Kiekviena šalis dengia savo išlaidas ir teisinio atstovavimo išlaidas (išskyrus atvejus, kai arbitras nusprendžia kitaip), o su arbitru susijusius mokesčius bei išlaidas, galimo konsultavimosi su ekspertais išlaidas ir su liudytojais susijusias išlaidas dengia EPO (280). Susitarimas sudaromas kaip galutinis ir privalomas sutartos formuluotės rašytinis arbitražo sprendimas (281).

(96)

Kiekvienas žalos dėl Duomenų apsaugos taisyklių pažeidimo patyręs asmuo, naudodamasis 91–95 konstatuojamosiose dalyse aprašytomis procedūromis, gali prašyti, kad EPO šią žalą atlygintų (282). Paaiškėjus, kad už žalą sukėlusį įvykį EPO neatsakinga, atsakomybė jai netaikoma.

(97)

Teisinė sistema, pagal kurią EPO vertina jos susitariančiosiose valstybėse ir trečiosiose valstybėse veikiančių valdžios institucijų prašymus dėl EPO tvarkomų asmens duomenų ir į juos atsako, yra grindžiama EPO protokolu dėl privilegijų ir imunitetų (PPI) (283), DAT reikalavimais dėl asmens duomenų perdavimo viduje ir į išorę ir viešąja tarptautine teise.

(98)

Pirma, oficialios veiklos vykdymo tikslu Europos patentų organizacijos atliekamam asmens duomenų tvarkymui taikomi Organizacijos imunitetai. EPO imunitetus papildo PPI 20 straipsnyje nustatyta pareiga bendradarbiauti. Todėl bet kokį susitariančiosios valstybės prašymą pateikti EPO tvarkomus duomenis prezidentas vertina pagal PPI 20 straipsnio 1 dalį, kurioje nurodyta, kad Organizacija visuomet bendradarbiauja su Susitariančiųjų Valstybių kompetentingomis institucijomis, kad būtų lengviau vykdyti teisingumą, užtikrinti policijos taisyklių bei taisyklių, skirtų visuomenės sveikatai, darbo inspekcijos ir kitų panašių nacionalinių įstatymų laikymąsi ir užkirsti kelią piktnaudžiavimui šio Protokolo numatytomis privilegijomis, neliečiamybe ir priemonėmis. Išimties tvarka Organizacija gali atšaukti savo imunitetą tam tikroje jurisdikcijoje arba nuo vykdymo (284). Priimdamas sprendimą dėl prašymo bendradarbiauti, pirmininkas savo nuožiūra sprendžia, ar prašymas atitinka Organizacijos teisinę sistemą (285). Išvada gali būti tokia, kad Tarnyba pagal PPI gali atsakyti į prašymą ir gali atskleisti asmens duomenis tik laikydamasi Duomenų apsaugos taisyklėse nustatytų reikalavimų dėl duomenų perdavimo (žr. 62–67 konstatuojamąsias dalis). Pagal Duomenų apsaugos taisykles, duomenų gavėjas privalo pateikti įrodymus, kad duomenis būtina perduoti konkrečiu tikslu, kylančiu iš EPO įsipareigojimų bendradarbiauti su susitariančiąja (-iosiomis) valstybe (-ėmis) (286). Duomenų valdytojas dėl kiekvieno duomenų perdavimo privalo gebėti įrodyti, kad jis yra būtinas ir proporcingas atsižvelgiant į konkretų tikslą, kuriuo jis atliekamas (287). Bet koks duomenų perdavimas turi būti vykdomas taip, kad būtų išlaikytas DAT nustatytas apsaugos lygis (288). Remiantis duomenų apsaugos pareigūno paskelbtomis gairėmis, tai reiškia, kad įdiegiamos tinkamos apsaugos priemonės, be kita ko, užtikrinant, kad duomenų, kuriais siekiama dalytis, kiekis būtų kuo mažesnis ir kad būtų apsiribota tuo, kas adekvatu, tinkama ir tikrai būtina tam tikslui pasiekti (289). Jei yra priežasčių manyti, kad gali būti daromas poveikis susijusio asmens teisėms ir laisvėms, duomenų valdytojas, įvertinęs įvairius konkrečius interesus, privalo konstatuoti, kad persiųsti asmens duomenis šiuo konkrečiu tikslu yra proporcinga (290).

(99)

Antra, tokios teisinės priemonės, kuri būtų taikoma Europos patentų organizacijai ir kuria būtų konkrečiai reglamentuojamas iš trečiųjų valstybių (t. y. valstybių, kurios nėra EPO susitariančiosios valstybės) valdžios institucijų gautų prašymų pateikti Europos patentų organizacijos tvarkomus duomenis nagrinėjimas, nėra. Todėl bet koks duomenų atskleidimas atsakant į tokį prašymą gali būti atliekamas tik įvykdžius Duomenų apsaugos taisyklėse nustatytus tarptautiniam duomenų perdavimui taikomus reikalavimus (kaip aprašyta 68–73 konstatuojamosiose dalyse). Jie būtų įvykdyti tik tuo atveju, jei dėl atitinkamos valstybės yra priimtas duomenų perdavimą apimantis sprendimas dėl tinkamumo, įgyvendintos tinkamos apsaugos priemonės arba taikoma nukrypti leidžianti nuostata.

(100)

Tai, kaip prezidentas laikosi PPI, įskaitant tai, kaip buvo nagrinėjami valdžios institucijų prašymai bendradarbiauti, prižiūri Administracinė taryba, o tai, kaip laikomasi Duomenų apsaugos taisyklėse nustatytų asmens duomenų perdavimo viduje ir į išorę reikalavimų, kaip aprašyta 84–88 konstatuojamosiose dalyse, prižiūri duomenų apsaugos pareigūnas ir Duomenų apsaugos valdyba. Jei asmens duomenys viduje arba į išorę perduodami pažeidžiant Duomenų apsaugos taisykles, atitinkami asmenys gali naudotis 90–96 konstatuojamosiose dalyse aprašytais teisių gynimo būdais.

(101)

Komisija mano, kad EPO užtikrina tokį iš Sąjungos perduodamų asmens duomenų apsaugos lygį, kuris iš esmės prilygsta Reglamentu (ES) 2016/679 užtikrinamam lygiui.

(102)

Remiantis šio sprendimo išvadomis, reikėtų nuspręsti, kad EPO užtikrina tinkamą iš Sąjungos Europos patentų organizacijai perduodamų asmens duomenų apsaugos lygį, kaip apibrėžta Reglamento (ES) 2016/679 45 straipsnyje, aiškinant jį atsižvelgiant į Europos Sąjungos pagrindinių teisių chartiją.

(103)

Valstybės narės ir jų institucijos privalo imtis priemonių, kurios yra būtinos siekiant užtikrinti atitiktį Sąjungos institucijų aktams, nes preziumuojama, kad Sąjungos institucijų aktai yra teisėti, todėl sukelia teisinių pasekmių, kol nėra pripažinti netekusiais galios, panaikinti patenkinus ieškinį dėl panaikinimo, paskelbti negaliojančiais išnagrinėjus prašymą priimti prejudicinį sprendimą arba neteisėtumu grindžiamą prieštaravimą.

(104)

Todėl Komisijos sprendimas dėl tinkamumo, kurį ji priėmė pagal Reglamento (ES) 2016/679 45 straipsnio 3 dalį, yra privalomas visoms valstybių narių, kurioms jis skirtas, institucijoms, įskaitant šių valstybių narių nepriklausomas priežiūros institucijas. Visų pirma Sąjungoje esantys duomenų valdytojai arba duomenų tvarkytojai duomenis Europos patentų organizacijai gali perduoti be papildomo leidimo.

(105)

Reikėtų priminti, kad pagal Reglamento (ES) 2016/679 58 straipsnio 5 dalį ir kaip išaiškinta byloje C-362/14 priimtame Teisingumo Teismo sprendime (291), jeigu nacionalinė duomenų apsaugos institucija abejoja, įskaitant tuos atvejus, kai pateikiamas skundas, dėl Komisijos sprendimo dėl tinkamumo derėjimo su asmens pagrindinėmis teisėmis į privatumą ir duomenų apsaugą, nacionalinėje teisėje jai turi būti numatyta teisinė teisių gynimo priemonė, kad ji šiuos prieštaravimus galėtų pareikšti nacionaliniame teisme, kuriam gali prireikti pateikti Teisingumo Teismui prašymą priimti prejudicinį sprendimą.

(106)

Remiantis Teisingumo Teismo jurisprudencija ir pagal Reglamento (ES) 2016/679 45 straipsnio 4 dalį, Komisija turėtų nuolat stebėti atitinkamus pokyčius trečiojoje valstybėje arba tarptautinėje organizacijoje po sprendimo dėl tinkamumo priėmimo, kad įvertintų, ar ji vis dar užtikrina iš esmės lygiavertį apsaugos lygį. Tokia patikra turi būti atliekama visais atvejais, kai Komisija gauna informacijos, dėl kurios jai šiuo atžvilgiu kyla pagrįstų abejonių.

(107)

Todėl Komisija turėtų nuolat stebėti su šiame sprendime įvertinta EPO atliekamo asmens duomenų tvarkymo teisine sistema ir faktine praktika susijusią padėtį. Kad šis procesas vyktų sklandžiau, EPO raginama informuoti Komisiją apie esminius su šiuo sprendimu susijusius pokyčius dėl asmens duomenų tvarkymo, taip pat dėl apribojimų bei apsaugos priemonių, taikomų valdžios institucijų prieigai prie asmens duomenų.

(108)

Be to, tam, kad Komisija galėtų veiksmingai vykdyti stebėsenos funkciją, valstybės narės turėtų Komisijai pranešti apie visus susijusius veiksmus, kurių ėmėsi nacionalinės duomenų apsaugos institucijos, visų pirma dėl Sąjungos duomenų subjektų užklausų ar skundų, susijusių su asmens duomenų perdavimu iš Sąjungos Europos patentų organizacijai.

(109)

Komisija, taikydama Reglamento (ES) 2016/679 45 straipsnio 3 dalį ir atsižvelgdama į tai, kad pagal EPO teisinę sistemą suteikiamas apsaugos lygis gali pasikeisti, po šio sprendimo priėmimo turėtų periodiškai tikrinti, ar išvados dėl EPO užtikrinamos apsaugos lygio tinkamumo vis dar yra faktiškai ir teisiškai pagrįstos. Šie vertinimai turėtų vykti bent kas ketverius metus ir turėtų apimti visus šio sprendimo veikimo aspektus, įskaitant atitinkamų priežiūros ir vykdymo užtikrinimo mechanizmų veikimą.

(110)

Siekdama atlikti peržiūrą, Komisija turėtų susitikti su Europos patentų organizacijos atstovais, įskaitant jos duomenų apsaugos pareigūną ir Duomenų apsaugos valdybos atstovus. Turėtų būti suteiktos galimybės tokiame susitikime dalyvauti Europos duomenų apsaugos valdybos atstovams. Atlikdama peržiūrą Komisija turėtų prašyti Europos patentų institucijos pateikti išsamią informaciją apie visus su sprendimu dėl tinkamumo susijusius aspektus. Komisija taip pat turėtų prašyti pateikti paaiškinimus dėl bet kokios gautos informacijos, susijusios su šiuo sprendimu, įskaitant iš Europos duomenų apsaugos valdybos, atskirų duomenų apsaugos institucijų ir pilietinės visuomenės grupių gautą informaciją, viešas arba žiniasklaidos ataskaitas ar bet kokius kitus informacijos šaltinius.

(111)

Remdamasi peržiūra, Komisija turėtų parengti Europos Parlamentui ir Tarybai pateiktiną viešą ataskaitą.

(112)

Jeigu iš turimos informacijos, ypač iš informacijos, surinktos Komisijai vykdant pokyčių, kurie galėtų daryti poveikį šio sprendimo veikimui, stebėseną pagal Reglamento (ES) 2016/679 45 straipsnio 4 dalį, arba iš informacijos, kurią pateikia EPO arba valstybių narių institucijos, paaiškėja, kad EPO užtikrinamas duomenų apsaugos lygis nebėra pakankamas, Komisija turėtų apie tai informuoti EPO ir paprašyti per nustatytą pagrįstą terminą imtis tinkamų priemonių.

(113)

Jei iki šio nustatyto termino pabaigos EPO šių priemonių nesiima arba kitaip įtikinamai neįrodo, kad šis sprendimas toliau grindžiamas tinkamu apsaugos lygiu, Komisija inicijuoja Reglamento (ES) 2016/679 93 straipsnio 2 dalyje nurodytą procedūrą, siekdama iš dalies arba visiškai sustabdyti šio sprendimo galiojimą arba jį panaikinti.

(114)

Šią procedūrą Komisija taip pat inicijuoja siekdama iš dalies pakeisti šį sprendimą, visų pirma nustatydama, kad duomenų perdavimui turi būti taikomos papildomos sąlygos, arba apribodama išvadą dėl duomenų apsaugos tinkamumo taip, kad ji būtų taikoma tik tokiam duomenų perdavimui, kurį vykdant ir toliau užtikrinama tinkamo lygio apsauga.

(115)

Komisija taip pat turėtų apsvarstyti galimybę pradėti procedūrą dėl šio sprendimo pakeitimo, jo galiojimo sustabdymo arba panaikinimo, jeigu atliekant peržiūrą arba kitu metu EPO nepateikia informacijos arba paaiškinimų, kurie yra būtini norint įvertinti iš Sąjungos perduodamiems asmens duomenims užtikrinamą apsaugos lygį arba tai, kaip laikomasi šio sprendimo. Šiuo atžvilgiu Komisija turėtų atsižvelgti į tai, kiek atitinkamos informacijos galima gauti iš kitų šaltinių.

(116)

Remdamasi tinkamai pagrįsta privalomos skubos priežastimi, Komisija naudojasi galimybe pagal Reglamento (ES) 2016/679 93 straipsnio 3 dalyje nustatytą procedūrą priimti nedelsiant taikytinus įgyvendinimo aktus, kuriais sprendimo galiojimas sustabdomas, sprendimas panaikinamas arba iš dalies pakeičiamas.

(117)

Europos duomenų apsaugos valdyba paskelbė savo nuomonę (292), į kurią buvo atsižvelgta rengiant šį sprendimą.

(118)

Šiame sprendime numatytos priemonės atitinka pagal Reglamento (ES) 2016/679 93 straipsnio 1 dalį įsteigto komiteto nuomonę,