(1)

V nariadení (EÚ) 2016/679 sa stanovujú pravidlá prenosu osobných údajov od prevádzkovateľov alebo sprostredkovateľov v Únii do tretích krajín a medzinárodným organizáciám, pokiaľ tieto prenosy patria do rozsahu jeho pôsobnosti. Pravidlá upravujúce medzinárodné prenosy údajov sa stanovujú v kapitole V (článkoch 44 až 50) uvedeného nariadenia. Hoci je na rozmach cezhraničného obchodu a medzinárodnej spolupráce nevyhnutný tok osobných údajov do krajín a medzinárodných organizácií mimo Únie aj z nich, prenosy do tretích krajín a medzinárodným organizáciám nesmú ohrozovať zabezpečovanú úroveň ochrany osobných údajov v Únii (2).

(2)

Podľa článku 45 ods. 3 nariadenia (EÚ) 2016/679 môže Komisia prostredníctvom vykonávacieho aktu rozhodnúť, že tretia krajina, územie alebo jeden určený sektor či viaceré určené sektory v tretej krajine, alebo medzinárodná organizácia zaručujú primeranú úroveň ochrany. Pod uvedenou podmienkou sa prenosy osobných údajov medzinárodným organizáciám môžu uskutočňovať bez potreby získania ďalšieho povolenia, ako sa stanovuje v článku 45 ods. 1 a v odôvodnení 103 nariadenia (EÚ) 2016/679.

(3)

Ako sa uvádza v článku 45 ods. 2 nariadenia (EÚ) 2016/679, prijatie rozhodnutia o primeranosti má vychádzať z komplexnej analýzy právneho režimu medzinárodnej organizácie, pričom sa vzťahuje na pravidlá uplatniteľné na dovozcov údajov, ako aj na obmedzenia a záruky týkajúce sa prístupu k osobným údajom zo strany orgánov verejnej moci. Komisia musí v rámci svojho posúdenia určiť, či predmetná medzinárodná organizácia zaručuje úroveň ochrany, ktorá „v zásade zodpovedá“ úrovni zabezpečenej v rámci Únie (3). Štandard, v porovnaní s ktorým sa posudzuje „zásadná rovnocennosť“, je štandard stanovený v právnych predpisoch Únie, najmä v nariadení (EÚ) 2016/679, ako aj v judikatúre Súdneho dvora Európskej únie (4). Na ďalšie objasnenie tohto štandardu a poskytnutie usmernenia je v tejto súvislosti dôležité aj „referenčné kritérium primeranosti“ Európskeho výboru pre ochranu údajov (EDPB) (5).

(4)

Ako vysvetlil Súdny dvor, od tretej krajiny alebo medzinárodnej organizácie nemožno požadovať, aby zabezpečila rovnakú úroveň ochrany, aká je zaručená v právnom poriadku Únie (6). Konkrétne prostriedky, ktoré dotknutá tretia krajina alebo medzinárodná organizácia využíva na ochranu osobných údajov, sa môžu líšiť od prostriedkov využívaných v Únii, pokiaľ sa v praxi preukáže, že sa nimi účinne zabezpečuje primeraná úroveň ochrany (7). V záujme dosiahnutia štandardu primeranosti teda nie je potrebné, aby dané pravidlá do detailu zodpovedali pravidlám Únie. Overenie spočíva skôr v tom, či zahraničný systém ako celok poskytuje požadovanú úroveň ochrany prostredníctvom hmotnoprávnej úpravy práv na súkromie a záruk ochrany údajov (vrátane ich účinného uplatňovania, presadzovania a dohľadu nad nimi), ako aj prostredníctvom okolností súvisiacich s prenosom osobných údajov (8).

(5)

Komisia analyzovala právny rámec a prax Európskej patentovej organizácie. Komisia na základe zistení uvedených v odôvodneniach 7 až 100 dospela k záveru, že Európska patentová organizácia (EPO) zabezpečuje primeranú úroveň ochrany osobných údajov prenášaných v rozsahu pôsobnosti nariadenia (EÚ) 2016/679 z Únie do EPO.

(6)

Podľa tohto rozhodnutia sa prenosy od prevádzkovateľov a sprostredkovateľov v Únii Európskej patentovej organizácii môžu uskutočňovať bez potreby získania ďalšieho povolenia. Rozhodnutie by nemalo mať vplyv na priame uplatňovanie nariadenia (EÚ) 2016/679 na také subjekty, v prípade ktorých sú splnené podmienky týkajúce sa územnej pôsobnosti stanovené v článku 3 uvedeného nariadenia.

(7)

Európska patentová organizácia je medzivládna organizácia, ktorá bola zriadená 7. októbra 1977 na základe Európskeho patentového dohovoru (ďalej len „EPD“). Organizácia sídli v Mníchove a má 39 zmluvných štátov, medzi ktoré patria všetky členské štáty Únie, Island, Nórsko a Lichtenštajnsko, ako aj Albánsko, Severné Macedónsko, Monako, San Maríno, Srbsko, Švajčiarsko, Čierna Hora, Spojené kráľovstvo a Turecko (9).

(8)

Organizácia má právnu subjektivitu (10) a tvoria ju dva orgány (11): Európsky patentový úrad (ďalej len „úrad“ alebo „EPÚ“) a správna rada. Hlavnou úlohou EPO je udeľovanie európskych patentov (12) v súlade s EPD, čo vykonáva úrad pod dohľadom správnej rady. Správna rada pozostáva zo zástupcov zmluvných štátov a vykonáva legislatívne právomoci v mene EPO. Zodpovedá aj za politické otázky a dohliada na činnosť úradu (13). Na čele úradu, ktorý je výkonným orgánom EPO, stojí predseda (14), ktorý úrad riadi a zodpovedá sa správnej rade (15). Predseda okrem iného pripravuje a plní rozpočet úradu, vymenúva zamestnancov úradu a dohliada na nich, vykonáva disciplinárnu právomoc voči zamestnancom, zabezpečuje fungovanie úradu vrátane prijímania vnútorných administratívnych pokynov a informovania verejnosti a môže predložiť správnej rade akýkoľvek návrh na zmenu dohovoru, všeobecných predpisov alebo rozhodnutí, ktoré patria do jej právomoci (16). Úrad sa skladá z rôznych oddelení vrátane prijímacieho oddelenia, právneho oddelenia, rešeršných a námietkových oddelení a sťažnostných senátov (interný nezávislý orgán, pred ktorým sa možno odvolať proti rozhodnutiam, ktoré prijala EPO v rámci konania o udelení patentu) (17).

(9)

Pri plnení svojich úloh dostáva EPO osobné údaje od množstva rôznych subjektov v Únii. Európske patentové prihlášky (18) priebežne podávajú prihlasovatelia patentov v EPO alebo ich do EPO zasielajú národné patentové úrady v členských štátoch (19). EPO takisto prijíma a spracúva osobné údaje v rámci úloh, ktoré mu boli zverené podľa nariadenia Európskeho parlamentu a Rady (EÚ) č. 1257/2012 (20). Medzi tieto úlohy patrí prijímanie a skúmanie žiadostí o jednotný účinok európskych patentov, vyberanie ročných poplatkov a registrácia jednotného účinku (21). V tejto súvislosti dostáva EPO aj žiadosti týkajúce sa prebiehajúcich odvolaní pred sťažnostným senátom úradu (22) od Jednotného patentového súdu, ktoré môžu obsahovať osobné údaje potrebné na identifikáciu príslušnej veci (23).

(10)

Podobne EPO získava osobné údaje obsiahnuté v medzinárodných patentových prihláškach, keď koná podľa Zmluvy o patentovej spolupráci (Patent Cooperation Treaty, ďalej len „PCT“) – medzinárodnej zmluvy, ktorá prihlasovateľom umožňuje získať patenty s účinkami pre všetky zmluvné štáty PCT (24). EPO pôsobí ako orgán pre medzinárodnú rešerš podľa PCT a v rámci tejto funkcie preskúmava patentovateľnosť vynálezov zverejnených v medzinárodných prihláškach, čo prihlasovateľom pomáha rozhodnúť, či podať žiadosť o vecný prieskum na vnútroštátnej úrovni/úrovni Únie (25).

(11)

Okrem toho EPO úzko spolupracuje s národnými patentovými úradmi vo všetkých členských štátoch v rámci „európskej patentovej siete“ a v tejto súvislosti si s nimi vymieňa osobné údaje, napríklad pri poskytovaní kurzov odbornej prípravy a IT služieb na podporu a posilnenie spolupráce v rámci EPD. Podobne EPO uzavrela s členskými štátmi dvojstranné dohody o spolupráci, ktoré zahŕňajú výmenu osobných údajov, napríklad v súvislosti s vytváraním pracovných skupín, vysielaním a nasadzovaním technických expertov atď. Úzko spolupracuje aj s Úradom Európskej únie pre duševné vlastníctvo (EUIPO), napríklad prostredníctvom spoločných kurzov odbornej prípravy a podujatí na zvyšovanie povedomia a vysielaním expertov.

(12)

A nakoniec, EPO má zmluvy s niekoľkými poskytovateľmi služieb v Únii, ktorí pôsobia ako sprostredkovatelia v zmysle článku 4 ods. 8 nariadenia (EÚ) 2016/679 a prenášajú osobné údaje EPO.

(13)

Primárne právo, ktorým sa riadi činnosť EPO, je ustanovené medzinárodnou zmluvou, t. j. Európskym patentovým dohovorom a prípadne Zmluvou o patentovej spolupráci, keď EPO koná podľa nej. Na druhej úrovni hierarchie noriem platných pre EPO sú právne akty prijaté správnou radou, alebo pokiaľ ide o PCT, zhromaždením PCT. Sekundárne právne predpisy EPO zahŕňajú vykonávacie predpisy k EPD a tzv. služobné predpisy (ktorými sa upravujú aspekty týkajúce sa zamestnancov EPO vrátane práv a povinností zamestnancov) (26). Právo na ochranu osobných údajov je stanovené v článku 1B služobných predpisov (27), ktorý obsahuje aj niektoré základné ustanovenia rámca EPO pre ochranu údajov, t. j. ustanovenia týkajúce sa rozsahu pôsobnosti rámca pre ochranu údajov, ochrany osobitných kategórií údajov a výkonu práv jednotlivcami. V článku 2 ods. 1 a článku 32A služobných predpisov sa ustanovujú nezávislé mechanizmy dohľadu (zodpovedná osoba a výbor pre ochranu údajov), ktoré majú dohliadať na dodržiavanie pravidiel ochrany údajov (28).

(14)

Na správnu radu a úrad, ako aj na všetky ich oddelenia sa vzťahujú rovnaké hmotnoprávne požiadavky na ochranu osobných údajov. Spracúvanie osobných údajov úradom upravujú najmä vykonávacie pravidlá k článkom 1B a 32A služobných predpisov pre stálych a ostatných zamestnancov EPÚ o ochrane osobných údajov (ďalej len „pravidlá ochrany údajov“), ktoré prijala správna rada (29). Na spracúvanie osobných údajov správnou radou sa vzťahujú pravidlá ochrany údajov správnej rady, v ktorých sa pravidlá ochrany údajov primerane uplatňujú (30). Ak sa v tomto rozhodnutí odkazuje na pravidlá ochrany údajov, odkazy zahŕňajú zodpovedajúce požiadavky, ktoré sa vzťahujú na správnu radu, jej sekretariát a výbory. Štruktúra a obsah pravidiel ochrany údajov sú úzko zosúladené s rámcom Únie pre ochranu údajov (31). Predovšetkým majú mnoho spoločných čŕt s nariadením Európskeho parlamentu a Rady (EÚ) 2018/1725 (32), v ktorom sa stanovujú požiadavky na ochranu údajov pre inštitúcie a orgány Únie, a preto sú dobre prispôsobené špecifickej štruktúre a vlastnostiam medzinárodných organizácií, pričom verne odráža nariadenie (EÚ) 2016/679.

(15)

Pokiaľ ide o spracúvanie údajov úradom, predseda vydal ďalšie právne záväzné nástroje, ako sú obežníky, rozhodnutia a vnútorné administratívne pokyny (33). Pravidlá ochrany údajov dopĺňa najmä rozhodnutie predsedu z 13. decembra 2021 o spracúvaní osobných údajov v konaniach o udelení patentu a súvisiacich konaniach (ďalej len „rozhodnutie o konaniach o udelení patentu“) (34); rozhodnutie zo 7. decembra 2022 o spracúvaní osobných údajov v konaniach týkajúcich sa európskych patentov s jednotným účinkom (ďalej len „rozhodnutie o konaniach o patentoch s jednotným účinkom“) (35); rozhodnutie zo 17. novembra 2022 o krajinách a subjektoch, o ktorých sa predpokladá, že zabezpečujú primeranú ochranu osobných údajov (36); rozhodnutie z 2. mája 2024, ktorým sa určujú prevádzkové útvary úradu pôsobiace ako delegovaní prevádzkovatelia (37); a obežník č. 420, ktorým sa vykonáva článok 25 pravidiel ochrany údajov o obmedzeniach práv dotknutých osôb (ďalej len „obežník 420“) (38). Konkrétne pokiaľ ide o spracúvanie údajov v súvislosti s konaním o udelení patentu, je dôležité poznamenať, že požiadavky na spracúvanie osobných údajov stanovené priamo v EPD a PCT majú prednosť pred pravidlami ochrany údajov. Vzájomný vzťah medzi EPD a PCT na jednej strane a pravidlami ochrany údajov na strane druhej je objasnený v rozhodnutí o konaniach o udelení patentu (39) a v rozhodnutí o konaniach o patentoch s jednotným účinkom. Konkrétne požiadavky na ochranu údajov vyplývajúce priamo z EPD a PCT sa posudzujú v odôvodneniach 55 až 59. Pravidlá ochrany údajov a ich doplnkové nástroje sú právne záväzné a vynútiteľné a jednotlivci sa na ne môžu odvolávať v rámci nezávislých nápravných mechanizmov, ako sa uvádza v odôvodneniach 89 až 96.

(16)

Pravidlá stanovené v právnych nástrojoch uvedených v odôvodnení 15 sú ďalej rozpracované v nástrojoch vydaných zodpovednou osobou (pozri odôvodnenia 83 až 88) (40), ktoré sa vzťahujú na správnu radu a úrad, ako aj na všetky ich oddelenia (41).

(17)

Podľa pravidiel ochrany údajov a služobných predpisov (42) sú všetci zamestnanci EPO povinní pri spracúvaní osobných údajov dodržiavať pravidlá ochrany údajov. Vecná a osobná pôsobnosť pravidiel ochrany údajov je stanovená pojmami „osobné údaje“, „spracúvanie“, „prevádzkovateľ“, „delegovaný prevádzkovateľ“ a „sprostredkovateľ“, ktoré sa v týchto pravidlách vymedzujú.

(18)

Vymedzenie pojmov „osobné údaje“ a „spracúvanie“ v pravidlách ochrany údajov je totožné s vymedzením pojmov v nariadení (EÚ) 2016/679 (43). Pravidlá ochrany údajov sa vzťahujú na akékoľvek spracúvanie osobných údajov zo strany EPO bez ohľadu na to, či sa toto spracúvanie týka osobných údajov jej vlastných zamestnancov alebo údajov iných jednotlivcov (44). Údaje, ktoré prešli pseudonymizáciou (45), sa tiež považujú za osobné údaje, zatiaľ čo údaje zosnulých osôb alebo právnických osôb alebo anonymné informácie (46) sa podľa pravidiel ochrany údajov za osobné údaje nepovažujú (47).

(19)

Pravidlá ochrany údajov sa uplatňujú na spracúvanie osobných údajov zo strany EPO, ktoré je úplne alebo čiastočne vykonávané automatizovanými prostriedkami, a na spracúvanie inými ako automatizovanými prostriedkami v prípade osobných údajov, ktoré tvoria alebo by mali tvoriť súčasť informačného systému (48).

(20)

V pravidlách ochrany údajov sa „prevádzkovateľ“ vymedzuje ako „subjekt, konkrétne Európsky patentový úrad, ktorý sám alebo spoločne s inými určuje účely a prostriedky spracúvania osobných údajov“ (49). Predseda v zásade pôsobí ako prevádzkovateľ operácií spracovania údajov, ktoré vykonáva úrad (50). To isté platí pre správnu radu (kde ako prevádzkovateľ pôsobí predseda rady), sťažnostné senáty konajúce v rámci svojej súdnej právomoci (kde ako prevádzkovateľ pôsobí ich predseda (51)) a užší výbor (kde ako prevádzkovateľ pôsobí predseda výboru (52)). Prevádzkovateľ môže túto právomoc delegovať na prevádzkové útvary, ktoré zastupuje manažér na vyššej úrovni (53). V takýchto prípadoch prevádzkové útvary pôsobia ako „delegovaní prevádzkovatelia“ (54), ktorí určujú účel (napríklad dôvod, opodstatnenie a obchodné potreby), prostriedky spracovateľskej operácie a zabezpečujú, aby všetky spracovateľské operácie zahŕňajúce osobné údaje boli v súlade s pravidlami ochrany údajov (55). V takýchto prípadoch je za spracúvanie osobných údajov naďalej zodpovedný prevádzkovateľ. V pravidlách ochrany údajov sa stanovuje aj scenár „spoločného prevádzkovania“, keď prevádzkovateľ určuje účel a prostriedky spracúvania spolu s jedným prevádzkovateľom alebo viacerými prevádzkovateľmi mimo EPO (56).

(21)

Vymedzenie pojmu „sprostredkovateľ“ v pravidlách ochrany údajov je totožné s vymedzením tohto pojmu v článku 4 ods. 8 nariadenia (EÚ) 2016/679, t. j. fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo akýkoľvek iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa (57). Prevádzkovateľ môže využívať len sprostredkovateľov, ktorí poskytujú dostatočné záruky, že budú zavedené vhodné technické a organizačné opatrenia na zabezpečenie toho, aby spracúvanie spĺňalo požiadavky pravidiel ochrany údajov (58). Vzťah medzi prevádzkovateľom a sprostredkovateľom musí byť upravený zmluvou alebo právnym aktom, ktoré sú pre sprostredkovateľa záväzné a okrem iného sa v nich stanovuje predmet, trvanie, povaha a účel spracovania (59). Sprostredkovateľ môže spracúvať údaje len na základe zdokumentovaných pokynov prevádzkovateľa. Sprostredkovateľ je povinný pomáhať prevádzkovateľovi pri plnení jeho povinností podľa pravidiel ochrany údajov. Sprostredkovateľ nesmie zapojiť ďalších sprostredkovateľov bez predchádzajúceho povolenia prevádzkovateľa (60). Delegovaní prevádzkovatelia majú k dispozícii štandardnú dohodu o spracúvaní údajov (61). Okrem toho, ak sa sprostredkovateľ nachádza v tretej krajine, každá výmena osobných údajov s týmto sprostredkovateľom musí takisto spĺňať požiadavky na medzinárodné prenosy stanovené v pravidlách ochrany údajov, ako sa uvádza v odôvodneniach 68 až 73 tohto rozhodnutia (62).

(22)

Osobné údaje by sa mali spracúvať zákonným a spravodlivým spôsobom.

(23)

Tieto všeobecné zásady sa stanovujú v článku 4 ods. 2 písm. a) pravidiel ochrany údajov spôsobom, ktorý možno považovať za totožný s článkom 5 ods. 1 písm. a) nariadenia (EÚ) 2016/679.

(24)

Zásada zákonnosti je ďalej rozvinutá v článku 5 pravidiel ochrany údajov, v ktorom sa uvádzajú právne základy, na základe ktorých možno spracúvať osobné údaje. Týmito právnymi základmi sú: a) nevyhnutnosť vykonať úlohu pri výkone úradných činností EPO (63) alebo pri oprávnenom výkone verejnej moci zverenej prevádzkovateľovi, čo zahŕňa spracúvanie potrebné na riadenie a fungovanie úradu (64); b) nevyhnutnosť splniť zákonnú povinnosť, ktorá sa na prevádzkovateľa vzťahuje (napríklad zverejniť informácie uvedené v patentovej prihláške v Európskom patentovom registri) (65); c) nevyhnutnosť plnenia zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo vykonania opatrení pred uzatvorením zmluvy na žiadosť dotknutej osoby; d) súhlas dotknutej osoby alebo e) nevyhnutnosť ochrany životne dôležitých záujmov dotknutej osoby či inej fyzickej osoby.

(25)

Súhlas sa v pravidlách ochrany údajov vymedzuje rovnako ako v nariadení (EÚ) 2016/679, t. j. „akýkoľvek slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby, ktorým formou vyhlásenia alebo jednoznačného potvrdzujúceho úkonu vyjadruje súhlas so spracúvaním osobných údajov, ktoré sa jej týka“ (66). Je na prevádzkovateľovi, aby preukázal, že dotknutá osoba poskytla súhlas (67). Pri posudzovaní, či bol súhlas poskytnutý slobodne, by sa mala zohľadniť skutočnosť, či sa plnenie zmluvy podmieňuje súhlasom so spracúvaním údajov, ktorý nie je na plnenie tejto zmluvy nevyhnutný (68). Súhlas nemožno považovať za slobodný, ak dotknutá osoba nemá skutočnú alebo slobodnú voľbu alebo nemôže odmietnuť či odvolať súhlas bez nepriaznivých následkov (69). Aby sa navyše zaistilo, že súhlas bude informovaný, v pravidlách ochrany údajov sa vyžaduje, aby si dotknutá osoba bola vedomá aspoň identity prevádzkovateľa a zamýšľaných účelov spracúvania osobných údajov (70). A napokon, dotknutá osoba má právo súhlas kedykoľvek odvolať (71).

(26)

Na spracúvanie „osobitných kategórií“ údajov by sa mali vzťahovať osobitné záruky.

(27)

Pravidlá ochrany údajov obsahujú osobitné pravidlá, pokiaľ ide o spracúvanie osobitných kategórií osobných údajov (72), ktoré sú vymedzené rovnako ako v nariadení (EÚ) 2016/679, t. j. „spracúvanie osobných údajov, ktoré odhaľujú rasový alebo etnický pôvod, politické názory, náboženské alebo filozofické presvedčenie alebo členstvo v odborových organizáciách, a spracúvanie genetických údajov (73), biometrických údajov (74) na individuálnu identifikáciu fyzickej osoby, údajov týkajúcich sa zdravia (75) alebo údajov týkajúcich sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby“ (76). Podľa pravidiel ochrany údajov je spracúvanie osobitných kategórií údajov v zásade zakázané, pokiaľ sa neuplatňuje osobitná výnimka (77).

(28)

Osobitné výnimky uvedené v článku 11 ods. 2 pravidiel ochrany údajov sú podobné výnimkám uvedeným v článku 9 ods. 2 a 3 nariadenia (EÚ) 2016/679, s niekoľkými úpravami na základe právneho rámca, v ktorom EPO pôsobí. Spracúvanie osobitných kategórií osobných údajov je povolené len za osobitných a obmedzených okolností (78), t. j. ak 1. dotknutá osoba udelila výslovný súhlas; 2. spracúvanie je potrebné na ochranu životne dôležitých záujmov jednotlivca (v prípade, že dotknutá osoba nie je fyzicky alebo právne spôsobilá vyjadriť súhlas); 3. osobné údaje dotknutá osoba preukázateľne zverejnila; 4. spracúvanie je nevyhnutné na konkrétny účel súvisiaci s výkonom úradných činností EPO alebo pri výkone oprávnenej právomoci zverenej prevádzkovateľovi (79) alebo 5. spracúvanie je nevyhnutné na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov.

(29)

Popri osobitných kategóriách osobných údajov uvedených v odôvodnení 27 sa v pravidlách ochrany údajov vyžaduje aj osobitná ochrana spracúvania osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky, a to tak, že sa toto spracúvanie povolí len po predchádzajúcej konzultácii s výborom pre ochranu údajov alebo v prípade, že sa spracúvanie vyžaduje na základe právne záväzného nástroja, v ktorom sa stanovujú primerané záruky práv a slobôd jednotlivcov (80).

(30)

Osobné údaje by sa mali spracúvať na konkrétny účel a následne by sa mali používať len, pokiaľ to nie je nezlučiteľné s daným účelom spracúvania.

(31)

Táto zásada je zabezpečená v článku 4 ods. 2 písm. b) pravidiel ochrany údajov, podľa ktorého sa osobné údaje musia „zhromažďovať na konkrétne, výslovne uvedené a legitímne účely a nesmú sa ďalej spracúvať spôsobom, ktorý je s týmito účelmi nezlučiteľný“.

(32)

Podobne ako v nariadení (EÚ) 2016/679 sa v pravidlách ochrany údajov povoľuje ďalšie spracúvanie (bez ohľadu na zlučiteľnosť účelu ďalšieho spracúvania s pôvodným účelom) na základe výslovného súhlasu dotknutej osoby alebo na základe platných právnych ustanovení EPO (81). V druhom uvedenom prípade sa v pravidlách ochrany údajov vyžaduje, aby spracúvanie bolo nevyhnutným a primeraným opatrením na ochranu cieľa všeobecného verejného záujmu (82).

(33)

Ak sa ďalšie spracúvanie nezakladá na týchto dvoch dôvodoch, v pravidlách ochrany údajov sa stanovujú faktory, ktoré sa majú zohľadniť pri posudzovaní zlučiteľnosti účelu ďalšieho spracúvania s účelom, na ktorý boli osobné údaje pôvodne zhromaždené (83). Tento prístup a faktory uvedené v pravidlách ochrany údajov sú totožné s tými, ktoré sú uvedené v článku 6 ods. 4 nariadenia (EÚ) 2016/679 a článku 6 nariadenia (EÚ) 2018/1725 (84).

(34)

Osobné údaje by mali byť presné a v prípade potreby by sa mali neustále aktualizovať. Mali by byť aj primerané, relevantné a nie nadmerné vzhľadom na účely, na ktoré sa spracúvajú, a v zásade by sa nemali uchovávať dlhšie, ako je nevyhnutné na účely, na ktoré sa osobné údaje spracúvajú.

(35)

Tieto zásady sú v článku 4 ods. 2 písm. c), d) a e) pravidiel ochrany údajov stanovené rovnako ako v nariadení (EÚ) 2016/679.

(36)

Osobné údaje by sa navyše mali spracúvať spôsobom, ktorým sa zaručí ich bezpečnosť vrátane ochrany pred neoprávneným alebo nezákonným spracúvaním a náhodnou stratou, zničením alebo poškodením. Na tento účel by prevádzkovatelia podnikov mali prijať vhodné technické alebo organizačné opatrenia na ochranu osobných údajov pred možnými hrozbami. Dané opatrenia by sa mali posudzovať s prihliadnutím na najnovšie poznatky a súvisiace náklady.

(37)

Bezpečnosť údajov je v právnom rámci EPO zakotvená prostredníctvom zásady integrity a dôvernosti stanovenej v článku 4 ods. 2 písm. f) a článku 33 pravidiel ochrany údajov, a to takmer totožne ako v nariadení (EÚ) 2016/679. V pravidlách ochrany údajov sa najmä vyžaduje, aby sa zabezpečila úroveň bezpečnosti primeraná riziku prostredníctvom vhodných technických a organizačných opatrení, a to so zreteľom na najnovšie poznatky, náklady na vykonanie opatrení a na povahu, rozsah, kontext a účely spracúvania, ako aj na rôznu pravdepodobnosť a závažnosť všetkých rizík pre práva a slobody jednotlivcov.

(38)

Pravidlá ochrany údajov navyše obsahujú osobitné požiadavky na riešenie a oznamovanie porušenia ochrany údajov (85). Po prvé, od prevádzkovateľa sa vyžaduje, aby porušenie ochrany údajov bez zbytočného odkladu oznámil zodpovednej osobe (a podľa možnosti najneskôr do 72 hodín po tom, ako sa o ňom dozvedel), pokiaľ nie je pravdepodobné, že by porušenie viedlo k ohrozeniu práv a slobôd jednotlivcov (86). Sprostredkovateľ je podobne povinný oznámiť prevádzkovateľovi porušenie bez zbytočného odkladu (87). V oznámení sa musí najmä opísať povaha porušenia, jeho pravdepodobné dôsledky a opatrenia, ktoré sa prijali alebo sa navrhujú prijať na riešenie porušenia (88). Ak porušenie ochrany osobných údajov pravdepodobne povedie k vysokému riziku pre práva a slobody jednotlivcov, prevádzkovateľ musí takisto bezodkladne oznámiť porušenie ochrany osobných údajov dotknutej osobe (89). V oznámení dotknutej osobe sa musí jasne a zrozumiteľne opísať povaha porušenia ochrany osobných údajov (90), a ak prevádzkovateľ prijal následné opatrenia, ktorými sa zabezpečí, že vysoké riziko pre práva a slobody dotknutých osôb už nebude existovať, toto oznámenie sa nevyžaduje (91).

(39)

Dotknuté osoby by mali byť informované o hlavných znakoch spracúvania ich osobných údajov.

(40)

V súlade s pravidlami ochrany údajov je prevádzkovateľ povinný v čase získavania osobných údajov poskytnúť jednotlivcom informácie najmä o svojej totožnosti a kontaktných údajoch (ako aj o kontaktných údajoch zodpovednej osoby), účele spracúvania a jeho právnom základe, príjemcoch alebo kategóriách príjemcov, skutočnosti, že má v úmysle preniesť údaje mimo EPO, ako aj o uplatniteľných právach a možnosti získať nápravu (92). To isté platí, ak sa osobné údaje spracúvajú na iný účel, než na ktorý boli zhromaždené (93). Obe povinnosti sa uplatňujú len vtedy, ak dotknutý jednotlivec ešte dané informácie nemá (94).

(41)

Rovnaké informácie sa musia poskytnúť dotknutým osobám, ak sa osobné údaje nezbierajú priamo od nich, a to spolu s dodatočnými informáciami o zdroji osobných údajov a kategóriách dotknutých údajov (95). Takéto informácie sa musia poskytnúť v primeranej lehote po získaní údajov (najneskôr však do jedného mesiaca), pričom sa zohľadnia konkrétne okolnosti, za ktorých sa údaje spracúvajú (96). V prípade, že sa osobné údaje majú použiť na komunikáciu s dotknutou osobou, rovnaké informácie by sa mali poskytnúť najneskôr v čase prvej komunikácie s jednotlivcom (97). Informácie uvedené v odôvodnení 40 sa takisto musia poskytnúť pred akýmkoľvek ďalším spracúvaním, alebo ak sa plánuje poskytnutie inému príjemcovi, najneskôr pri poskytnutí osobných údajov tretej strane (98). Táto povinnosť sa neuplatňuje vo viacerých prípadoch, konkrétne v prípadoch, keď už dotknutá osoba príslušné informácie má; keď tieto informácie musia zostať dôverné z dôvodu povinnosti zachovávať služobné tajomstvo upravenej na základe EPD a/alebo iných právnych ustanovení platných pre EPO (99); keď sa poskytnutie týchto informácií ukáže ako nemožné alebo by si vyžadovalo neprimerané úsilie, najmä pri spracúvaní na účely archivácie, vedeckého alebo historického výskumu alebo štatistiky, pokiaľ by to znemožnilo alebo vážne narušilo dosiahnutie cieľov spracúvania; alebo keď sa získanie alebo zverejnenie týchto informácií výslovne stanovuje v EPD alebo v iných platných právnych ustanoveniach, ktorými sa poskytujú primerané opatrenia na ochranu oprávnených záujmov dotknutej osoby (100).

(42)

Dotknuté osoby by mali mať určité práva, ktoré možno uplatniť voči prevádzkovateľovi alebo sprostredkovateľovi, a to najmä právo na prístup k údajom, právo na opravu údajov, právo namietať proti spracúvaniu a právo na vymazanie údajov. Zároveň sa na tieto práva môžu vzťahovať obmedzenia, pokiaľ sú tieto obmedzenia potrebné a primerané na ochranu dôležitých cieľov všeobecného verejného záujmu.

(43)

Potreba uľahčiť výkon individuálnych práv sa stanovuje v článku 1B ods. 4 služobných predpisov. Na ďalšie vykonávanie tejto požiadavky sa v pravidlách ochrany údajov poskytujú jednotlivcom rovnaké práva, aké sú uvedené v nariadení (EÚ) 2016/679, a to právo na prístup (článok 18 pravidiel ochrany údajov), právo na opravu (článok 19 pravidiel ochrany údajov), právo na vymazanie (článok 20 pravidiel ochrany údajov), právo na obmedzenie spracúvania (článok 21 pravidiel ochrany údajov), právo na prenosnosť údajov (článok 22 pravidiel ochrany údajov), právo namietať (článok 23 pravidiel ochrany údajov) a právo nepodliehať automatizovanému rozhodovaniu (článok 24 pravidiel ochrany údajov).

(44)

V pravidlách ochrany údajov sa takisto uvádzajú všeobecné ustanovenia týkajúce sa vybavovania žiadostí jednotlivcov o výkon práv, v ktorých sa od prevádzkovateľa vyžaduje, aby s dotknutými osobami komunikoval jasným a jednoduchým jazykom, stručnou, transparentnou, zrozumiteľnou a ľahko dostupnou formou (písomne alebo inými prostriedkami) (101). Prevádzkovateľ musí jednotlivcom poskytnúť informácie o opatreniach prijatých v reakcii na žiadosť bez zbytočného odkladu a v každom prípade do jedného mesiaca od prijatia žiadosti (v prípade potreby sa táto lehota môže predĺžiť o ďalšie dva mesiace vzhľadom na zložitosť a počet žiadostí) (102). Ak sú žiadosti dotknutej osoby zjavne neopodstatnené alebo neprimerané, najmä pre ich opakujúcu sa povahu, prevádzkovateľ môže odmietnuť zaoberať sa žiadosťou (103). Ak prevádzkovateľ nebude konať na základe žiadosti, musí o tom informovať daného jednotlivca a poskytnúť mu informácie o možnosti požadovať nápravu (104).

(45)

Po prvé, pokiaľ ide o právo na prístup, v pravidlách ochrany údajov sa jednotlivcom poskytuje právo získať od EPO potvrdenie o tom, či sa spracúvajú osobné údaje, ktoré sa ich týkajú, a ak áno, poskytuje sa im právo na jednoduchý prístup k osobným údajom (105) v primeraných intervaloch (106). Okrem toho majú jednotlivci právo získať informácie, a to najmä o účele spracúvania, kategóriách dotknutých údajov, príjemcoch, ktorým sa údaje poskytujú, a predpokladanom období, počas ktorého sa budú údaje uchovávať (107).

(46)

Po druhé, v pravidlách ochrany údajov sa stanovuje, že právo na opravu poskytnuté v týchto pravidlách umožňuje jednotlivcom dosiahnuť opravu nepresných údajov alebo doplnenie neúplných údajov (napríklad poskytnutím dodatočného vyhlásenia) (108). Po vykonaní opravy je prevádzkovateľ povinný oznámiť ju každému príjemcovi, ktorému boli osobné údaje poskytnuté (109). Podľa pravidiel ochrany údajov sa právo na opravu vzťahuje na objektívne a faktické údaje, a nie na subjektívne vyhlásenia (110), hoci v tomto prípade môžu jednotlivci doplniť existujúce údaje druhým stanoviskom alebo iným odborným posudkom alebo poskytnúť pripomienky (111).

(47)

Po tretie, v pravidlách ochrany údajov sa jednotlivcom poskytuje aj právo na vymazanie (112), najmä ak a) osobné údaje už nie sú potrebné na účel, na ktorý sa spracúvajú; b) dotknutá osoba odvolá súhlas a neexistuje iný právny základ pre spracúvanie; c) dotknutá osoba namieta proti spracúvaniu a neexistujú žiadne prevažujúce oprávnené dôvody na spracúvanie; d) údaje boli spracované nezákonne alebo e) sa údaje musia vymazať, aby sa splnila zákonná povinnosť, ktorá sa vzťahuje na prevádzkovateľa (113). Prevádzkovateľ musí oznámiť každé vymazanie každému príjemcovi, ktorému boli údaje poskytnuté, pokiaľ sa to neukáže ako nemožné alebo si to nevyžaduje neprimerané úsilie (114). Podobne, ak prevádzkovateľ zverejnil osobné údaje, musí prijať primerané opatrenia, aby informoval ostatných prevádzkovateľov, ktorí ich spracúvajú, že jednotlivec požiadal o vymazanie (115). Právo na vymazanie sa nevzťahuje na tieto prípady, pokiaľ je spracúvanie údajov nevyhnutné: a) na uplatnenie práva na slobodu prejavu a na informácie; b) na splnenie zákonnej povinnosti EPO alebo povinnosti vyplývajúcej z povinnosti EPO spolupracovať so zmluvnými štátmi (116) alebo na výkon verejnej moci zverenej EPO (117); c) z dôvodov spolupráce so zmluvnými štátmi v oblasti verejného zdravia (118); d) na účely archivácie, vedeckého alebo historického výskumu a na štatistické účely (pokiaľ by vymazanie pravdepodobne znemožnilo alebo vážne narušilo dosiahnutie cieľov spracúvania) alebo e) na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov (119).

(48)

Po štvrté, v článku 21 pravidiel ochrany údajov sa poskytuje právo na obmedzenie spracúvania, t. j. označenie osobných údajov s cieľom obmedziť ich spracúvanie v budúcnosti (vrátane programových opatrení na trvalé zabránenie prístupu k týmto údajom) (120). Toto právo možno uplatniť najmä v prípade, ak jednotlivec spochybňuje presnosť osobných údajov (na obdobie, ktoré prevádzkovateľ vyžaduje na overenie presnosti) alebo ak je spracúvanie nezákonné, ale jednotlivec nesúhlasí s vymazaním údajov (121). Ak je spracúvanie obmedzené, osobné údaje sa môžu, s výnimkou uchovávania, spracúvať len s výslovným súhlasom jednotlivca, na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov, na ochranu práv iných osôb alebo na plnenie úlohy vykonávanej pri výkone úradných činností EPO (t. j. úlohy, ktorá je nevyhnutná na administratívnu a technickú prácu, ktorú musí EPO vykonávať v súlade s EPD) (122).

(49)

Po piate, v článku 1B ods. 4 služobných predpisov a v článku 23 pravidiel ochrany údajov sa poskytuje právo namietať. Jednotlivci majú konkrétne právo kedykoľvek namietať proti spracúvaniu osobných údajov vykonávanému na účely plnenia úlohy pri výkone úradných činností EPO alebo pri oprávnenom výkone verejnej moci zverenej prevádzkovateľovi (123). Jednotlivci musia byť o existencii takéhoto práva informovaní jasným spôsobom, a to najneskôr v čase prvej komunikácie s nimi (124). V prípade, že jednotlivec namieta proti spracúvaniu osobných údajov, sa v pravidlách ochrany údajov vyžaduje, aby prevádzkovateľ ukončil spracúvanie, pokiaľ nie je schopný preukázať závažné oprávnené dôvody na spracúvanie, ktoré prevažujú nad záujmami, právami a slobodami dotknutej osoby, alebo na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov (125).

(50)

Po šieste, v pravidlách ochrany údajov sa stanovuje právo na prenosnosť údajov, ktoré jednotlivcom umožňuje získať svoje osobné údaje v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte a zaslať tieto údaje inému prevádzkovateľovi (126). Takéto právo sa uplatňuje, ak sa spracúvanie vykonáva automatizovanými prostriedkami a uskutočňuje sa na základe súhlasu jednotlivca alebo na účely plnenia zmluvy s jednotlivcom alebo v jeho záujme (127).

(51)

A napokon, podľa pravidiel ochrany údajov má jednotlivec právo nepodliehať automatizovanému rozhodovaniu, t. j. rozhodnutiu založenému výlučne na automatizovanom spracúvaní vrátane profilovania, ktoré má právne účinky, ktoré sa jednotlivca týkajú alebo ho podobne významne ovplyvňujú (128). V pravidlách ochrany údajov sa stanovuje, že automatizované rozhodovanie sa môže uskutočniť, ak je založené na výslovnom súhlase dotknutej osoby alebo ak je nevyhnutné na uzavretie alebo plnenie zmluvy s jednotlivcom, pričom v takom prípade musí prevádzkovateľ zaviesť vhodné záruky, napríklad poskytnutím práva na ľudský zásah, vyjadrenie názoru jednotlivcov a napadnutie rozhodnutia (129). Automatizované rozhodovanie môže byť povolené aj právnym aktom, ak sa v danom akte stanovujú vhodné opatrenia na ochranu práv jednotlivcov (130). Ak prevádzkovateľ vykonáva automatizované rozhodovanie vrátane profilovania, musí o tom v rámci svojich povinností transparentnosti proaktívne informovať daného jednotlivca a poskytnúť mu zmysluplné informácie o použitom postupe, ako aj o význame a predpokladaných dôsledkoch takéhoto spracúvania pre dotknutú osobu (131). Rovnaké informácie sa musia poskytnúť na požiadanie (132).

(52)

Podobne ako v článku 23 nariadenia (EÚ) 2016/679 a v článku 25 nariadenia (EÚ) 2018/1725 sa v článku 25 pravidiel ochrany údajov stanovuje, že osobitnými právnymi ustanoveniami v právnom rámci EPO sa môže obmedziť uplatňovanie práv uvedených v odôvodneniach 43 až 51 (133) (t. j. dočasne obmedziť ich uplatňovanie) (134), ak sa pri takomto obmedzení rešpektuje podstata základných práv (135) a slobôd a je to v demokratickej spoločnosti nevyhnutné a primerané opatrenie na ochranu konkrétnych cieľov (136). Okrem toho sa obmedzenie musí stanoviť v „jednoznačných a presných“ ustanoveniach, ktoré majú mať právne účinky voči dotknutým osobám a ktoré musia byť prijaté aspoň na úrovni predsedu (137). V takýchto ustanoveniach sa musí uviesť najmä účel spracúvania, rozsah obmedzenia, záruky na zabránenie zneužitia, ako aj lehoty uchovávania a uplatniteľné záruky (138).

(53)

V súčasnosti je jediným právnym nástrojom, v ktorom sa stanovujú obmedzenia individuálnych práv, obežník 420 (právne záväzný nástroj prijatý predsedom). Objasňuje sa v ňom, ako a za akých podmienok môže prevádzkovateľ uplatňovať obmedzenia, a vyčerpávajúcim spôsobom sa v ňom stanovujú konkrétne scenáre, v ktorých možno práva obmedziť, ako aj na aké účely (139). Predovšetkým sa v ňom stanovuje, že EPO môže obmedziť individuálne práva na určité špecifické ciele: a) a b) pri vedení vyšetrovacích alebo disciplinárnych konaní v súvislosti s jej zamestnancami (140); c) v súvislosti s vnútorným urovnávaním sporov alebo s preukazovaním, uplatňovaním alebo obhajobou právnych nárokov vrátane rozhodcovského konania, a to na ochranu dôverných informácií a dokumentov získaných od strán, vedľajších účastníkov alebo iných legitímnych zdrojov; d) pri spracúvaní zdravotných údajov v rámci lekárskych postupov a zdravotných záznamov, ale len na ochranu práv jednotlivcov (141); e) a f) pri vykonávaní vnútorných auditov a kontrol (kontroly vykonáva zodpovedná osoba); g) na účely riadenia IT incidentov a hlásení o incidentoch fyzickej bezpečnosti a h) pri poskytovaní pomoci príslušným orgánom verejnej moci alebo prijímaní pomoci od týchto orgánov, a to vrátane zmluvných štátov EPO a medzinárodných organizácií, alebo pri spolupráci s nimi na činnostiach vymedzených v príslušných dohodách o úrovni poskytovaných služieb, memorandách o porozumení a dohodách o spolupráci, a to buď na ich žiadosť, alebo z vlastnej iniciatívy úradu (142).

(54)

O tom, či sa obmedzenie môže alebo nemôže uplatniť v konkrétnom prípade, rozhoduje v jednotlivých prípadoch prevádzkovateľ so zreteľom na príslušné okolnosti (143). Pri rozhodovaní o tom, či obmedzenie uplatniť alebo nie, musí prevádzkovateľ najprv posúdiť jeho nevyhnutnosť a primeranosť v konkrétnom prípade, a to za účasti zodpovednej osoby (144). Toto posúdenie zahŕňa zváženie potenciálnych rizík pre práva a slobody dotknutej osoby v porovnaní s rizikami pre práva a slobody iných dotknutých osôb a rizikami narušenia účelu a výsledku spracovateľskej operácie (145). Obmedzenia musia byť zdokumentované vrátane zaznamenania posúdenia obmedzených práv, na ako dlho, z akých príčin a na základe akých dôvodov (146). Okrem toho sa počas uplatňovania obmedzenia musia sa zaviesť vhodné technické a organizačné opatrenia (147). Akékoľvek obmedzenie sa môže uplatňovať len dovtedy, kým naň existujú dôvody (148). Ak je právo obmedzené, prevádzkovateľ musí jednotlivca informovať o hlavných dôvodoch a o práve podať sťažnosť (149).

(55)

Ustanovenia zakladajúcej zmluvy EPO (t. j. EPD), ustanovenia PCT a ustanovenia platné podľa nich (všetky tvoria primárne právo EPO) obsahujú určité osobitné požiadavky v súvislosti s konaním o udelení patentu, ktoré môžu mať vplyv na výkon určitých práv podľa pravidiel ochrany údajov (150). V rozhodnutí o konaniach o udelení patentu sa uvádza prehľad týchto požiadaviek primárneho práva, vysvetľuje sa, ako možno v tejto súvislosti uplatňovať práva dotknutej osoby, a jasne sa stanovujú možné výnimky (151). V obežníku 420 sa stanovuje, že v tých ustanoveniach, ktorými sa môže obmedziť uplatňovanie práv na ochranu údajov, sa musí jasne určiť rozsah akejkoľvek výnimky, a teda sa musia vyvážiť rôzne dotknuté záujmy (152).

(56)

Po prvé, podľa článku 127 EPD je úrad povinný viesť Európsky patentový register, v ktorom sa uverejňujú určité právne vymedzené osobné údaje. Podľa primárneho práva musia byť patentové prihlášky uverejnené v priebehu konania o udelení patentu, spravidla čo najskôr po uplynutí osemnástich mesiacov od dátumu podania. V EPD sa stanovuje, že k osobným údajom obsiahnutým v takýchto patentových prihláškach možno získať prístup prostredníctvom nahliadnutia do spisu alebo nahliadnutím do registra (153). Patentové prihlášky nie sú pred uverejnením prístupné na nahliadnutie bez výslovného súhlasu prihlasovateľa. Podobné pravidlá sú stanovené v PCT (154).

(57)

Po druhé, v EPD sa osobitne upravuje možnosť dosiahnuť zmeny informácií použitých v rámci konania o udelení patentu (155). Konkrétne sa v EPD poskytuje len možnosť dosiahnuť opravu chýb v dokumentoch podaných v rámci EPO (156), opravu chýb v rozhodnutiach (157), opravu prekladov (158) a opravu označenia vynálezcu (159). Opravu osobných údajov zahrnutých v dokumentoch používaných v konaní o udelení patentu možno preto takisto dosiahnuť len v týchto prípadoch. To isté platí pre možnosť dosiahnuť obmedzenie spracúvania údajov (160).

(58)

Po tretie, v EPD sa ukladajú osobitné požiadavky na uchovávanie a uverejňovanie určitých dokumentov používaných v konaní o udelení patentu, ktoré majú vplyv na možnosť dosiahnuť vymazanie informácií obsiahnutých v týchto dokumentoch vrátane osobných údajov (161). Uchovávať a sprístupňovať verejnosti sa musia najmä uverejnené patentové prihlášky a patentové informácie uverejnené v Európskom patentovom vestníku (162). V dôsledku toho by vymazanie osobných údajov obsiahnutých v týchto dokumentoch bolo v rozpore so základnými právnymi povinnosťami EPO [článok 129 písm. a) EPD] a nie je možné ho dosiahnuť. Ostatné spisy musí EPO uchovávať počas obdobia stanoveného v EPD, ktoré v zásade trvá päť rokov (163). Pokiaľ táto lehota platí, nie je možné dosiahnuť vymazanie informácií obsiahnutých v týchto spisoch (vrátane osobných údajov).

(59)

Preto najmä vzhľadom na ich obmedzený rozsah a podmienky ich uplatňovania možno obmedzenia výkonu práv vyplývajúce z ustanovení uvedených v odôvodneniach 55 až 58 považovať za obmedzené na to, čo je nevyhnutné a primerané na zabezpečenie správneho fungovania konania o udelení patentu, ako si to vyžaduje verejný záujem na plnenie úradných úloh EPO. Pokiaľ sa v EPD a PCT osobitne neupravuje výkon práv na ochranu údajov, t. j. vo všetkých ostatných prípadoch okrem tých, ktoré sú opísané v odôvodneniach 55 až 58, požiadavky pravidiel ochrany údajov sa uplatňujú v plnom rozsahu.

(60)

Úroveň ochrany osobných údajov prenášaných z Únie do EPO nesmie byť oslabená ďalším prenosom takýchto údajov príjemcovi v tretej krajine alebo inej medzinárodnej organizácii.

(61)

V pravidlách ochrany údajov sa rozlišuje medzi „zasielaním osobných údajov“ (t. j. poskytovaním údajov zo strany EPO jej zmluvným štátom) a „prenosom osobných údajov“ (poskytovanie údajov zo strany EPO akejkoľvek inej osobe alebo subjektu mimo EPO) (164).

(62)

Po prvé, v pravidlách ochrany údajov sa stanovuje, že k zaslaniu údajov národnému úradu duševného vlastníctva zmluvného štátu EPO môže dôjsť, ak sú údaje potrebné na a) výkon kompetencií alebo výkon verejnej moci príjemcu a b) zaslanie je potrebné na výkon úradných úloh/verejnej moci EPO (165). Toto zaslanie sa uskutočňuje v rámci konania o udelení patentu podľa EPD a PCT (166).

(63)

Po druhé, v pravidlách ochrany údajov sa umožňuje zasielanie údajov orgánu verejnej moci zmluvného štátu EPO (167), ak sú údaje potrebné na plnenie úloh tohto orgánu verejnej moci a zaslanie je zlučiteľné s úlohami a fungovaním EPO (168). Takéto zasielanie sa výslovne nevyžaduje podľa EPD alebo iných právnych nástrojov, ktorými sa riadi konanie o udelení patentu, ale napriek tomu môže byť potrebné na plnenie úloh EPO, napríklad na spoluprácu EPO so zmluvnými štátmi prostredníctvom konzultačných procesov; vysielanie a nasadzovanie expertov; alebo poskytnutie informácií o zamestnancoch EPO na účely určenia sociálnych dávok, daňových požiadaviek atď.

(64)

Zodpovedná osoba pripravila vzorové doložky, ktoré sa majú zahrnúť do memoránd o porozumení upravujúcich takéto zasielanie opísané v odôvodneniach 62 a 63 a v ktorých sa okrem iného stanovujú zásady ochrany údajov, ďalšie spracúvanie sa obmedzuje len na zlučiteľné účely, stanovujú sa práva dotknutých osôb, ako aj povinnosti týkajúce sa bezpečnosti údajov a porušenia ochrany údajov a nezávislého dohľadu (169).

(65)

V oboch prípadoch opísaných v odôvodneniach 62 a 63 musí príjemca podľa pravidiel ochrany údajov predložiť dôkaz o tom, že je potrebné, aby sa údaje zaslali na konkrétny účel vyplývajúci z povinností EPO spolupracovať so zmluvným štátom alebo zmluvnými štátmi (170). Prevádzkovateľ musí byť pri každom zaslaní schopný preukázať, že takýto prenos je nevyhnutný a primeraný konkrétnemu účelu, na ktorý sa poskytuje (171). Každý prenos údajov sa musí uskutočniť spôsobom, ktorým sa zabezpečí zachovanie úrovne ochrany podľa pravidiel ochrany údajov (172). Podľa usmernenia vydaného zodpovednou osobou to znamená, že musia byť zavedené primerané záruky, a to aj zabezpečením toho, aby údaje, ktoré sa majú poskytovať, boli minimalizované a obmedzené len na to, čo je primerané, relevantné a striktne nevyhnutné na dosiahnutie daného účelu (173). Ak existuje akýkoľvek dôvod predpokladať, že môžu byť dotknuté oprávnené záujmy jednotlivca, prevádzkovateľ musí po zvážení rôznych dotknutých záujmov preukázať, že zaslanie osobných údajov na tento konkrétny účel je primerané (174).

(66)

V súvislosti s týmito dvoma prípadmi je tiež dôležité poznamenať, že všetky zmluvné štáty EPO sú zmluvnými stranami Európskeho dohovoru o ochrane ľudských práv a základných slobôd, ktoré podliehajú právomoci Európskeho súdu pre ľudské práva, ako aj zmluvnými stranami Dohovoru Rady Európy o ochrane jednotlivcov pri automatizovanom spracovaní osobných údajov (ETS č. 108).

(67)

A napokon sa v pravidlách ochrany údajov umožňuje zasielanie údajov sprostredkovateľovi so sídlom v Európskom hospodárskom priestore (EHP), a to za predpokladu, že je zabezpečený súlad s požiadavkami stanovenými v pravidlách ochrany údajov týkajúcimi sa zapojenia sprostredkovateľov (175).

(68)

Poskytovanie osobných údajov akýmkoľvek subjektom mimo EPO, ktoré nie sú orgánom verejnej moci alebo národným úradom duševného vlastníctva zmluvných štátov EPO alebo sprostredkovateľom v EHP, sa považuje za „prenos“ osobných údajov, na ktorý sa vzťahujú osobitné požiadavky podľa pravidiel ochrany údajov (176). Tieto požiadavky sa vzťahujú napríklad na poskytovanie údajov spracovateľom mimo EHP, prevádzkovateľom nachádzajúcim sa v zmluvných štátoch alebo mimo nich, orgánom verejnej moci v nezmluvných štátoch a iným medzinárodným organizáciám. Vo všeobecnosti sa v pravidlách ochrany údajov vyžaduje, aby úroveň ochrany zaručená jednotlivcom zo strany EPO nebola pri prenose údajov tretím stranám narušená (177). Podľa usmernenia zodpovednej osoby „ochrana poskytovaná prenášaným osobným údajom v tretej krajine alebo medzinárodnej organizácii musí byť v zásade rovnocenná s ochranou zaručenou v pravidlách ochrany údajov“ (178).

(69)

Podľa pravidiel ochrany údajov sa prenos osobných údajov mimo EPO môže uskutočniť predovšetkým vtedy, ak krajina, v ktorej sa príjemca nachádza, alebo medzinárodná organizácia zabezpečuje primeranú úroveň ochrany a ak sa prenos uskutočňuje výlučne s cieľom umožniť EPO vykonávať úlohy v rámci jej právomoci (179). Rozhodnutie o primeranosti prijíma predseda (180), ktorý v prípade pochybností rozhoduje po konzultácii so zodpovednou osobou a s výborom pre ochranu údajov (181). Zodpovedná osoba vypracovala „referenčné kritérium primeranosti“, v ktorom sa stanovujú kritériá rozhodnutí o primeranosti (182). V právnom rámci tretej krajiny alebo medzinárodnej organizácie sa musia najmä stanoviť kľúčové zásady ochrany údajov, práva dotknutých osôb, pravidlá následného prenosu, procesné mechanizmy a mechanizmy presadzovania, ako aj prostriedky nápravy pre jednotlivcov. Ak predseda prijme rozhodnutie o primeranosti, prenos sa môže uskutočniť bez zavedenia dodatočných záruk (183). Členské štáty, ako aj Nórsko, Island, Lichtenštajnsko, všetky krajiny, na ktoré sa vzťahuje rozhodnutie Komisie o primeranosti (184), a inštitúcie a orgány Únie v súčasnosti EPO považuje za krajiny alebo subjekty, ktoré poskytujú primeranú úroveň ochrany (185).

(70)

Ak podľa pravidiel ochrany údajov neexistuje rozhodnutie o primeranosti, prevádzkovateľ alebo sprostredkovateľ môže preniesť osobné údaje príjemcom mimo EPO len vtedy, ak prevádzkovateľ alebo sprostredkovateľ poskytol primerané záruky a pod podmienkou, že sú k dispozícii vymáhateľné práva dotknutých osôb a účinné právne prostriedky nápravy pre dotknuté osoby (186). Takéto vhodné záruky možno zahrnúť do správnych dojednaní s orgánmi verejnej moci alebo medzinárodnými organizáciami, do zmluvných doložiek (po konzultácii s výborom pre ochranu údajov) (187) alebo do certifikačných mechanizmov (188). Zodpovedná osoba vypracovala prehľad ustanovení, ktoré sa majú zahrnúť do správnych dojednaní (189). K dispozícii je aj vzorová dohoda o ochrane údajov pri prenose sprostredkovateľom (190). Podľa usmernenia zodpovednej osoby musí EPO posúdiť, či by dovozcovi údajov bránil v dodržiavaní jeho povinností vyplývajúcich z nástroja prenosu údajov právny rámec, ktorý sa na neho vzťahuje, a v prípade potreby zaviesť dodatočné opatrenia (191). Na vykonanie tohto posúdenia zodpovedná osoba vo vysvetlivkách EPO o zasielaní a prenose osobných údajov odporúča zohľadniť príslušné usmernenia EDPB a európskeho dozorného úradníka pre ochranu údajov (192).

(71)

Podľa pravidiel ochrany údajov musí EPO v prípade prenosu údajov do krajín alebo organizácií, na ktoré sa vzťahuje rozhodnutie o primeranosti, ako aj v prípade prenosu údajov na základe primeraných záruk preukázať nevyhnutnosť a primeranosť každého prenosu na účely spracúvania (193). Okrem toho musí EPO po zvážení rôznych dotknutých záujmov preukázať, že prenos je primeraný, ak existuje dôvod domnievať sa, že by mohli byť dotknuté oprávnené záujmy dotknutých osôb (194). Okrem toho musí byť zabezpečené (prostredníctvom zmluvných záruk), že príjemca môže údaje spracúvať alebo používať len na účely, na ktoré boli prenesené, a musí údaje vymazať hneď po dosiahnutí účelu (195).

(72)

Podľa pravidiel ochrany údajov je v prípade neexistencie rozhodnutia o primeranosti alebo primeraných záruk prenos osobných údajov mimo EPO prípustný „len výnimočne“, ak sa uplatňuje tzv. výnimka za podobných podmienok, aké sa uvádzajú v príslušných ustanoveniach práva Únie v oblasti ochrany údajov (196). Je to v prípade, keď a) dotknutá osoba výslovne súhlasila s prenosom (197); b) a c) prenos je príležitostný a nevyhnutný na plnenie zmluvy s dotknutou osobou alebo v jej záujme (alebo na vykonanie opatrení pred uzavretím zmluvy na žiadosť dotknutej osoby) (198); d) prenos je nevyhnutný na splnenie úlohy pri výkone úradných činností EPO alebo pri oprávnenom výkone verejnej moci zverenej prevádzkovateľovi (199); e) prenos je príležitostný a nevyhnutný na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov (200); f) prenos je nevyhnutný na ochranu životne dôležitých záujmov jednotlivca, ak je dotknutá osoba fyzicky alebo právne nespôsobilá vyjadriť súhlas (201); alebo g) prenos sa robí z registra, ktorý je určený na poskytovanie informácií verejnosti a ktorý je otvorený na nahliadnutie verejnosti alebo každej osobe, ktorá môže preukázať oprávnený záujem, a to do tej miery, že sa v konkrétnom prípade splnia stanovené podmienky (202). Z povahy veci a podľa usmernenia zodpovednej osoby sa na tieto výnimky nemožno odvolávať v prípade systematických, pravidelných prevodov (203).

(73)

A napokon, pokiaľ ide o prenos osobitných kategórií údajov do krajín alebo organizáciám, na ktoré sa nevzťahuje rozhodnutie o primeranosti, predseda môže takýto prenos ďalej obmedziť z dôležitých dôvodov súvisiacich s oprávneným výkonom verejnej moci zverenej úradu (204). Predseda zatiaľ tieto právomoci nevyužil.

(74)

Podľa zásady zodpovednosti sa od subjektov, ktoré spracúvajú údaje, vyžaduje, aby zaviedli vhodné technické a organizačné opatrenia v záujme účinného dodržiavania svojich povinností v oblasti ochrany údajov a aby vedeli takéto dodržiavanie preukázať, najmä príslušnému dozornému orgánu.

(75)

V článku 4 ods. 1 pravidiel ochrany údajov sa stanovuje všeobecná zásada zodpovednosti, z ktorej jasne vyplýva, že prevádzkovateľ je zodpovedný za dodržiavanie pravidiel ochrany údajov a musí ho byť schopný preukázať. Prevádzkovateľ musí najmä zaviesť vhodné technické a organizačné opatrenia, aby zabezpečil a bol schopný preukázať ich dodržiavanie, pričom zohľadní povahu, rozsah, kontext a účely spracúvania, ako aj rôznu pravdepodobnosť a závažnosť akýchkoľvek rizík pre práva jednotlivcov (205). V tomto ohľade sa v pravidlách ochrany údajov uplatňujú aj zásady špecificky navrhnutej a štandardnej ochrany súkromia, a to tak, že sa od prevádzkovateľa vyžaduje, aby zaviedol opatrenia určené na uplatnenie zásad ochrany údajov a zabezpečenie súladu s pravidlami ochrany údajov a aby zabezpečil, že sa štandardne spracúvajú len osobné údaje, ktoré sú nevyhnutné na každý konkrétny účel spracúvania (206).

(76)

Prevádzkovateľ a sprostredkovatelia musia viesť záznamy o spracovateľských činnostiach, ktoré okrem iného obsahujú informácie o účele spracúvania, kategóriách spracúvaných údajov, kategóriách príjemcov, ktorým sa údaje poskytujú, a o každom prenose osobných údajov (207). Tieto záznamy sú v zásade verejne prístupné (pokiaľ neobsahujú dôverné informácie) a sú zahrnuté vo verejne dostupnom registri ochrany údajov a musia byť na požiadanie sprístupnené výboru pre ochranu údajov (208). Každý prevádzkový útvar musí takisto vymenovať aspoň jedného styčného úradníka pre ochranu údajov (na obdobie jedného až troch rokov s možnosťou predĺženia), ktorý musí absolvovať povinnú odbornú prípravu v oblasti ochrany údajov a pomáhať prevádzkovateľovi pri plnení jeho povinností (209).

(77)

A nakoniec sa v pravidlách ochrany údajov uvádzajú rôzne nástroje, ktoré môžu pomôcť prevádzkovateľom a sprostredkovateľom v ich úsilí o dodržiavanie povinností. Napríklad podľa pravidiel ochrany údajov môže dodržiavanie schválených certifikačných mechanizmov slúžiť ako dôkaz o dodržiavaní povinností vyplývajúcich z týchto pravidiel (210). Okrem toho sa v pravidlách ochrany údajov za určitých podmienok vyžaduje vykonanie posúdenia vplyvu na ochranu údajov alebo predchádzajúca konzultácia so zodpovednou osobou a s výborom pre ochranu údajov. Posúdenie vplyvu na ochranu údajov sa vyžaduje, keď je pravdepodobné, že určitý druh spracúvania bude predstavovať vysoké riziko pre práva a slobody jednotlivca (211). Vyžaduje sa napríklad v prípade systematického a rozsiahleho vyhodnocovania osobných aspektov, na ktorých sa zakladá automatizované rozhodovanie, alebo v prípade spracúvania osobitných kategórií údajov vo veľkom rozsahu (212). Ak z posúdenia vplyvu vyplýva, že spracúvanie by predstavovalo vysoké riziko pre práva a slobody jednotlivcov a riziko nemožno zmierniť primeranými bezpečnostnými opatreniami, prevádzkovateľ sa musí obrátiť na výbor pre ochranu údajov (213). Výbor pre ochranu údajov musí v prípade, že sa domnieva, že zamýšľané spracúvanie by bolo v rozpore s pravidlami ochrany údajov, poskytnúť písomné poradenstvo (214). Vo všeobecnosti je prevádzkovateľ povinný viesť pri príprave pravidiel alebo prevádzkových dokumentov týkajúcich sa uplatňovania obmedzení individuálnych práv konzultácie so zodpovednou osobou (215).

(78)

S cieľom zaistiť, aby bola primeraná úroveň ochrany údajov zabezpečená v praxi, by mal byť zriadený nezávislý dozorný orgán, ktorý bude mať právomoc monitorovať a presadzovať dodržiavanie pravidiel ochrany údajov. Tento orgán by mal pri plnení svojich úloh a výkone svojich právomocí konať úplne nezávisle a nestranne.

(79)

V právnom rámci EPO sa dohľadom nad dodržiavaním pravidiel ochrany údajov zo strany EPO poverujú dva orgány: zodpovedná osoba a výbor pre ochranu údajov. Oba orgány sú zriadené na základe článku 32A služobných predpisov, pričom ich postavenie a právomoci sú ďalej špecifikované v pravidlách ochrany údajov (216). Ich úlohy sa navzájom dopĺňajú a zahŕňajú spoluprácu, pričom každý orgán zostáva vo svojich príslušných funkciách nezávislý.

(80)

Podľa služobných predpisov koná zodpovedná osoba a výbor pre ochranu údajov pri plnení svojich úloh a výkone svojich právomocí úplne nezávisle od akýchkoľvek vnútorných alebo vonkajších zásahov (217). Túto zásadu dopĺňajú rôzne ďalšie záruky, ktorými sa zaručuje ich nezávislosť.

(81)

Zodpovednú osobu (a jej zástupcov) vymenúva predseda na základe jej odbornej kvalifikácie a najmä jej odborných znalostí práva a postupov v oblasti ochrany údajov (218). Zodpovedná osoba sa vymenúva na obdobie troch až piatich rokov s možnosťou predĺženia. Pred každým navrhovaným odvolaním alebo prepustením zodpovednej osoby z funkcie sa uskutočnia konzultácie s výborom pre ochranu údajov (219). Cieľom takýchto predchádzajúcich konzultácií pred odvolaním alebo prepustením zodpovednej osoby je zabezpečiť dodatočnú kontrolu a preskúmanie v prípade navrhovaného odvolania alebo prepustenia. Takéto odvolanie alebo prepustenie možno navrhnúť z jedného z týchto dôvodov (220): ak už zodpovedná osoba nespĺňa podmienky potrebné na plnenie povinností (221); pre odbornú nespôsobilosť (222); alebo v dôsledku disciplinárnych opatrení (223). V pravidlách ochrany údajov sa takisto uvádza, že zodpovedná osoba nemôže byť prepustená ani sankcionovaná za plnenie svojich úloh a nemôže dostávať žiadne pokyny (224). Zodpovedná osoba sa musí podieľať na všetkých otázkach týkajúcich sa ochrany osobných údajov a vydáva výročné správy o činnosti určené predsedovi a správnej rade (225). Úrad musí zodpovednej osobe poskytnúť zdroje potrebné na vykonávanie jej úloh (226).

(82)

Výbor pre ochranu údajov sa skladá z troch externých odborníkov v oblasti ochrany údajov, a to z predsedu a dvoch ďalších členov (227), ako aj z náhradníka, ktorého vymenúva predseda EPO na obdobie troch rokov s možnosťou predĺženia (228). Členovia výboru pre ochranu údajov musia mať kvalifikáciu požadovanú na vymenovanie do funkcie sudcu alebo musia byť odborníkmi v oblasti ochrany údajov s preukázanými odbornými znalosťami a skúsenosťami v oblasti práva ochrany údajov získanými na vnútroštátnej alebo medzinárodnej úrovni. Nesmú byť zamestnancami EPO ani v nej nesmeli byť v posledných desiatich rokoch zamestnaní (229). V súlade s článkom 48 ods. 6 pravidiel ochrany údajov sú členovia výboru pre ochranu údajov pri výkone svojej funkcie úplne nezávislí. Konkrétne nemôžu členovia výboru pre ochranu údajov žiadať úrad alebo správnu radu o pokyny a nemôžu byť takýmito pokynmi viazaní. V rokovacom poriadku výboru pre ochranu údajov sa takisto stanovuje, že pri plnení svojich úloh musí výbor konať nestranne a úplne nezávisle (230). EPO navyše môže ukončiť členstvo vo výbore pre ochranu údajov len z vážneho dôvodu (231). Členovia výboru pre ochranu údajov sú viazaní povinnosťou zachovávať mlčanlivosť (232) a musia sa zdržať konania v prípade, v ktorom sú v konflikte záujmov, najmä v prípade osobných záujmov (233). EPO je povinná podporovať výbor pre ochranu údajov pri vykonávaní jeho úloh tým, že mu poskytne potrebné zdroje, ako aj právnu a administratívnu podporu (prostredníctvom sekretariátu a poskytnutím prístupu k osobným údajom a spracovateľským operáciám) (234).

(83)

Medzi úlohy zodpovednej osoby patrí: informovanie prevádzkovateľa alebo sprostredkovateľov o ich povinnostiach a poskytovanie príslušného poradenstva; zvyšovanie informovanosti zamestnancov zapojených do spracovateľských operácií a poskytovanie odbornej prípravy týmto zamestnancom; zabezpečenie toho, aby dotknuté osoby boli informované o svojich právach podľa pravidiel ochrany údajov; a nezávislé monitorovanie vnútorného uplatňovania a dodržiavania pravidiel ochrany údajov, ako aj iných právnych ustanovení EPO, ktoré majú vplyv na ochranu údajov (235). Dotknuté osoby sa môžu obrátiť na zodpovednú osobu v akejkoľvek otázke týkajúcej sa spracúvania ich údajov alebo výkonu ich práv (236) a prevádzkovateľ a sprostredkovatelia môžu so zodpovednou osobou konzultovať akúkoľvek záležitosť týkajúcu sa výkladu a uplatňovania pravidiel ochrany údajov (237).

(84)

V rámci svojej úlohy dohľadu má zodpovedná osoba právomoc vykonávať audity a vyšetrovania v oblasti ochrany údajov (238). Audity iniciuje zodpovedná osoba v súlade s ročným plánom auditu, ktorý sa pripravuje po konzultácii s výborom pre ochranu údajov (239). Audit sa zameriava na posúdenie záznamov, vyhlásení a príslušnej dokumentácie o ochrane údajov, napríklad s cieľom overiť presnosť a úplnosť príslušnej dokumentácie o ochrane údajov, správne uplatňovanie metodík riadenia rizík, presnosť a včasnosť odpovedí dotknutým osobám alebo správne vykonanie a počet posúdení vplyvu na ochranu údajov (240). Podľa informácií, ktoré Komisii poskytla zodpovedná osoba, sa v roku 2023 vykonali tri audity a v roku 2024 štyri. Vyšetrovanie môže zodpovedná osoba začať z vlastnej iniciatívy, na základe žiadosti prijatej od výboru pre ochranu údajov alebo orgánu v rámci EPO (napríklad predsedu alebo delegovaného prevádzkovateľa) alebo na základe informácií získaných iným spôsobom (napríklad aj od tretích strán a jednotlivcov) (241). Vyšetrovania na žiadosť vyboru pre ochranu údajov vykonáva zodpovedná osoba nezávislým spôsobom. Výbor pre ochranu údajov môže predložiť pripomienky a/alebo požiadať o doplňujúce vyšetrovanie v súvislosti s akoukoľvek otázkou, ktorá sa môže objaviť (242). Kontroly sa zameriavajú na spracovateľské operácie alebo ich konkrétne aspekty alebo udalosti s nimi súvisiace, a to s cieľom zabezpečiť, aby príslušné spracúvanie spĺňalo požiadavky pravidiel ochrany údajov, a aby sa zaistila ochrana práv a slobôd dotknutých osôb (243).

(85)

Zodpovedná osoba má prístup ku všetkým relevantným informáciám vrátane spracúvaných osobných údajov, ako aj do všetkých kancelárií, k zariadeniam na spracúvanie údajov a nosičom údajov (244). Všetci zamestnanci a prevádzkové útvary EPO sú povinní pomáhať zodpovednej osobe pri plnení jej povinností, a to aj poskytovaním prístupu do priestorov a k príslušným informáciám (245).

(86)

Po ukončení auditu alebo vyšetrovania prijme zodpovedná osoba správu, v ktorej uvedie svoje zistenia, závery a odporúčané nápravné opatrenia (246). Takéto opatrenia môžu napríklad zahŕňať preventívne alebo zmierňujúce opatrenia na zlepšenie súladu, ako aj opatrenia na nápravu nesúladu (napríklad na zosúladenie spracúvania s pravidlami ochrany údajov, na vybavenie žiadostí dotknutých osôb o výkon ich práv, na pozastavenie alebo ukončenie spracúvania atď.) (247). Zodpovedná osoba môže takisto upozorniť príslušný menovací orgán na nedodržiavanie pravidiel ochrany údajov zo strany zamestnancov a odporučiť začatie správneho vyšetrovania s cieľom určiť, či je potrebné prijať disciplinárne alebo iné opatrenia (248). Každý zamestnanec, ktorý nedodržiava pravidlá ochrany údajov, či už úmyselne alebo z nedbanlivosti, môže byť potrestaný disciplinárnymi sankciami alebo inými opatreniami podľa služobných predpisov (249).

(87)

Výsledky auditov a vyšetrovaní sa musia oznámiť výboru pre ochranu údajov (250). Správa z auditu alebo vyšetrovania sa musí na požiadanie poskytnúť výboru pre ochranu údajov. Výbor pre ochranu údajov sa môže vyjadriť k správe zodpovednej osoby vrátane zistení zodpovednej osoby týkajúcich sa toho, či došlo alebo nedošlo k porušeniu pravidiel ochrany údajov, k navrhovaným nápravným opatreniam a môže požiadať o ďalšie vyšetrovacie opatrenia (251). Ak sa pri audite alebo kontrole zo strany zodpovednej osoby dospelo k záveru, že došlo k nesúladu (t. j. k porušeniu pravidiel ochrany údajov), musí sa správa zodpovednej osoby predložiť výboru pre ochranu údajov na potvrdenie záverov a odporúčaných nápravných opatrení. V prípade nesúhlasu výboru pre ochranu údajov so závermi alebo odporúčanými nápravnými opatreniami zodpovednej osoby sa výbor pre ochranu údajov podelí o svoje pripomienky vrátane zmeny navrhovaných záverov a odporúčaných nápravných opatrení so zodpovednou osobou, ktorá by ich mal zodpovedajúcim spôsobom vykonať. Nápravné opatrenia, ktoré potvrdil výbore pre ochranu údajov, sú záväzné pre prevádzkovateľa a delegovaných prevádzkovateľov a jednotlivci sa ich môžu dovolávať v rámci mechanizmov nápravy opísaných v odôvodnení 95 (252). Zodpovedná osoba musí overiť vykonanie nápravných opatrení (v zásade po šiestich mesiacoch od ich oznámenia) a každoročne podať predsedovi správu o stave vykonávania (253).

(88)

Okrem úlohy presadzovať dodržiavanie pravidiel ochrany údajov patrí medzi ďalšie úlohy výboru pre ochranu údajov aj poskytovanie poradenstva predsedovi pri prijímaní rozhodnutí o primeranosti, poskytovanie poradenstva prevádzkovateľovi o potrebe vykonať posúdenie vplyvu na ochranu údajov a skúmanie sťažností jednotlivcov (pozri odôvodnenia 92 až 96) (254).

(89)

V záujme zabezpečenia primeranej ochrany a najmä uplatňovania individuálnych práv by dotknutá osoba mala mať k dispozícii účinné prostriedky nápravy vrátane náhrady škôd.

(90)

Právny rámec EPO ponúka jednotlivcom nápravu kombinovaním rôznych spôsobov.

(91)

Po prvé, dotknuté osoby, ktoré sa domnievajú, že spracúvanie ich osobných údajov zo strany EPO porušuje ich práva (t. j. porušuje pravidlá ochrany údajov), môžu podať delegovanému prevádzkovateľovi žiadosť o preskúmanie v súlade s článkom 49 pravidiel ochrany údajov. Delegovaný prevádzkovateľ sťažnosť preskúma a prijme rozhodnutie (255). Pred prijatím rozhodnutia sa delegovaný prevádzkovateľ musí poradiť so zodpovednou osobou, ktorá poskytne písomné stanovisko najneskôr do pätnástich kalendárnych dní od prijatia žiadosti o preskúmanie (256). Delegovaný prevádzkovateľ musí jednotlivcovi odpovedať do jedného mesiaca odo dňa prijatia žiadosti (257). Rozhodnutie sa musí jednotlivcovi oznámiť spolu s informáciami o možnosti získať ďalšiu nápravu (258). Ak delegovaný prevádzkovateľ do troch mesiacov neprijme žiadne opatrenie, považuje sa to za implicitné zamietnutie žiadosti.

(92)

Po druhé, jednotlivci môžu napadnúť rozhodnutie alebo implicitné zamietnutie žiadosti o preskúmanie delegovaným prevádzkovateľom podaním sťažnosti na výbor pre ochranu údajov (259).

(93)

Pri skúmaní sťažnosti musí výbor pre ochranu údajov vyzvať dotknutú osobu, prevádzkovateľa a prípadne sprostredkovateľa, aby písomne vyjadrili svoje stanovisko k sporným tvrdeniam a skutočnostiam a poskytli dôkazy alebo pripomienky a argumenty k dostupným dôkazom (260). V tejto súvislosti môže výbor pre ochranu údajov požiadať strany o všetky informácie, ktoré potrebuje na vybavenie sťažnosti, a okrem toho môže získať ďalšie informácie prostredníctvom zodpovednej osoby (261). Pri rozhodovaní o potrebných následných opatreniach v súvislosti so sťažnosťou musí výbor pre ochranu údajov okrem iného zohľadniť povahu a závažnosť údajného porušenia, počet dotknutých osôb, kategórie dotknutých údajov a trvanie porušenia (262). Výbor pre ochranu údajov môže vyzvať strany, aby sa snažili o zmierlivé urovnanie sporu, pričom podporuje a aktívne uľahčuje takéto urovnanie (263). Sťažovateľ môže tiež výbor pre ochranu údajov požiadať o použitie skráteného konania z dôvodu závažnosti údajného porušenia alebo z dôvodu závažnosti rizika pre práva jednotlivcov (264).

(94)

Po preskúmaní sťažnosti vydá výbor pre ochranu údajov prevádzkovateľovi odôvodnené stanovisko, ktoré obsahuje opis skutočností, hlavné argumenty strán, úvahy výboru pre ochranu údajov a jeho odporúčania (265). V prípade naliehavého konania musí výbor pre ochranu údajov formálne vydať odôvodnené stanovisko do dvoch mesiacov od podania sťažnosti (266). V odôvodnenom stanovisku môže výbor pre ochranu údajov vydať akékoľvek odporúčania, ktoré považuje za potrebné, vrátane súdnych príkazov (napríklad ukončenie nezákonného spracúvania údajov, vymazanie nezákonne spracúvaných údajov), náhrady majetkovej alebo nemajetkovej ujmy (267). Odôvodnené stanovisko sa musí oznámiť dotknutej osobe a prevádzkovateľovi (t. j. predsedovi úradu, predsedovi sťažnostných senátov, predsedovi správnej rady alebo predsedovi užšieho výboru v závislosti od toho, či sa sťažnosť týka úradu, sťažnostných senátov, rady alebo užšieho výboru). Prevádzkovateľ následne prijme konečné záväzné rozhodnutie na základe odôvodneného stanoviska výboru pre ochranu údajov (268). Konečné rozhodnutie sa oznámi dotknutej osobe, výboru pre ochranu údajov a zodpovednej osobe (269). Ak sa prevádzkovateľ rozhodol, že sa nebude riadiť jedným alebo viacerými aspektmi odôvodneného stanoviska, v rozhodnutí to písomne vysvetlí (270).

(95)

Dotknutá osoba, ktorá nie je spokojná s rozhodnutím prevádzkovateľa, sa proti nemu môže ďalej odvolať a poukázať vo svojom odvolaní na odôvodnené stanovisko výboru pre ochranu údajov. Zamestnanci EPO môžu napadnúť rozhodnutie na správnom súde Medzinárodnej organizácie práce (271). Každá iná dotknutá osoba, ktorá nesúhlasí s rozhodnutím prevádzkovateľa, môže do troch mesiacov od doručenia rozhodnutia podať predsedovi žiadosť o ad hoc rozhodcovské konanie (272). V pravidlách ochrany údajov sa stanovuje osobitný postup, ktorý sa má dodržiavať v prípade ad hoc rozhodcovského konania (273). Najmä do troch mesiacov od doručenia žiadosti dotknutej osoby musí generálny tajomník Stáleho arbitrážneho súdu vymenovať jedného rozhodcu na základe kritérií stanovených v pravidlách ochrany údajov (274). Rozhodca musí mať právnické vzdelanie, musí byť oprávnený vykonávať právnickú prax v jednom zo zmluvných štátov EPO, musí byť schopný preukázať príslušné odborné znalosti v oblasti ochrany údajov a musí poznať právo, ktorým sa riadia medzinárodné organizácie (275). Okrem splnenia týchto kritérií môžu byť vymenované len osoby, ktoré nepracovali pre EPO ani pre dotknutú osobu alebo v ich službách. V pravidlách ochrany údajov sa stanovuje, že rozhodca musí konať nezávisle a nestranne (276), musí s každou stranou zaobchádzať rovnako a poskytnúť jej možnosť predniesť svoje stanovisko v každom štádiu konania (277). Rozhodcovské konanie nie je verejné (278) a riadi sa EPD, pravidlami ochrany údajov vrátane všetkých vykonávacích právnych predpisov, právom medzinárodných organizácií a zásadami medzinárodného práva verejného (279). Zatiaľ čo každá strana musí znášať svoje vlastné náklady a výdavky na právne zastúpenie (pokiaľ rozhodca nerozhodne inak), odmeny a výdavky rozhodcu, náklady na prípadné odborné poradenstvo a svedkov hradí EPO (280). Urovnanie sa musí uzavrieť vo forme písomného rozhodcovského rozsudku s dohodnutým znením, ktoré je právoplatné a záväzné (281).

(96)

Každý jednotlivec, ktorý utrpel škodu v dôsledku porušenia pravidiel ochrany údajov, môže požiadať EPO o náhradu škody prostredníctvom postupov opísaných v odôvodneniach 91 až 95 (282). EPO nebude niesť zodpovednosť, ak preukáže, že nie je zodpovedná za udalosť, ktorá viedla k vzniku škody.

(97)

Právny rámec, na základe ktorého EPO posudzuje žiadosti orgánov verejnej moci – vo svojich zmluvných štátoch a v tretích krajinách – týkajúce sa osobných údajov spracúvaných EPO a reaguje na ne, vychádza z Protokolu o výsadách a imunitách EPO (ďalej len „protokol o výsadách a imunitách“) (283), požiadaviek pravidiel ochrany údajov týkajúcich sa zasielania a prenosu osobných údajov a z medzinárodného práva verejného.

(98)

Po prvé, na spracúvanie osobných údajov zo strany EPO na účely jej úradných činností sa vzťahujú imunity tejto organizácie. Imunity EPO dopĺňa povinnosť spolupráce stanovená v článku 20 protokolu o výsadách a imunitách. V dôsledku toho každú žiadosť orgánu verejnej moci zmluvného štátu o získanie údajov spracúvaných EPO posudzuje predseda v súlade s článkom 20 ods. 1 protokolu o výsadách a imunitách, v ktorom sa stanovuje, že organizácia „vždy spolupracuje s príslušnými orgánmi zmluvných štátov s cieľom uľahčiť riadny výkon spravodlivosti, zabezpečiť dodržiavanie policajných predpisov a predpisov týkajúcich sa verejného zdravia, inšpekcie práce alebo iných podobných vnútroštátnych právnych predpisov a zabrániť akémukoľvek zneužívaniu výsad, imunít a výhod stanovených v tomto protokole“. Organizácia sa môže výnimočne vzdať imunity voči súdnej právomoci a výkonnej moci (284). Pri rozhodovaní o žiadosti o spoluprácu vykonáva predseda diskrečnú právomoc, pričom zvažuje súlad žiadosti s právnym rámcom organizácie (285). Z toho možno vyvodiť záver, že úrad môže odpovedať na žiadosť podľa protokolu o výsadách a imunitách a môže poskytnúť osobné údaje len v súlade s požiadavkami na zasielanie údajov stanovenými v pravidlách ochrany údajov (pozri odôvodnenia 62 až 67). Podľa pravidiel ochrany údajov musí príjemca predložiť dôkaz o tom, že je potrebné, aby sa údaje zaslali na konkrétny účel vyplývajúci z povinností EPO spolupracovať so zmluvným(-i) štátom(-mi) (286). Prevádzkovateľ musí byť pri každom prenose schopný preukázať, že takýto prenos je nevyhnutný a primeraný konkrétnemu účelu, na ktorý sa uskutočňuje (287). Každý prenos údajov sa musí uskutočniť spôsobom, ktorým sa zabezpečí zachovanie úrovne ochrany podľa pravidiel ochrany údajov (288). Podľa usmernenia vydaného zodpovednou osobou to znamená, že musia byť zavedené primerané záruky, a to aj zabezpečením toho, aby údaje, ktoré sa majú poskytovať, boli minimalizované a obmedzené len na to, čo je primerané, relevantné a striktne nevyhnutné na dosiahnutie daného účelu (289). Ak existuje akýkoľvek dôvod predpokladať, že môžu byť dotknuté práva a slobody jednotlivca, prevádzkovateľ musí po zvážení rôznych dotknutých záujmov preukázať, že zaslanie osobných údajov na tento konkrétny účel je primerané (290).

(99)

Po druhé, na EPO sa nevzťahuje žiadny právny nástroj, ktorým by sa osobitne upravovalo vybavovanie žiadostí orgánov verejnej moci tretích krajín (t. j. krajín, ktoré nie sú zmluvnou stranou EPO) o získanie údajov spracúvaných EPO. V dôsledku toho sa akékoľvek poskytnutie informácií v reakcii na takúto žiadosť môže uskutočniť len vtedy, ak sú splnené požiadavky na medzinárodné prenosy údajov podľa pravidiel ochrany údajov (ako sa uvádza v odôvodneniach 68 až 73). Bolo by to tak len v prípade, ak by bolo pre príslušnú krajinu prijaté rozhodnutie o primeranosti, ktoré by sa vzťahovalo na prenos, ak by boli zavedené primerané záruky alebo ak by sa uplatňovala výnimka.

(100)

Dodržiavanie protokolu o výsadách a imunitách zo strany predsedu, a to aj pokiaľ ide o to, ako sa vybavujú žiadosti o spoluprácu od verejných orgánov, podlieha dohľadu správnej rady, zatiaľ čo dodržiavanie požiadaviek na zasielanie a prenos osobných údajov podlieha podľa pravidiel ochrany údajov dohľadu zodpovednej osoby a výboru pre ochranu údajov, ako sa uvádza v odôvodneniach 84 až 88. Jednotlivci môžu využiť opravné prostriedky opísané v odôvodneniach 90 až 96 v súvislosti so zasielaním alebo prenosom ich osobných údajov, ktoré je v rozpore s pravidlami ochrany údajov.

(101)

Komisia sa domnieva, že EPO zabezpečuje úroveň ochrany osobných údajov prenášaných z Únie, ktorá je v podstate rovnocenná s úrovňou zaručenou nariadením (EÚ) 2016/679.

(102)

Na základe zistení uvedených v tomto rozhodnutí by sa malo rozhodnúť, že EPO zabezpečuje v zmysle článku 45 nariadenia (EÚ) 2016/679, vykladaného so zreteľom na Chartu základných práv Európskej únie, primeranú úroveň ochrany osobných údajov prenášaných z Únie do EPO.

(103)

Členské štáty a ich orgány sú povinné prijať opatrenia potrebné na dosiahnutie súladu s aktmi inštitúcií Únie, keďže tieto akty požívajú prezumpciu zákonnosti a majú z tohto dôvodu právne účinky dovtedy, kým neboli derogované, zrušené v konaní o žalobe o neplatnosť alebo vyhlásené za neplatné v nadväznosti na návrh na začatie prejudiciálneho konania alebo námietku nezákonnosti.

(104)

Rozhodnutie Komisie o primeranosti prijaté podľa článku 45 ods. 3 nariadenia (EÚ) 2016/679 je preto záväzné pre všetky orgány členských štátov, ktorým je určené, vrátane ich nezávislých dozorných orgánov. Konkrétne sa prenosy od prevádzkovateľa alebo sprostredkovateľa v Únii do EPO môžu uskutočňovať bez potreby získania akéhokoľvek ďalšieho povolenia.

(105)

Zároveň treba pripomenúť, že podľa článku 58 ods. 5 nariadenia (EÚ) 2016/679 a objasnenia Súdneho dvora vo veci C-362/14 (291) platí, že ak vnútroštátny orgán pre ochranu osobných údajov spochybňuje, a to aj na základe sťažnosti, zlučiteľnosť rozhodnutia Komisie o primeranosti so základnými právami jednotlivca na súkromie a ochranu údajov, vo vnútroštátnom práve sa mu musí poskytnúť právny prostriedok nápravy umožňujúci uplatniť tieto výhrady na vnútroštátnom súde, ktorý môže mať povinnosť podať návrh na začatie prejudiciálneho konania na Súdnom dvore.

(106)

Podľa judikatúry Súdneho dvora a podľa článku 45 ods. 4 nariadenia (EÚ) 2016/679 by Komisia mala po prijatí rozhodnutia o primeranosti nepretržite monitorovať príslušný vývoj v tretej krajine ale medzinárodnej organizácii s cieľom posúdiť, či aj naďalej zabezpečuje v zásade zodpovedajúcu úroveň ochrany. Takéto overenie je v každom prípade potrebné, keď Komisia dostane informácie, na základe ktorých vzniknú dôvodné pochybnosti v tomto ohľade.

(107)

Komisia by preto mala neustále monitorovať situáciu, pokiaľ ide o právny rámec a skutočnú prax spracúvania osobných údajov zo strany EPO, ktoré sa posudzujú v tomto rozhodnutí. V záujme uľahčenia tohto procesu sa EPO vyzýva, aby Komisiu bezodkladne informovala o podstatnom vývoji relevantnom pre toto rozhodnutie, pokiaľ ide o spracúvanie osobných údajov a obmedzenia a záruky uplatniteľné na prístup k osobným údajom zo strany orgánov verejnej moci.

(108)

Navyše, aby Komisia mohla účinne vykonávať svoju monitorovaciu funkciu, mali by ju členské štáty informovať o všetkých relevantných opatreniach, ktoré prijali vnútroštátne orgány pre ochranu osobných údajov, najmä pokiaľ ide o otázky alebo sťažnosti dotknutých osôb z Únie týkajúce sa prenosu osobných údajov z Únie do EPO.

(109)

Podľa článku 45 ods. 3 nariadenia (EÚ) 2016/679 a vzhľadom na skutočnosť, že úroveň ochrany zabezpečovaná právnym rámcom EPO sa môže zmeniť, by Komisia mala po prijatí tohto rozhodnutia pravidelne skúmať, či sú závery týkajúce sa primeranosti úrovne ochrany, ktorú zabezpečuje EPO, stále skutkovo a právne odôvodnené. Takéto hodnotenia by sa mali uskutočňovať aspoň každé štyri roky a mali by sa týkať všetkých aspektov fungovania tohto rozhodnutia vrátane fungovania príslušných mechanizmov dohľadu a presadzovania.

(110)

Na účely vykonania preskúmania by sa Komisia mala stretnúť s EPO vrátane jej zodpovednej osoby a výboru pre ochranu údajov. Na tomto stretnutí by sa mali môcť zúčastniť zástupcovia členov Európskeho výboru pre ochranu údajov. Komisia by mala v rámci preskúmania požiadať EPO, aby poskytla komplexné informácie o všetkých aspektoch relevantných pre záver o primeranosti. Komisia by si takisto mala vyžiadať vysvetlenia k všetkým informáciám relevantným pre toto rozhodnutie, ktoré dostala, a to aj od EDPB, jednotlivých orgánov pre ochranu osobných údajov, skupín občianskej spoločnosti, z verejne dostupných a mediálnych správ alebo akéhokoľvek iného dostupného zdroja informácií.

(111)

Komisia by na základe preskúmania mala vypracovať verejnú správu, ktorá sa má predložiť Európskemu parlamentu a Rade.

(112)

Ak dostupné informácie, najmä informácie vyplývajúce z monitorovania, ktoré vykonáva Komisia a ktoré sa týka vývoja, ktorý by mohol ovplyvniť fungovanie tohto rozhodnutia podľa článku 45 ods. 4 nariadenia (EÚ) 2016/679, alebo informácie poskytnuté EPO alebo orgánmi členských štátov, odhalia, že úroveň ochrany poskytovaná EPO už nemusí byť primeraná, Komisia by o tom mala informovať EPO a požiadať ju o prijatie vhodných opatrení v stanovenej primeranej lehote.

(113)

Ak po uplynutí uvedenej stanovenej lehoty EPO neprijme takéto opatrenie alebo inak uspokojivo nepreukáže, že toto rozhodnutie sa naďalej zakladá na primeranej úrovni ochrany, Komisia začne postup uvedený v článku 93 ods. 2 nariadenia (EÚ) 2016/679 s cieľom čiastočne alebo úplne pozastaviť platnosť tohto rozhodnutia alebo ho zrušiť.

(114)

Alternatívne Komisia začne postup s cieľom zmeniť toto rozhodnutie, najmä podriadením prenosu údajov dodatočným podmienkam alebo obmedzením rozsahu konštatovanej primeranosti len na tie prenosy údajov, pri ktorých je naďalej zabezpečená primeraná úroveň ochrany.

(115)

Komisia by mala zvážiť začatie postupu vedúceho k zmene, pozastaveniu platnosti alebo zrušeniu tohto rozhodnutia aj v prípade, že EPO v rámci preskúmania alebo inak neposkytne informácie alebo objasnenia potrebné na posúdenie úrovne ochrany zabezpečovanej pre osobné údaje prenášané z Únie alebo na dodržiavanie tohto rozhodnutia. Komisia by mala v uvedenej súvislosti zohľadniť, do akej miery možno príslušné informácie získať z iných zdrojov.

(116)

Komisia využije z riadne odôvodnených vážnych a naliehavých dôvodov možnosť prijať v súlade s postupom uvedeným v článku 93 ods. 3 nariadenia (EÚ) 2016/679 okamžite uplatniteľné vykonávacie akty, ktorými sa pozastaví platnosť tohto rozhodnutia, zruší sa alebo sa zmení toto rozhodnutie.

(117)

Európsky výbor pre ochranu údajov uverejnil svoje stanovisko (292), ktoré bolo zohľadnené pri príprave tohto rozhodnutia.

(118)

Opatrenia stanovené v tomto rozhodnutí sú v súlade so stanoviskom výboru zriadeného podľa článku 93 ods. 1 nariadenia (EÚ) 2016/679,