CELEX:32025D1382: Decizia de punere în aplicare (UE) 2025/1382 a Comisiei din 15 iulie 2025 în temeiul Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului privind protecția adecvată a datelor cu caracter personal de către Organizația Europeană de Brevete [notificată cu numărul C(2025) 4626]

(1)

Regulamentul (UE) 2016/679 stabilește normele pentru transferul de date cu caracter personal de la operatori sau persoane împuternicite de operatori din Uniune către țări terțe și organizații internaționale, în măsura în care astfel de transferuri intră în domeniul său de aplicare. Normele privind transferurile internaționale de date sunt prevăzute în capitolul V (articolele 44-50) din regulamentul respectiv. Deși fluxul de date cu caracter personal către și dinspre țări și organizații internaționale situate în afara Uniunii este esențial pentru dezvoltarea comerțului transfrontalier și a cooperării internaționale, nivelul de protecție conferit datelor cu caracter personal în Uniune nu trebuie să fie diminuat de transferurile către țări terțe sau organizații internaționale (2).

(2)

În temeiul articolului 45 alineatul (3) din Regulamentul (UE) 2016/679, Comisia poate decide, printr-un act de punere în aplicare, că o țară terță, un teritoriu sau unul sau mai multe sectoare specificate dintr-o țară terță sau o organizație internațională asigură un nivel de protecție adecvat. În astfel de condiții, transferurile de date cu caracter personal către o organizație internațională se pot realiza fără a fi necesar să se obțină autorizări suplimentare, astfel cum se prevede la articolul 45 alineatul (1) și în considerentul 103 din Regulamentul (UE) 2016/679.

(3)

În conformitate cu articolul 45 alineatul (2) din Regulamentul (UE) 2016/679, adoptarea unei decizii privind caracterul adecvat al nivelului de protecție trebuie să se bazeze pe o analiză cuprinzătoare a regimului juridic al organizației internaționale, în ceea ce privește atât normele aplicabile importatorilor de date, cât și limitările și garanțiile referitoare la accesul autorităților publice la datele cu caracter personal. În evaluarea sa, Comisia trebuie să stabilească dacă organizația internațională în cauză garantează un nivel de protecție „în esență echivalent” cu cel asigurat în cadrul Uniunii (3). Standardul în raport cu care este evaluată „echivalența în esență” este cel stabilit de legislația Uniunii, în special de Regulamentul (UE) 2016/679, precum și de jurisprudența Curții de Justiție a Uniunii Europene (4). „Criteriile de referință privind caracterul adecvat al nivelului de protecție” ale Comitetului european pentru protecția datelor (CEPD) sunt, de asemenea, importante în acest sens pentru a oferi clarificări suplimentare cu privire la standardul respectiv, precum și orientări în această privință (5).

(4)

Astfel cum a clarificat Curtea de Justiție, nu se poate impune ca o țară terță sau o organizație individuală să asigure un nivel de protecție identic cu cel garantat în ordinea juridică a Uniunii (6). În special, mijloacele la care țara terță sau organizația internațională în cauză recurge pentru protecția datelor cu caracter personal pot fi diferite de cele puse în aplicare în Uniune, cu condiția ca acestea să se dovedească în practică efective în scopul de a asigura un nivel de protecție adecvat (7). Prin urmare, standardul caracterului adecvat nu necesită o reproducere punct cu punct a normelor Uniunii. Mai curând, testul constă în a se stabili dacă, prin fondul drepturilor la viață privată și al garanțiilor în materie de protecție a datelor (inclusiv în ceea ce privește punerea lor efectivă în aplicare, supravegherea și asigurarea respectării acestora), precum și prin circumstanțele referitoare la transferul datelor cu caracter personal, sistemul străin în cauză, în ansamblul său, oferă nivelul de protecție necesar (8).

(5)

Comisia a analizat cadrul juridic și practica Organizației Europene de Brevete. Pe baza constatărilor prezentate în considerentele 7-100, Comisia concluzionează că Organizația Europeană de Brevete asigură un nivel de protecție adecvat pentru datele cu caracter personal care intră în domeniul de aplicare al Regulamentului (UE) 2016/679, transferate din Uniune către Organizația Europeană de Brevete.

(6)

În temeiul prezentei decizii, transferurile de la operatorii și persoanele împuternicite de operatori din Uniune către Organizația Europeană de Brevete pot avea loc fără a fi necesară obținerea unei autorizări suplimentare. Prezenta decizie nu ar trebui să aducă atingere aplicării directe a Regulamentului (UE) 2016/679 pentru astfel de entități în cazul în care sunt îndeplinite condițiile privind domeniul de aplicare teritorial prevăzut la articolul 3 din regulamentul respectiv.

(7)

Organizația Europeană de Brevete este o organizație interguvernamentală, înființată la 7 octombrie 1977 pe baza Convenției brevetului european (CBE). Organizația își are sediul la München și are 39 de state contractante, cuprinzând toate statele membre ale Uniunii, Islanda, Norvegia și Liechtenstein, precum și Albania, Macedonia de Nord, Monaco, San Marino, Serbia, Elveția, Muntenegru, Regatul Unit și Turcia (9).

(8)

Organizația are personalitate juridică (10) și este formată din două organe (11): Oficiul European de Brevete (Oficiul) și Consiliul de administrație. Principala sarcină a Organizației Europene de Brevete este acordarea brevetelor europene (12) în conformitate cu CBE, care este efectuată de Oficiu sub supravegherea Consiliului de administrație. Consiliul de administrație este format din reprezentanți ai statelor contractante și exercită competențe legislative în numele Organizației Europene de Brevete. Acesta este, de asemenea, responsabil pentru aspectele legate de politici și supraveghează activitățile Oficiului (13). Oficiul, care acționează în calitate de organ executiv al Organizației Europene de Brevete, este condus de un președinte (14), care administrează Oficiul (președintele) și răspunde în fața Consiliului de administrație (15). Printre altele, președintele pregătește și execută bugetul Oficiului, numește și supraveghează personalul Oficiului, își exercită autoritatea disciplinară asupra personalului, asigură funcționarea Oficiului, inclusiv adoptarea de instrucțiuni administrative interne și informarea publicului, și poate prezenta Consiliului de administrație orice propunere de modificare a convenției, a regulamentelor generale sau a deciziilor care intră în sfera sa de competență (16). Oficiul este format din diverse departamente, care includ o secție de primire, o divizie juridică, diviziile de examinare și de opoziție, precum și camerele de recurs (un organism intern independent în fața căruia pot fi atacate deciziile luate de Organizația Europeană de Brevete în contextul procedurii de acordare a brevetelor) (17).

(9)

În îndeplinirea sarcinilor sale, Organizația Europeană de Brevete primește date cu caracter personal de la o serie de actori diferiți din Uniune. Cererile de brevet european (18) sunt depuse, în mod continuu, la Organizația Europeană de Brevete de către solicitanții de brevete sau sunt transmise acesteia de către oficiile naționale de brevete din statele membre (19). De asemenea, Organizația Europeană de Brevete primește și prelucrează date cu caracter personal în contextul sarcinilor care îi sunt încredințate în temeiul Regulamentului (UE) nr. 1257/2012 al Parlamentului European și al Consiliului (20). Printre aceste sarcini se numără primirea și examinarea cererilor de efect unitar al brevetelor europene, colectarea taxelor anuale și înregistrarea efectului unitar (21). În acest context, Organizația Europeană de Brevete primește, de asemenea, cereri cu privire la recursurile în curs înaintea camerelor de recurs ale Oficiului (22), adresate de Curtea unică în materie de brevete, care pot include date cu caracter personal necesare pentru identificarea cazului relevant (23).

(10)

În mod similar, Organizația Europeană de Brevete primește date cu caracter personal conținute în cererile internaționale de brevete atunci când acționează în temeiul Tratatului de cooperare în domeniul brevetelor, un tratat internațional care permite solicitanților să obțină brevete cu efecte pentru toate statele contractante în temeiul Tratatului de cooperare în domeniul brevetelor (24). Organizația Europeană de Brevete acționează în calitate de autoritate internațională de cercetare în temeiul Tratatului de cooperare în domeniul brevetelor și, în această calitate, examinează posibilitatea de brevetare a invențiilor divulgate în cererile internaționale, ceea ce îi ajută pe solicitanți să stabilească dacă să depună sau nu o cerere de examinare pe fond la nivel național/la nivelul Uniunii (25).

(11)

În plus, Organizația Europeană de Brevete cooperează îndeaproape cu oficiile naționale de brevete din toate statele membre în cadrul unei „rețele europene de brevete” și, în acest context, face schimb de date cu caracter personal cu acestea, de exemplu atunci când oferă cursuri de formare și servicii informatice pentru a sprijini și a consolida cooperarea în temeiul CBE. În mod similar, aceasta a încheiat cu statele membre acorduri bilaterale de cooperare care implică schimbul de date cu caracter personal, de exemplu în contextul instituirii de grupuri de lucru, al detașării și al delegării de experți tehnici etc. De asemenea, aceasta cooperează îndeaproape cu Oficiul Uniunii Europene pentru Proprietate Intelectuală (EUIPO), de exemplu prin organizarea de cursuri de formare comune și de evenimente de sensibilizare a opiniei publice, precum și prin detașarea de experți.

(12)

În sfârșit, Organizația Europeană de Brevete are contracte cu mai mulți furnizori de servicii din Uniune care acționează în calitate de persoană împuternicită de operator în sensul articolului 4 punctul 8 din Regulamentul (UE) 2016/679 și transferă date cu caracter personal către Organizația Europeană de Brevete.

(13)

Legislația primară care reglementează activitățile Organizației Europene de Brevete este stabilită printr-un tratat internațional, și anume Convenția brevetului european, și, în cazul în care Organizația Europeană de Brevete acționează în temeiul Tratatului de cooperare în domeniul brevetelor, prin acesta din urmă. La un al doilea nivel al ierarhiei normelor aplicabile Organizației Europene de Brevete sunt actele juridice adoptate de Consiliul de administrație sau, în ceea ce privește Tratatul de cooperare în domeniul brevetelor, de Adunarea în temeiul Tratatului de cooperare în domeniul brevetelor. Legislația secundară aplicabilă Organizației Europene de Brevete include Regulamentul de punere în aplicare a CBE și așa-numitul statut al personalului (care reglementează aspecte legate de personalul Organizației Europene de Brevete, inclusiv drepturile și obligațiile acestuia) (26). Dreptul la protecția datelor cu caracter personal este prevăzut la articolul 1B din Statutul personalului (27), care conține, de asemenea, unele dispoziții esențiale ale cadrului de protecție a datelor al Organizației Europene de Brevete, și anume în ceea ce privește domeniul de aplicare al cadrului de protecție a datelor, protecția categoriilor speciale de date și exercitarea drepturilor de către persoanele fizice. Articolul 2 alineatul (1) și articolul 32A din Statutul personalului instituie mecanisme independente de supraveghere (responsabilul cu protecția datelor și Comitetul pentru protecția datelor) pentru a supraveghea respectarea normelor privind protecția datelor (28).

(14)

Aceleași cerințe de fond care reglementează protecția datelor cu caracter personal se aplică și Consiliului de administrație și Oficiului, precum și tuturor serviciilor acestora. În special, prelucrarea datelor cu caracter personal de către Oficiu este reglementată de normele de punere în aplicare a articolelor 1B și 32A din Statutul personalului pentru angajații permanenți și alți angajați ai Oficiului European de Brevete în ceea ce privește protecția datelor cu caracter personal (Normele privind protecția datelor – DPR), care au fost adoptate de Consiliul de administrație (29). Prelucrarea datelor cu caracter personal de către Consiliul de administrație face obiectul Normelor privind protecția datelor ale Consiliului de administrație, care aplică Normele privind protecția datelor mutatis mutandis (30). În situațiile în care prezenta decizie se referă la Normele privind protecția datelor, trimiterile respective includ cerințele corespunzătoare care se aplică în cazul Consiliului de administrație, secretariatului și comitetelor acestuia. Structura și conținutul Normelor privind protecția datelor sunt strâns aliniate la cadrul Uniunii privind protecția datelor (31). În special, acesta împărtășește multe puncte comune cu Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului (32), care stabilește cerințele de protecție a datelor pentru instituțiile și organele Uniunii și, prin urmare, este bine adaptat la structura și caracteristicile specifice ale organizațiilor internaționale, reflectând totodată îndeaproape Regulamentul (UE) 2016/679.

(15)

În ceea ce privește prelucrarea datelor de către Oficiu, președintele a emis și alte instrumente obligatorii din punct de vedere juridic, cum ar fi circulare, decizii și instrucțiuni administrative interne (33). În special, Normele privind protecția datelor sunt completate de Decizia din 13 decembrie 2021 a președintelui privind prelucrarea datelor cu caracter personal în procedurile de acordare a brevetelor și în procedurile conexe (Decizia privind procedurile de acordare a brevetelor și procedurile conexe) (34), Decizia din 7 decembrie 2022 privind prelucrarea datelor cu caracter personal în cadrul procedurilor referitoare la brevetele europene cu efect unitar (Decizia privind brevetele unitare) (35), Decizia din 17 noiembrie 2022 privind țările și entitățile despre care se consideră că asigură o protecție adecvată a datelor cu caracter personal (36), Decizia din 2 mai 2024 de identificare a unităților operaționale ale Oficiului care acționează în calitate de operatori delegați (37) și Circulara nr. 420 de punere în aplicare a articolului 25 din Normele privind protecția datelor în ceea ce privește restricțiile referitoare la drepturile persoanelor vizate (Circulara nr. 420) (38). În special în ceea ce privește prelucrarea datelor în contextul procedurilor de acordare a brevetelor, este important de remarcat faptul că respectivele cerințe pentru prelucrarea datelor cu caracter personal prevăzute direct în CBE și în Tratatul de cooperare în domeniul brevetelor prevalează asupra Normelor privind protecția datelor. Interacțiunea dintre CBE și Tratatul de cooperare în domeniul brevetelor, pe de o parte, și Normele privind protecția datelor, pe de altă parte, este clarificată în Decizia privind procedurile de acordare a brevetelor și procedurile conexe (39) și în Decizia privind brevetele unitare. Cerințele specifice de protecție a datelor care decurg direct din CBE și Tratatul de cooperare în domeniul brevetelor sunt evaluate în considerentele 55-59. Normele privind protecția datelor și instrumentele sale complementare sunt obligatorii din punct de vedere juridic și executorii și pot fi invocate de persoane fizice înaintea unor mecanisme independente de recurs, astfel cum se descrie în considerentele 89-96.

(16)

Normele prevăzute în instrumentele juridice menționate în considerentul 15 sunt operaționalizate suplimentar în instrumentele emise de responsabilul cu protecția datelor (a se vedea considerentele 83-88) (40), care se aplică Oficiului și Consiliului de administrație, precum și tuturor serviciilor acestora (41).

(17)

În temeiul Normelor privind protecția datelor și al Statutului personalului (42), toți angajații Organizației Europene de Brevete trebuie să respecte Normele privind protecția datelor atunci când prelucrează date cu caracter personal. Domeniul de aplicare material și personal al Normelor privind protecția datelor este stabilit de termenii „date cu caracter personal”, „prelucrare”, „operator”, „operator delegat” și „persoană împuternicită de operator” definiți în acesta.

(18)

Definițiile termenilor „date cu caracter personal” și „prelucrare” din Normele privind protecția datelor sunt identice cu cele din Regulamentul (UE) 2016/679 (43). Normele privind protecția datelor se aplică oricărei prelucrări de date cu caracter personal de către Organizația Europeană de Brevete, indiferent dacă o astfel de prelucrare se referă la datele cu caracter personal ale propriilor angajați sau la datele altor persoane fizice (44). Datele care au fost pseudonimizate (45) sunt, de asemenea, considerate date cu caracter personal, în timp ce datele persoanelor decedate sau ale persoanelor juridice sau informațiile anonime (46) nu sunt tratate ca date cu caracter personal în temeiul Normelor privind protecția datelor (47).

(19)

Normele privind protecția datelor se aplică prelucrării datelor cu caracter personal de către Organizația Europeană de Brevete, efectuate total sau parțial prin mijloace automatizate, precum și prelucrării prin alte mijloace decât cele automatizate a datelor cu caracter personal care fac parte dintr-un sistem de evidență sau care sunt destinate să facă parte dintr-un sistem de evidență (48).

(20)

Normele privind protecția datelor definesc un „operator” ca fiind „o entitate, și anume Oficiul European de Brevete, care, singură sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal” (49). În principiu, președintele acționează în calitate de operator pentru operațiunile de prelucrare a datelor efectuate de Oficiu (50). Același lucru este valabil și pentru Consiliul de administrație (în acest caz, președintele acționând în calitate de operator), pentru camerele de recurs în exercițiul funcției lor judiciare [în acest caz, președintele acestora acționând în calitate de operator (51)] și Comitetul restrâns [în acest caz, președintele acționând în calitate de operator (52)]. Operatorul poate delega această competență unităților operaționale, reprezentate de un director de nivel superior (53). În astfel de cazuri, unitățile operaționale acționează în calitate de „operatori delegați” (54), definind scopul (de exemplu motivul, justificarea și nevoile operaționale), precum și mijloacele unei operațiuni de prelucrare și asigurându-se că toate operațiunile de prelucrare care implică date cu caracter personal respectă dispozițiile Normelor privind protecția datelor (55). În astfel de cazuri, operatorul rămâne responsabil de prelucrarea datelor cu caracter personal. Normele privind protecția datelor prevăd, de asemenea, un scenariu de „exercitare în comun a competenței de operator”, în cadrul căruia un operator stabilește scopul și mijloacele de prelucrare împreună cu unul sau mai mulți operatori din afara Organizației Europene de Brevete (56).

(21)

Termenul „persoană împuternicită de operator” este definit identic în Normele privind protecția datelor și la articolul 4 punctul 8 din Regulamentul (UE) 2016/679, acesta fiind persoana fizică sau juridică, autoritatea publică, agenția sau orice altă entitate care prelucrează date cu caracter personal în numele operatorului (57). Operatorul este autorizat să apeleze doar la persoane împuternicite de operator care oferă garanții suficiente că vor fi puse în aplicare măsuri tehnice și organizatorice adecvate pentru a se asigura că prelucrarea îndeplinește cerințele din Normele privind protecția datelor (58). Relația dintre operator și o persoană împuternicită de operator trebuie să fie reglementată de un contract sau de un act juridic care să fie obligatoriu pentru persoana împuternicită de operator și care, printre altele, să stabilească obiectul, durata, natura și scopul prelucrării (59). Persoana împuternicită de operator este autorizată să prelucreze datele numai pe baza unor instrucțiuni documentate din partea operatorului. Persoana împuternicită de operator are obligația de a oferi asistență operatorului în îndeplinirea obligațiilor care îi revin în temeiul Normelor privind protecția datelor. Se interzice persoanei împuternicite de operator să angajeze subcontractanți fără autorizarea prealabilă a operatorului (60). Un acord standard de prelucrare a datelor este disponibil pentru operatorii delegați (61). În plus, în cazul în care o persoană împuternicită de operator este situată într-o țară terță, orice schimb de date cu caracter personal cu respectiva persoană împuternicită de operator trebuie, de asemenea, să respecte cerințele prevăzute de Normele privind protecția datelor pentru transferurile internaționale, astfel cum sunt descrise în considerentele 68-73 din prezenta decizie (62).

(22)

Datele cu caracter personal ar trebui prelucrate în mod legal și echitabil.

(23)

Aceste principii generale sunt prevăzute la articolul 4 alineatul (2) litera (a) din Normele privind protecția datelor într-un mod care poate fi considerat identic cu articolul 5 alineatul (1) litera (a) din Regulamentul (UE) 2016/679.

(24)

Principiul legalității este dezvoltat suplimentar la articolul 5 din Normele privind protecția datelor, care enumeră temeiurile juridice pe baza cărora pot fi prelucrate datele cu caracter personal. Aceste temeiuri juridice sunt (a) necesitatea de a îndeplini o atribuție în exercitarea activităților oficiale ale Organizației Europene de Brevete (63) sau în exercitarea legitimă a autorității publice cu care este învestit operatorul, care include prelucrarea necesară pentru administrarea și funcționarea Oficiului (64), (b) necesitatea de a respecta o obligație legală care îi revine operatorului (de exemplu publicarea în Registrul european de brevete a informațiilor menționate într-o cerere de brevet) (65), (c) necesitatea de a executa un contract la care persoana vizată este parte sau de a face demersuri la cererea persoanei vizate înainte de încheierea unui contract, (d) consimțământul persoanei vizate sau (e) necesitatea de a proteja interesele vitale ale persoanei vizate sau ale unei alte persoane fizice.

(25)

Consimțământul este definit în Normele privind protecția datelor în același mod precum în Regulamentul (UE) 2016/679, și anume ca fiind „orice manifestare de voință liberă, specifică, informată și lipsită de ambiguitate a persoanei vizate prin care aceasta acceptă, printr-o declarație sau printr-o acțiune fără echivoc, ca datele cu caracter personal care o privesc să fie prelucrate” (66). Operatorului îi revine sarcina de a demonstra că persoana vizată și-a dat consimțământul (67). Atunci când se evaluează dacă respectivul consimțământ este dat în mod liber, ar trebui să se țină seama de aspectul dacă executarea unui contract este condiționată de consimțământul cu privire la prelucrarea unor date care nu sunt necesare pentru executarea acestui contract (68). Consimțământul nu poate fi considerat ca fiind dat în mod liber dacă persoana vizată nu dispune cu adevărat de libertatea de alegere sau nu este în măsură să refuze sau să își retragă consimțământul fără a fi prejudiciată (69). În plus, pentru ca acordarea consimțământului să fie în cunoștință de cauză, Normele privind protecția datelor prevăd ca persoana vizată să fie la curent cel puțin cu identitatea operatorului și cu scopurile prelucrării pentru care sunt destinate datele cu caracter personal (70). În sfârșit, o persoană vizată are dreptul de a-și retrage consimțământul în orice moment (71).

(26)

În cazul în care sunt prelucrate „categorii speciale” de date, ar trebui să existe garanții specifice.

(27)

Normele privind protecția datelor conțin dispoziții specifice în ceea ce privește prelucrarea categoriilor speciale de date cu caracter personal (72), care sunt definite în același mod precum în Regulamentul (UE) 2016/679, și anume ca fiind „date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate, date genetice (73) sau date biometrice (74) pentru identificarea unică a unei persoane fizice și date privind sănătatea (75) sau date privind viața sexuală sau orientarea sexuală ale unei persoane fizice” (76). În temeiul Normelor privind protecția datelor, prelucrarea categoriilor speciale de date este, în principiu, interzisă, cu excepția cazului în care se aplică o excepție specifică (77).

(28)

Excepțiile specifice enumerate la articolul 11 alineatul (2) din Normele privind protecția datelor sunt similare celor de la articolul 9 alineatele (2) și (3) din Regulamentul (UE) 2016/679, cu câteva adaptări la cadrul juridic în care funcționează Organizația Europeană de Brevete. Prelucrarea categoriilor speciale de date cu caracter personal este permisă numai în circumstanțe specifice și limitate (78), și anume în cazul în care (1) persoana vizată și-a dat consimțământul explicit în acest sens, (2) prelucrarea este necesară pentru protejarea intereselor vitale ale unei persoane fizice (atunci când persoana vizată se află în incapacitate fizică sau juridică de a-și da consimțământul), (3) în cazul în care datele cu caracter personal sunt făcute publice în mod manifest de către persoana vizată, (4) prelucrarea este necesară pentru un scop specific legat de exercitarea activităților oficiale ale Organizației Europene de Brevete sau în exercitarea autorității legitime cu care este învestit operatorul (79) sau (5) prelucrarea este necesară pentru constatarea, exercitarea sau apărarea unui drept în instanță.

(29)

Pe lângă categoriile speciale de date cu caracter personal menționate în considerentul 27, Normele privind protecția datelor impun, de asemenea, măsuri de protecție specifice pentru prelucrarea datelor cu caracter personal referitoare la condamnări penale și infracțiuni, și anume permițând o astfel de prelucrare numai după consultarea prealabilă a Comitetului pentru protecția datelor sau în cazul în care prelucrarea este impusă de un instrument obligatoriu din punct de vedere juridic care prevede garanții adecvate pentru drepturile și libertățile persoanelor fizice (80).

(30)

Datele cu caracter personal ar trebui să fie prelucrate într-un scop anume și să fie utilizate ulterior numai în măsura în care acest lucru nu este incompatibil cu scopul prelucrării.

(31)

Acest principiu este garantat la articolul 4 alineatul (2) litera (b) din Normele privind protecția datelor, potrivit căruia datele cu caracter personal trebuie „să fie colectate în scopuri determinate, explicite și legitime și să nu fie prelucrate ulterior într-un mod incompatibil cu aceste scopuri”.

(32)

Similar Regulamentului (UE) 2016/679, Normele privind protecția datelor permit prelucrarea ulterioară (indiferent de compatibilitatea scopului prelucrării ulterioare cu cel inițial) pe baza consimțământului explicit al persoanei vizate sau în temeiul dispozițiilor legale aplicabile ale Organizației Europene de Brevete (81). În acest din urmă caz, Normele privind protecția datelor impun ca prelucrarea să fie o măsură necesară și proporțională pentru a proteja un obiectiv de interes public general (82).

(33)

În cazul în care prelucrarea ulterioară nu se bazează pe aceste două motive, Normele privind protecția datelor prevăd factorii care trebuie luați în considerare atunci când se evaluează compatibilitatea scopului prelucrării ulterioare cu scopul în care au fost colectate inițial datele cu caracter personal (83). Această abordare și factorii enumerați în Normele privind protecția datelor sunt identici cu cei prevăzuți la articolul 6 alineatul (4) din Regulamentul (UE) 2016/679 și la articolul 6 din Regulamentul (UE) 2018/1725 (84).

(34)

Datele cu caracter personal ar trebui să fie exacte și, dacă este necesar, actualizate. De asemenea, acestea ar trebui să fie adecvate, relevante și neexcesive în raport cu scopurile în care sunt prelucrate și, în principiu, păstrate pe o perioadă care nu depășește perioada necesară atingerii scopurilor în care sunt prelucrate datele cu caracter personal.

(35)

Aceste principii sunt prevăzute la articolul 4 alineatul (2) literele (c), (d) și (e) din Normele privind protecția datelor în același mod ca în Regulamentul (UE) 2016/679.

(36)

Datele cu caracter personal ar trebui prelucrate într-un mod care să le asigure securitatea, inclusiv protecția împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale. În acest scop, operatorii economici ar trebui să ia măsurile tehnice sau organizatorice adecvate pentru a proteja datele cu caracter personal împotriva eventualelor amenințări. Aceste măsuri ar trebui să fie evaluate luând în considerare cunoștințele actuale și costurile aferente.

(37)

Securitatea datelor este consacrată în cadrul juridic al Organizației Europene de Brevete prin principiul integrității și confidențialității prevăzut la articolul 4 alineatul (2) litera (f) și la articolul 33 din Normele privind protecția datelor, într-un mod aproape identic cu cel din Regulamentul (UE) 2016/679. În special, Normele privind protecția datelor impun asigurarea unui nivel de securitate corespunzător riscului prin măsuri tehnice și organizatorice adecvate, având în vedere stadiul actual al dezvoltării, costurile implementării și natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și diferitele grade de probabilitate și gravitate a oricăror riscuri pentru drepturile și libertățile persoanelor fizice.

(38)

În plus, Normele privind protecția datelor conțin cerințe specifice privind gestionarea și notificarea unei încălcări a securității datelor (85). În primul rând, operatorul are obligația de a notifica responsabilul cu protecția datelor cu privire la o încălcare a securității datelor fără întârzieri nejustificate (și, dacă este posibil, în termen de cel mult 72 de ore de la data la care a luat cunoștință de aceasta), cu excepția cazului în care este puțin probabil ca încălcarea să genereze un risc pentru drepturile și libertățile persoanelor fizice (86). În mod similar, o persoană împuternicită de operator are obligația de a notifica operatorul cu privire la o încălcare fără întârzieri nejustificate (87). Notificarea trebuie să descrie, în special, natura încălcării, consecințele probabile ale acesteia și măsurile luate sau propuse pentru a remedia încălcarea (88). În cazul în care este probabil ca o încălcare a securității datelor să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice, operatorul trebuie să informeze, de asemenea, persoana vizată fără întârziere cu privire la această încălcare (89). Informarea persoanei vizate trebuie să descrie natura încălcării securității datelor cu caracter personal într-un limbaj clar și simplu (90) și nu este necesară în cazul în care operatorul a luat măsuri ulterioare prin care se asigură că riscul ridicat pentru drepturile și libertățile persoanelor vizate nu se mai materializează (91).

(39)

Persoanele vizate ar trebui să fie informate cu privire la principalele caracteristici ale prelucrării datelor cu caracter personal ale acestora.

(40)

În conformitate cu Normele privind protecția datelor, operatorul este obligat, în momentul obținerii datelor cu caracter personal, să furnizeze persoanelor fizice informații, în special în ceea ce privește identitatea și datele sale de contact (precum și datele de contact ale responsabilului cu protecția datelor), scopul prelucrării și temeiul juridic al acesteia, destinatarii sau categoriile de destinatari, faptul că intenționează să transfere datele în afara Organizației Europene de Brevete, precum și drepturile aplicabile și posibilitatea de a obține reparații (92). Același lucru este valabil și în cazul în care datele cu caracter personal sunt prelucrate în alt scop decât cel pentru care au fost colectate (93). Ambele obligații se aplică numai în măsura în care persoana fizică în cauză nu deține încă informațiile respective (94).

(41)

Aceleași informații trebuie furnizate persoanelor vizate atunci când datele cu caracter personal nu sunt colectate direct de la acestea, împreună cu informații suplimentare privind sursa datelor cu caracter personal și categoriile de date în cauză (95). Aceste informații trebuie furnizate într-un termen rezonabil după obținerea datelor (dar nu mai mare de o lună), ținându-se seama de circumstanțele specifice în care sunt prelucrate datele (96). În cazul în care datele cu caracter personal urmează să fie utilizate pentru comunicarea cu persoana vizată, aceleași informații ar trebui furnizate cel târziu în momentul primei comunicări cu persoana fizică respectivă (97). Informațiile menționate în considerentul 40 trebuie, de asemenea, să fie furnizate înainte de orice prelucrare ulterioară sau, în cazul în care se intenționează divulgarea datelor către un alt destinatar, cel mai târziu la data la care datele cu caracter personal sunt divulgate unei părți terțe (98). Această obligație nu se aplică într-o serie de cazuri, și anume atunci când o persoană vizată deține deja informațiile în cauză, în cazul în care informațiile respective trebuie să rămână confidențiale ca urmare a unei obligații de păstrare a secretului profesional reglementată pe baza CBE și/sau a altor dispoziții legale aplicabile Organizației Europene de Brevete (99), în cazul în care furnizarea informațiilor respective se dovedește imposibilă sau ar implica eforturi disproporționate, în special în cazul prelucrării în scopul arhivării, al cercetării științifice sau istorice sau al statisticilor, în măsura în care aceasta ar face imposibilă sau ar afecta în mod grav realizarea obiectivelor prelucrării sau în cazul în care obținerea sau divulgarea informațiilor respective este prevăzută în mod expres în CBE sau în alte dispoziții legale aplicabile care prevăd măsuri adecvate pentru protejarea intereselor legitime ale persoanei vizate (100).

(42)

Persoanele vizate ar trebui să aibă anumite drepturi care pot fi impuse operatorului sau persoanei împuternicite de operator, în special dreptul de acces la date, dreptul de rectificare, dreptul de a se opune prelucrării și dreptul la ștergerea datelor. În același timp, aceste drepturi pot face obiectul unor restricții, în măsura în care acestea sunt necesare și proporționale pentru a proteja obiectivele importante de interes public general.

(43)

Necesitatea de a facilita exercitarea drepturilor individuale este prevăzută la articolul 1B alineatul (4) din Statutul personalului. Pentru a continua punerea în aplicare a acestei cerințe, Normele privind protecția datelor oferă persoanelor fizice aceleași drepturi precum cele prevăzute în Regulamentul (UE) 2016/679, și anume dreptul de acces (articolul 18 din Normele privind protecția datelor), dreptul la rectificare (articolul 19 din Normele privind protecția datelor), dreptul la ștergerea datelor (articolul 20 din Normele privind protecția datelor), dreptul la restricționarea prelucrării (articolul 21 din Normele privind protecția datelor), dreptul la portabilitatea datelor (articolul 22 din Normele privind protecția datelor), dreptul la opoziție (articolul 23 din Normele privind protecția datelor) și dreptul de a nu face obiectul unui proces decizional automatizat (articolul 24 din Normele privind protecția datelor).

(44)

Normele privind protecția datelor stabilesc, de asemenea, dispoziții generale pentru gestionarea cererilor de exercitare a drepturilor din partea persoanelor fizice, impunând operatorului să comunice cu persoanele vizate utilizând un limbaj clar și simplu, într-o formă concisă, transparentă, inteligibilă și ușor accesibilă (în scris sau prin alte mijloace) (101). Operatorul trebuie să furnizeze persoanelor fizice informații cu privire la măsurile luate ca răspuns la o cerere, fără întârzieri nejustificate și, în orice caz, în termen de o lună de la primirea cererii (termen care poate fi prelungit cu încă două luni, dacă este necesar, având în vedere complexitatea cererilor și numărul acestora) (102). În cazul în care cererile din partea unei persoane vizate sunt în mod vădit nefondate sau excesive, în special din cauza caracterului lor repetitiv, operatorul poate refuza să dea curs cererii (103). În cazul în care operatorul nu dă curs unei cereri, acesta trebuie să informeze persoana fizică în cauză și să furnizeze informații cu privire la posibilitatea de a obține reparații (104).

(45)

În primul rând, în ceea ce privește dreptul de acces, Normele privind protecția datelor oferă persoanelor fizice dreptul de a obține din partea Organizației Europene de Brevete confirmarea sau infirmarea prelucrării datelor cu caracter personal care le privesc și, în caz afirmativ, de a accesa datele cu caracter personal cu ușurință (105) și la intervale rezonabile (106). În plus, persoanele fizice au dreptul de a obține informații, în special cu privire la scopul prelucrării, la categoriile de date vizate, la destinatarii cu care sunt partajate datele și la perioada preconizată pentru care vor fi stocate datele (107).

(46)

În al doilea rând, Normele privind protecția datelor prevede că dreptul la rectificare prevăzut de acestea permite persoanelor fizice să obțină rectificarea datelor inexacte sau completarea datelor incomplete (de exemplu prin furnizarea unei declarații suplimentare) (108). Odată ce are loc rectificarea, operatorul are obligația de a o comunica fiecărui destinatar căruia i-au fost divulgate datele cu caracter personal (109). În temeiul Normelor privind protecția datelor, dreptul la rectificare se aplică datelor obiective și factuale și nu declarațiilor subiective (110), deși, în acest caz, persoanelor fizice li se permite să completeze datele existente cu o a doua opinie sau cu o contraexpertiză sau să prezinte observații (111).

(47)

În al treilea rând, Normele privind protecția datelor oferă, de asemenea, persoanelor fizice dreptul la ștergerea datelor (112), în special în cazul în care (a) datele cu caracter personal nu mai sunt necesare în scopul în care sunt prelucrate, (b) persoana vizată își retrage consimțământul și nu există niciun alt temei juridic pentru prelucrare, (c) persoana vizată se opune prelucrării și nu există motive legitime care să prevaleze în ceea ce privește prelucrarea, (d) datele au fost prelucrate în mod ilegal (e) sau datele trebuie șterse pentru a respecta o obligație legală care se aplică operatorului (113). Operatorul trebuie să comunice orice ștergere fiecărui destinatar cu care au fost partajate datele, cu excepția cazului în care acest lucru se dovedește imposibil sau implică eforturi disproporționate (114). În mod similar, în cazul în care operatorul a făcut publice datele cu caracter personal, acesta trebuie să ia măsuri rezonabile pentru a informa alți operatori care le prelucrează că persoana fizică respectivă a solicitat ștergerea lor (115). Dreptul la ștergerea datelor nu se aplică în următoarele scenarii, în măsura în care prelucrarea datelor este necesară (a) pentru exercitarea dreptului la libertatea de exprimare și de informare, (b) pentru respectarea unei obligații legale a Organizației Europene de Brevete sau a unei obligații care decurge din obligația Organizației Europene de Brevete de a coopera cu statele sale contractante (116) sau pentru exercitarea autorității publice cu care este învestită Organizația Europeană de Brevete (117), (c) din motive de cooperare cu statele contractante în domeniul sănătății publice (118), (d) în scopuri de arhivare, de cercetare științifică sau istorică și în scopuri statistice (în măsura în care ștergerea ar putea face imposibilă sau ar afecta grav realizarea obiectivelor prelucrării) sau (e) pentru constatarea, exercitarea sau apărarea unui drept în instanță (119).

(48)

În al patrulea rând, articolul 21 din Normele privind protecția datelor prevede un drept la restricționarea prelucrării, și anume marcarea datelor cu caracter personal cu scopul de a limita prelucrarea acestora în viitor (inclusiv măsuri de programare pentru a împiedica permanent accesul la astfel de date) (120). Acest drept poate fi invocat în special în cazul în care exactitatea datelor cu caracter personal este contestată de persoana fizică în cauză (pentru o perioadă de timp necesară operatorului pentru a verifica exactitatea datelor) sau în cazul în care prelucrarea este ilegală, dar persoana fizică respectivă se opune ștergerii datelor (121). În cazul în care prelucrarea este restricționată, datele cu caracter personal pot fi prelucrate, cu excepția stocării, numai cu consimțământul explicit al persoanei fizice în cauză, pentru constatarea, exercitarea sau apărarea unui drept în instanță, pentru protecția drepturilor altora sau pentru îndeplinirea unei atribuții în exercitarea activităților oficiale ale Organizației Europene de Brevete (și anume o atribuție care este necesară pentru activitatea administrativă și tehnică pe care Organizația Europeană de Brevete trebuie să o efectueze în conformitate cu CBE) (122).

(49)

În al cincilea rând, dreptul la opoziție este prevăzut la articolul 1B alineatul (4) din Statutul personalului și la articolul 23 din Normele privind protecția datelor. În special, persoanele fizice au dreptul de a se opune în orice moment prelucrării datelor cu caracter personal efectuate pentru îndeplinirea unei atribuții în exercitarea activităților oficiale ale Organizației Europene de Brevete sau în exercitarea legitimă a autorității publice cu care este învestit operatorul (123). Persoanele fizice trebuie să fie informate cu privire la existența unui astfel de drept în mod clar și cel târziu în momentul primei comunicări cu acestea (124). În cazul în care o persoană fizică se opune prelucrării datelor cu caracter personal, Normele privind protecția datelor impun operatorului să înceteze prelucrarea, cu excepția cazului în care operatorul este în măsură să demonstreze motive legitime imperioase pentru prelucrare care prevalează asupra intereselor, drepturilor și libertăților persoanei vizate sau pentru constatarea, exercitarea sau apărarea unui drept în instanță (125).

(50)

În al șaselea rând, Normele privind protecția datelor stabilesc un drept la portabilitatea datelor, oferind persoanelor fizice posibilitatea de a-și primi datele cu caracter personal într-un format structurat, utilizat în mod curent și care poate fi citit automat și de a transmite datele respective unui alt operator (126). Acest drept se aplică în cazul în care prelucrarea este efectuată prin mijloace automatizate și are loc pe baza consimțământului persoanei fizice în cauză sau pentru executarea unui contract cu persoana fizică în cauză sau în interesul acesteia (127).

(51)

În sfârșit, în temeiul Normelor privind protecția datelor, persoanele fizice au dreptul de a nu face obiectul unui proces decizional automatizat, și anume unei decizii bazate exclusiv pe prelucrarea automată, incluzând crearea de profiluri, care produce efecte juridice care privesc persoanele fizice sau le afectează în mod similar într-o măsură semnificativă (128). Normele privind protecția datelor prevăd că procesul decizional automatizat poate avea loc atunci când se bazează pe consimțământul explicit al persoanei vizate sau dacă acesta este necesar pentru încheierea sau executarea unui contract cu persoana vizată, caz în care operatorul trebuie să pună în aplicare garanții adecvate, cum ar fi prin acordarea dreptului persoanelor fizice de a obține intervenție umană, de a-și exprima punctul de vedere și de a contesta decizia (129). Procesul decizional automatizat poate fi, de asemenea, autorizat printr-un act juridic în cazul în care actul respectiv prevede măsuri adecvate pentru protejarea drepturilor persoanelor fizice (130). În cazul în care operatorul derulează un proces decizional automatizat, incluzând crearea de profiluri, acesta trebuie să informeze în mod proactiv persoana fizică în cauză în acest sens, ca parte a obligațiilor sale în materie de transparență, și să furnizeze informații semnificative cu privire la logica utilizată, precum și cu privire la importanța și consecințele preconizate ale unei astfel de prelucrări pentru persoana vizată (131). Aceleași informații trebuie furnizate la cerere (132).

(52)

În mod similar celor prevăzute la articolul 23 din Regulamentul (UE) 2016/679 și la articolul 25 din Regulamentul (UE) 2018/1725, articolul 25 din Normele privind protecția datelor prevede că dispozițiile legale specifice din cadrul juridic al Organizației Europene de Brevete pot restricționa aplicarea drepturilor menționate în considerentele 43-51 (133) (și anume pot limita temporar aplicarea acestora) (134), atunci când o astfel de restricție respectă esența drepturilor (135) și libertăților fundamentale și reprezintă o măsură necesară și proporțională într-o societate democratică pentru a proteja obiective specifice (136). În plus, o restricție trebuie să fie prevăzută prin dispoziții „clare și precise” care sunt destinate să producă efecte juridice față de persoanele vizate și care trebuie adoptate cel puțin la nivelul președintelui (137). Astfel de dispoziții trebuie, în special, să stabilească scopul prelucrării, domeniul de aplicare al restricției, garanțiile pentru prevenirea abuzurilor, precum și perioadele de stocare și garanțiile aplicabile (138).

(53)

În prezent, singurul instrument juridic care prevede restricții privind drepturile individuale este Circulara nr. 420 (un instrument obligatoriu din punct de vedere juridic adoptat de președinte). Aceasta clarifică modul și condițiile în care pot fi aplicate restricțiile de către operator și stabilește, în mod exhaustiv, scenariile specifice în care și obiectivele pentru care pot fi restricționate drepturile (139). În special, aceasta prevede că Organizația Europeană de Brevete poate restricționa drepturile individuale pentru anumite obiective specifice: (a și b) atunci când desfășoară proceduri de investigare sau disciplinare în legătură cu personalul său (140), (c) în contextul soluționării interne a disputelor sau al constatării, exercitării sau apărării unui drept în instanță, inclusiv în contextul arbitrajului, pentru a păstra informațiile și documentele confidențiale obținute de la părți, de la intervenienți sau din alte surse legitime, (d) atunci când prelucrează date privind sănătatea în cadrul procedurilor și dosarelor medicale, însă numai pentru a proteja drepturile persoanelor fizice (141), (e și f) atunci când efectuează audituri și inspecții interne (acestea din urmă sunt efectuate de responsabilul cu protecția datelor), (g) în scopul gestionării incidentelor informatice și al rapoartelor privind incidentele de securitate fizică și (h) atunci când acordă asistență autorităților publice competente sau beneficiază de asistență din partea acestora, inclusiv din partea statelor contractante ale Organizației Europene de Brevete și a organizațiilor internaționale, sau atunci când cooperează cu acestea cu privire la activitățile definite în acordurile relevante privind nivelul serviciilor, memorandumurile de înțelegere și acordurile de cooperare, fie la cererea acestora, fie din propria inițiativă a Oficiului (142).

(54)

Operatorul trebuie să stabilească dacă se poate aplica sau nu o restricție într-un caz specific în situații individuale, având în vedere circumstanțele relevante (143). Atunci când decide dacă să aplice sau nu o restricție, operatorul trebuie mai întâi să evalueze necesitatea și proporționalitatea acesteia în cazul specific, cu implicarea responsabilului cu protecția datelor (144). Această evaluare implică o punere în balanță a riscurilor potențiale pentru drepturile și libertățile persoanei vizate cu riscurile și libertățile altor persoane vizate și cu riscurile de obstrucționare a scopului și a rezultatului operațiunii de prelucrare (145). Restricțiile trebuie să fie documentate, inclusiv prin înregistrarea evaluării drepturilor restricționate, precum și a duratei, a motivelor și a temeiurilor acestora (146). În plus, atât timp cât se aplică o restricție, trebuie puse în aplicare măsuri tehnice și organizatorice adecvate (147). Orice restricție poate fi aplicată numai atât timp cât există motive pentru aplicarea restricției respective (148). În cazul restricționării unui drept, operatorul trebuie să informeze persoana fizică în cauză cu privire la principalele motive și la dreptul acesteia de a depune o plângere (149).

(55)

Dispozițiile tratatului constitutiv al Organizației Europene de Brevete (și anume CBE), ale Tratatului de cooperare în domeniul brevetelor și dispozițiile aplicabile în temeiul acestora (toate constituind legislația primară a Organizației Europene de Brevete) conțin anumite cerințe specifice, în contextul procedurii de acordare a brevetelor, care pot avea un impact asupra exercitării anumitor drepturi în temeiul Normelor privind protecția datelor (150). Decizia privind procedurile de acordare a brevetelor și procedurile conexe oferă o imagine de ansamblu a acestor cerințe ale legislației primare, explică modul în care pot fi exercitate drepturile persoanelor vizate în acest context și stabilește în mod clar posibilele excepții (151). Circulara nr. 420 stabilește că dispozițiile care pot limita aplicarea drepturilor în materie de protecție a datelor trebuie să identifice în mod clar domeniul de aplicare al oricărei excepții și, prin urmare, să echilibreze diferitele interese aflate în joc (152).

(56)

În primul rând, în temeiul articolului 127 din CBE, Oficiul este obligat să mențină Registrul european de brevete, în care sunt publicate anumite date cu caracter personal definite de lege. În conformitate cu legislația primară, cererile de brevet trebuie publicate în cursul procedurii de acordare a brevetelor, în general, cât mai curând posibil după expirarea unui termen de optsprezece luni de la data depunerii. CBE prevede că datele cu caracter personal incluse în astfel de cereri de brevet pot fi accesate fie prin consultarea dosarului, fie prin consultarea registrului (153). Înainte de publicare, cererile de brevet nu sunt disponibile pentru consultare fără consimțământul explicit al solicitantului. Tratatul de cooperare în domeniul brevetelor prevede norme similare (154).

(57)

În al doilea rând, posibilitatea de a obține modificări ale informațiilor utilizate în cadrul unei proceduri de acordare a brevetelor este reglementată în mod specific de CBE (155). În special, CBE prevede doar posibilitatea de a obține corectarea erorilor din documentele depuse la Organizația Europeană de Brevete (156), corectarea erorilor din decizii (157), corectarea traducerilor (158) și rectificarea mențiunii cu privire la inventator (159). Prin urmare, rectificarea datelor cu caracter personal incluse în documentele utilizate în procedura de acordare a brevetelor nu poate fi obținută decât în aceste cazuri. Același lucru este valabil și pentru posibilitatea de a obține o restricționare a prelucrării datelor (160).

(58)

În al treilea rând, CBE impune cerințe specifice de păstrare și de publicare pentru anumite documente utilizate în procedura de acordare a brevetelor, care au un impact asupra posibilității de a obține ștergerea informațiilor conținute în acestea, inclusiv a datelor cu caracter personal (161). În special, cererile de brevete publicate și informațiile privind brevetele publicate în Buletinul european de brevete trebuie păstrate și puse la dispoziția publicului (162). În consecință, ștergerea datelor cu caracter personal conținute în aceste documente ar contraveni obligațiilor juridice fundamentale ale Organizației Europene de Brevete [articolul 129 litera (a) din CBE] și nu poate fi obținută. Alte dosare trebuie păstrate de Organizația Europeană de Brevete pentru o perioadă specificată în CBE, care este, în principiu, de cinci ani (163). Atât timp cât se aplică această perioadă, nu se poate obține ștergerea informațiilor conținute în aceste dosare (inclusiv a datelor cu caracter personal).

(59)

Prin urmare, ținând seama în special de domeniul și de condițiile lor limitate de aplicare, restricțiile privind exercitarea drepturilor care decurg din dispozițiile menționate în considerentele 55-58 pot fi considerate ca fiind limitate la ceea ce este necesar și proporțional pentru a asigura funcționarea corectă a procedurii de acordare a brevetelor, astfel cum este necesar în interesul public pentru îndeplinirea atribuțiilor oficiale ale Organizației Europene de Brevete. În măsura în care CBE și Tratatul de cooperare în domeniul brevetelor nu reglementează în mod specific exercitarea drepturilor în materie de protecție a datelor, și anume în toate celelalte scenarii decât cele descrise în considerentele 55-58, cerințele din Normele privind protecția datelor se aplică integral.

(60)

Nivelul de protecție conferit datelor cu caracter personal transferate din Uniune către Organizația Europeană de Brevete nu trebuie să fie diminuat de transferul ulterior al acestor date către destinatari dintr-o țară terță sau o altă organizație internațională.

(61)

Normele privind protecția datelor fac distincție între „transmiterile de date cu caracter personal” (și anume schimbul de date dintre Organizația Europeană de Brevete și statele sale contractante) și „transferurile de date cu caracter personal” (schimbul de date dintre Organizația Europeană de Brevete și orice altă persoană sau entitate din afara Organizației Europene de Brevete) (164).

(62)

În primul rând, Normele privind protecția datelor prevăd că o transmitere de date către un oficiu național pentru proprietate intelectuală al unui stat contractant al Organizației Europene de Brevete poate avea loc în cazul în care datele sunt necesare pentru (a) îndeplinirea competenței destinatarului sau exercitarea autorității publice și (b) transmiterea este necesară pentru exercitarea atribuțiilor/autorității publice a Organizației Europene de Brevete (165). Aceste transmiteri au loc în contextul procedurii de acordare a brevetelor prevăzute de CBE și de Tratatul de cooperare în domeniul brevetelor (166).

(63)

În al doilea rând, Normele privind protecția datelor permit o transmitere de date către o autoritate publică a unui stat contractant al Organizației Europene de Brevete (167), în cazul în care datele sunt necesare pentru îndeplinirea atribuțiilor autorității publice respective, iar transmiterea lor este compatibilă cu atribuțiile și cu funcționarea Organizației Europene de Brevete (168). Astfel de transmiteri de date nu sunt solicitate în mod specific în temeiul CBE sau al altor instrumente juridice care reglementează procedura de acordare a brevetelor, dar pot fi totuși necesare pentru îndeplinirea atribuțiilor Organizației Europene de Brevete, de exemplu cooperarea Organizației Europene de Brevete cu statele sale contractante prin intermediul proceselor de consultare, detașarea și delegarea de experți sau furnizarea de informații cu privire la personalul Organizației Europene de Brevete în scopul stabilirii prestațiilor sociale sau în legătură cu cerințele fiscale etc.

(64)

Responsabilul cu protecția datelor a elaborat clauze standard care să fie incluse în memorandumurile de înțelegere pentru reglementarea unor astfel de transmiteri descrise la considerentele 62 și 63, care, printre altele, prevăd principii de protecție a datelor, limitează prelucrarea ulterioară numai în scopuri compatibile, prevăd drepturi ale persoanelor vizate, precum și obligații în ceea ce privește securitatea datelor și încălcarea securității datelor, precum și supravegherea independentă (169).

(65)

În ambele scenarii descrise în considerentele 62 și 63, destinatarul, în temeiul Normelor privind protecția datelor, trebuie să furnizeze dovezi că este necesar ca datele să fie transmise pentru un scop specific care decurge din obligațiile Organizației Europene de Brevete de cooperare cu statul sau statele contractante (170). Operatorul trebuie să fie în măsură, pentru fiecare transmitere de date, să demonstreze că o astfel de transmitere este necesară și proporțională cu scopul specific pentru care se realizează partajarea (171). Orice transmitere de date trebuie efectuată într-un mod care să asigure menținerea nivelului de protecție oferit de Normele privind protecția datelor (172). Potrivit orientărilor emise de responsabilul cu protecția datelor, aceasta înseamnă că sunt instituite garanții adecvate, inclusiv prin asigurarea faptului că datele care urmează să fie partajate trebuie reduse la minimum și limitate la ceea ce este adecvat, relevant și strict necesar pentru atingerea scopului respectiv (173). În cazul în care există orice motiv să se presupună că interesele legitime ale persoanei în cauză pot fi afectate, operatorul trebuie să stabilească faptul că transmiterea datelor cu caracter personal în acest scop specific este proporțională, după punerea în balanță a diferitelor interese aflate în joc (174).

(66)

În ceea ce privește aceste două scenarii, este important de remarcat, de asemenea, că toate statele contractante ale Organizației Europene de Brevete sunt părți la Convenția europeană pentru apărarea drepturilor omului și a libertăților fundamentale, se supun jurisdicției Curții Europene a Drepturilor Omului și sunt părți la Convenția Consiliului Europei pentru protejarea persoanelor față de prelucrarea automatizată a datelor cu caracter personal (ETS nr. 108).

(67)

În sfârșit, Normele privind protecția datelor permit transmiterea datelor către o persoană împuternicită de operator situată în Spațiul Economic European (SEE), cu condiția să se asigure conformitatea cu cerințele prevăzute în Normele privind protecția datelor pentru angajarea persoanelor împuternicite de operatori (175).

(68)

Schimbul de date cu caracter personal cu orice entitate din afara Organizației Europene de Brevete, alta decât o autoritate publică sau un oficiu național pentru proprietate intelectuală din statele contractante ale Organizației Europene de Brevete sau o persoană împuternicită de operator din SEE, este considerată un „transfer” de date cu caracter personal, sub rezerva cerințelor specifice prevăzute în Normele privind protecția datelor (176). Aceste cerințe se aplică, de exemplu, schimbului de date cu persoanele împuternicite de operatori din afara SEE, cu operatorii situați în statele contractante sau în afara acestora, cu autoritățile publice din statele necontractante și cu alte organizații internaționale. În general, Normele privind protecția datelor prevăd că nivelul de protecție garantat persoanelor fizice de către Organizația Europeană de Brevete nu trebuie să fie diminuat atunci când datele sunt transferate unor părți terțe (177). Potrivit orientărilor responsabilului cu protecția datelor, „protecția acordată datelor cu caracter personal transferate în țara terță sau către organizația internațională în cauză trebuie să fie în esență echivalentă cu cea garantată în Normele privind protecția datelor” (178).

(69)

În temeiul Normelor privind protecția datelor, un transfer de date cu caracter personal în afara Organizației Europene de Brevete poate avea loc în primul rând dacă țara în care se află destinatarul sau organizația internațională asigură un nivel de protecție adecvat și dacă transferul este efectuat exclusiv pentru a permite Organizației Europene de Brevete să îndeplinească atribuții care intră în sfera sa de competență (179). Președintele (180) adoptă o decizie privind caracterul adecvat al nivelului de protecție și, în cazul în care există dubii în această privință, ia decizia după consultarea responsabilului cu protecția datelor și a Comitetului pentru protecția datelor (181). Responsabilul cu protecția datelor a elaborat „criterii de referință privind caracterul adecvat al nivelului de protecție”, prin care se stabilesc criteriile pentru deciziile privind caracterul adecvat al nivelului de protecție (182). În principal, cadrul juridic al țării terțe sau al organizației internaționale trebuie să prevadă, în special, principii-cheie privind protecția datelor, drepturile persoanelor vizate, norme privind transferurile ulterioare, mecanisme procedurale și de asigurare a respectării legii, precum și reparațiile disponibile pentru persoanele fizice. În cazul în care președintele adoptă o decizie privind caracterul adecvat al nivelului de protecție, transferul poate avea loc fără punerea în aplicare a unor garanții suplimentare (183). În prezent, Organizația Europeană de Brevete consideră că statele membre, precum și Norvegia, Islanda și Liechtenstein, toate fiind țări care beneficiază de o decizie privind caracterul adecvat al nivelului de protecție din partea Comisiei (184), și instituțiile și organele Uniunii oferă un nivel de protecție adecvat (185).

(70)

În temeiul Normelor privind protecția datelor, în absența unei decizii privind caracterul adecvat al nivelului de protecție, operatorul sau persoana împuternicită de operator poate transfera date cu caracter personal către destinatari din afara Organizației Europene de Brevete numai dacă operatorul sau persoana împuternicită de operator a oferit garanții adecvate și cu condiția să existe drepturi executorii ale persoanelor vizate și căi de atac eficiente pentru persoanele vizate (186). Astfel de garanții adecvate pot fi incluse în acordurile administrative cu autoritățile publice sau cu organizațiile internaționale, în clauzele contractuale (după consultarea Comitetului pentru protecția datelor) (187) sau în mecanismele de certificare (188). Responsabilul cu protecția datelor a elaborat o prezentare generală a dispozițiilor care trebuie incluse în acordurile administrative (189). De asemenea, este disponibil un model de acord privind protecția datelor pentru transferurile către persoanele împuternicite de operatori (190). În conformitate cu orientările responsabilului cu protecția datelor, Organizația Europeană de Brevete trebuie să evalueze dacă importatorul de date ar fi împiedicat să își respecte obligațiile care îi revin în temeiul unui instrument de transfer din cauza cadrului juridic căruia îi este supus și, dacă este necesar, să pună în aplicare măsuri suplimentare (191). Pentru a efectua această evaluare, responsabilul cu protecția datelor recomandă, în notele explicative ale Organizației Europene de Brevete privind transmiterea și transferul de date cu caracter personal, să se țină seama de orientările relevante ale CEPD și ale Autorității Europene pentru Protecția Datelor (192).

(71)

În temeiul Normelor privind protecția datelor, pentru transferurile de date către țări sau organizații care beneficiază de o decizie privind caracterul adecvat al nivelului de protecție, precum și pentru transferurile de date pe baza unor garanții adecvate, Organizația Europeană de Brevete trebuie să demonstreze necesitatea și proporționalitatea fiecărui transfer în scopul prelucrării (193). În plus, Organizația Europeană de Brevete trebuie să stabilească, după punerea în balanță a diferitelor interese aflate în joc, dacă transferul este proporțional, în cazul în care există motive să se creadă că interesele legitime ale persoanelor vizate ar putea fi prejudiciate (194). De asemenea, trebuie să se asigure (prin garanții contractuale) faptul că destinatarul poate prelucra sau utiliza datele numai în scopurile pentru care au fost transferate, având obligația de a șterge datele de îndată ce scopul urmărit a fost atins (195).

(72)

În temeiul Normelor privind protecția datelor, în absența unei decizii privind caracterul adecvat al nivelului de protecție sau a unor garanții adecvate, transferul de date cu caracter personal în afara Organizației Europene de Brevete este permis „numai în mod excepțional”, dacă se aplică o așa-numită „derogare” în condiții similare celor prevăzute în dispozițiile corespunzătoare din legislația Uniunii privind protecția datelor (196). Acest lucru este valabil atunci când (a) persoana vizată și-a dat consimțământul explicit pentru transfer (197), (b și c) transferul este ocazional și necesar pentru executarea unui contract cu persoana vizată sau în interesul persoanei vizate (sau pentru aplicarea unor măsuri precontractuale la cererea persoanei vizate) (198), (d) transferul este necesar pentru îndeplinirea unei atribuții în exercitarea activităților oficiale ale Organizației Europene de Brevete sau în exercitarea legitimă a autorității publice cu care este învestit operatorul (199), (e) transferul este ocazional și necesar pentru constatarea, exercitarea sau apărarea unui drept în instanță (200), (f) transferul este necesar pentru protejarea intereselor vitale ale unei persoane fizice, atunci când persoana vizată se află în incapacitate fizică sau juridică de a-și da consimțământul (201) sau (g) transferul este efectuat dintr-un registru care are rolul de a oferi informații publicului și care este deschis spre consultare fie publicului în general, fie oricărei persoane care justifică un interes legitim, în măsura în care condițiile stabilite pentru o astfel de consultare sunt îndeplinite pentru fiecare caz în parte (202). Prin natura lor și în conformitate cu orientările responsabilului cu protecția datelor, aceste derogări nu pot fi invocate pentru transferuri sistematice și regulate (203).

(73)

În sfârșit, în ceea ce privește transferurile unor categorii specifice de date către țări sau organizații care nu beneficiază de o decizie privind caracterul adecvat al nivelului de protecție, președintele poate limita și mai mult astfel de transferuri din motive importante legate de exercitarea legitimă a autorității publice cu care este învestit Oficiul (204). Până în prezent, președintele nu a făcut uz de aceste competențe.

(74)

Conform principiului responsabilității, entităților care prelucrează date li se solicită să pună în aplicare măsuri tehnice și organizatorice adecvate pentru a-și respecta în mod efectiv obligațiile în materie de protecție a datelor și pentru a putea demonstra această conformitate, în special autorității de supraveghere competente.

(75)

Articolul 4 alineatul (1) din Normele privind protecția datelor stabilește un principiu general al responsabilității, precizând în mod clar că operatorul este responsabil pentru respectarea Normelor privind protecția datelor și trebuie să fie în măsură să demonstreze respectarea acestuia. În special, operatorul trebuie să pună în aplicare măsuri tehnice și organizatorice adecvate pentru a asigura și a fi în măsură să demonstreze conformitatea, ținând seama de natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și de diferitele grade de probabilitate și gravitate ale oricăror riscuri pentru drepturile persoanelor fizice (205). În acest sens, Normele privind protecția datelor pun în aplicare, de asemenea, principiul protejării vieții private din faza de proiectare și al protejării implicite a vieții private, prevăzând că operatorul trebuie să pună în aplicare măsuri menite să aplice principiile de protecție a datelor și să asigure conformitatea cu Normele privind protecția datelor, precum și să se asigure că, în mod implicit, sunt prelucrate numai datele cu caracter personal care sunt necesare pentru fiecare scop specific al prelucrării (206).

(76)

Operatorul și persoanele împuternicite de operator trebuie să păstreze o evidență a activităților de prelucrare, care să conțină, printre altele, informații privind scopul prelucrării, categoriile de date prelucrate, categoriile de destinatari cărora le sunt divulgate datele și orice transfer de date cu caracter personal (207). Aceste evidențe sunt, în principiu, accesibile publicului (cu excepția cazului în care conțin informații confidențiale) și sunt incluse într-un registru de protecție a datelor accesibil publicului, trebuind puse, la cerere, la dispoziția Comitetului pentru protecția datelor (208). Fiecare unitate operațională trebuie, de asemenea, să numească cel puțin o persoană de legătură pentru protecția datelor (cu un mandat reînnoibil de unul până la trei ani), care trebuie să urmeze o formare obligatorie în domeniul protecției datelor și să asiste operatorul în îndeplinirea obligațiilor care îi revin (209).

(77)

În sfârșit, Normele privind protecția datelor oferă diferite instrumente care pot sprijini operatorul și persoanele împuternicite de operatori în eforturile lor de asigurare a conformității. De exemplu, în temeiul Normelor privind protecția datelor, aderarea la mecanismele de certificare aprobate poate servi drept dovadă a respectării obligațiilor prevăzute de Normele privind protecția datelor (210). În plus, în anumite condiții, Normele privind protecția datelor prevăd efectuarea unei evaluări a impactului asupra protecției datelor sau o consultare prealabilă a responsabilului cu protecția datelor și a Comitetului pentru protecția datelor. Este necesară o evaluare a impactului asupra protecției datelor în cazul în care un tip de prelucrare poate să genereze un risc ridicat pentru drepturile și libertățile unei persoane fizice (211). Acest lucru este necesar, de exemplu, în cazul în care există o evaluare sistematică și cuprinzătoare a aspectelor personale pe care se bazează deciziile automatizate sau în cazul în care se prelucrează categorii speciale de date la scară largă (212). În cazul în care o evaluare a impactului indică faptul că prelucrarea ar genera un risc ridicat pentru drepturile și libertățile persoanelor fizice, iar riscul nu poate fi atenuat prin măsuri de securitate rezonabile, operatorul trebuie să consulte Comitetul pentru protecția datelor (213). Comitetul pentru protecția datelor trebuie să ofere consiliere în scris în cazul în care consideră că prelucrarea preconizată ar încălca Normele privind protecția datelor (214). La un nivel mai general, operatorul are obligația de a consulta responsabilul cu protecția datelor atunci când pregătește norme sau documente operaționale cu privire la punerea în aplicare a restricțiilor privind drepturile individuale (215).

(78)

Pentru a asigura în practică un nivel adecvat de protecție a datelor, ar trebui instituită o autoritate de supraveghere independentă, care să aibă competența de a monitoriza și de a asigura respectarea normelor privind protecția datelor. Autoritatea respectivă ar trebui să acționeze cu deplină independență și imparțialitate în îndeplinirea sarcinilor sale și în exercitarea competențelor sale.

(79)

Cadrul juridic al Organizației Europene de Brevete încredințează unui număr de două organisme supravegherea respectării normelor privind protecția datelor de către Organizația Europeană de Brevete: responsabilul cu protecția datelor și Comitetul pentru protecția datelor. Ambele organisme sunt create în temeiul articolului 32A din Statutul personalului, iar statutul și competențele lor sunt specificate mai în detaliu în Normele privind protecția datelor (216). Rolurile lor sunt complementare și implică cooperare, însă fiecare organism rămâne independent în ceea ce privește funcțiile sale respective.

(80)

În temeiul Statutul personalului, responsabilul cu protecția datelor și Comitetul pentru protecția datelor acționează complet independent de orice interferență internă sau externă în îndeplinirea atribuțiilor care le revin și în exercitarea competențelor lor (217). Acest principiu este completat de diferite garanții suplimentare care le consacră independența.

(81)

Responsabilul cu protecția datelor (și adjuncții săi) sunt numiți de președinte pe baza calificărilor lor profesionale și, în special, a cunoștințelor lor de specialitate în ceea ce privește legislația și practicile în materie de protecție a datelor (218). Responsabilul cu protecția datelor este numit pentru un mandat de trei până la cinci ani, care poate fi reînnoit. Comitetul pentru protecția datelor este consultat înainte de orice propunere de revocare sau de eliberare din funcție a responsabilului cu protecția datelor (219). O astfel de consultare prealabilă înainte de revocarea sau eliberarea din funcție a responsabilului cu protecția datelor este menită să asigure un control și o analiză suplimentare în cazul unei propuneri de revocare sau de eliberare din funcție. O astfel de revocare sau eliberare din funcție poate fi propusă din unul dintre următoarele motive (220): în cazul în care responsabilul cu protecția datelor nu mai îndeplinește condițiile necesare pentru îndeplinirea atribuțiilor (221), pentru incompetență profesională (222) sau ca urmare a unor măsuri disciplinare (223). Normele privind protecția datelor stabilesc, de asemenea, că responsabilul cu protecția datelor nu poate fi eliberat din funcție sau sancționat pentru îndeplinirea atribuțiilor sale și nu poate primi instrucțiuni (224). Responsabilul cu protecția datelor trebuie să fie implicat în toate aspectele legate de protecția datelor cu caracter personal și elaborează rapoarte anuale de activitate adresate președintelui și Consiliului de administrație (225). Oficiul trebuie să pună la dispoziția responsabilului cu protecția datelor resursele necesare pentru îndeplinirea atribuțiile sale (226).

(82)

Comitetul pentru protecția datelor este format din trei experți externi în domeniul protecției datelor, și anume un președinte și alți doi membri (227), precum și un membru supleant, numit de președintele Organizației Europene de Brevete pentru un mandat de trei ani, care poate fi reînnoit (228). Membrii Comitetului pentru protecția datelor trebuie să dețină calificările necesare pentru numirea în funcții judiciare sau să fie profesioniști în domeniul protecției datelor cu cunoștințe de specialitate și experiență dovedite în domeniul legislației privind protecția datelor, dobândite la nivel național sau internațional. Aceștia nu trebuie să fie angajați ai Organizației Europene de Brevete sau să fi fost angajați de aceasta în ultimii zece ani (229). În temeiul articolului 48 alineatul (6) din Normele privind protecția datelor, membrii Comitetului pentru protecția datelor trebuie să fie complet independenți în exercitarea funcției lor. În special, membrii Comitetului pentru protecția datelor nu pot solicita instrucțiuni de la Oficiu sau de la Consiliul de administrație și nu pot fi obligați să respecte astfel de instrucțiuni. Regulamentul de procedură al Comitetului pentru protecția datelor prevede de asemenea că acesta trebuie să acționeze în mod imparțial și în deplină independență în îndeplinirea atribuțiilor sale (230). În plus, membrii Comitetului pentru protecția datelor pot fi eliberați din funcție de Organizația Europeană de Brevete numai în baza unor motive grave (231). Membrii Comitetului pentru protecția datelor sunt supuși unei obligații de confidențialitate (232) și nu trebuie să acționeze într-un caz în care există un conflict de interese, în special un interes personal (233). Organizația Europeană de Brevete trebuie să sprijine Comitetul pentru protecția datelor în îndeplinirea atribuțiilor sale, oferindu-i resursele necesare, precum și sprijin juridic și administrativ (prin intermediul unui secretariat și oferind Comitetului pentru protecția datelor acces la datele cu caracter personal și la operațiunile de prelucrare) (234).

(83)

Printre atribuțiile responsabilului cu protecția datelor se numără următoarele: informarea operatorului sau a persoanelor împuternicite de operator cu privire la obligațiile care le revin și consilierea acestora în consecință, sensibilizarea și formarea personalului implicat în operațiunile de prelucrare, asigurarea faptului că persoanele vizate sunt informate în privința drepturilor lor în temeiul Normelor privind protecția datelor și monitorizarea în mod independent a aplicării interne și a respectării Normelor privind protecția datelor, precum și a altor dispoziții legale ale Organizației Europene de Brevete care au implicații în materie de protecție a datelor (235). Persoanele vizate pot contacta responsabilul cu protecția datelor cu privire la orice aspect legat de prelucrarea datelor lor sau de exercitarea drepturilor lor (236), iar operatorul și persoanele împuternicite de operator pot consulta responsabilul cu protecția datelor cu privire la orice aspect referitor la interpretarea și aplicarea Normelor privind protecția datelor (237).

(84)

În cadrul rolului său de supraveghere, responsabilul cu protecția datelor are competența de a efectua audituri și investigații privind protecția datelor (238). Auditurile sunt inițiate de responsabilul cu protecția datelor în conformitate cu un plan anual de audit care este elaborat în consultare cu Comitetul pentru protecția datelor (239). Auditurile se axează pe evaluarea evidențelor, a declarațiilor și a documentației relevante în materie de protecție a datelor, de exemplu pentru a verifica exactitatea și exhaustivitatea documentației relevante în materie de protecție a datelor, aplicarea corectă a metodologiilor de gestionare a riscurilor, acuratețea și promptitudinea răspunsurilor adresate persoanelor vizate sau buna desfășurare a evaluărilor impactului asupra protecției datelor și numărul acestora (240). Potrivit informațiilor primite de Comisie de la responsabilul cu protecția datelor, s-au efectuat trei audituri în 2023, respectiv patru în 2024. O investigație poate fi inițiată de responsabilul cu protecția datelor din proprie inițiativă, pe baza unei cereri primite de la Comitetul pentru protecția datelor sau de la un organism din cadrul Organizației Europene de Brevete (de exemplu, președintele sau un operator delegat) sau pe baza informațiilor primite în alt mod (inclusiv, de exemplu, de la părți terțe și persoane fizice) (241). Investigațiile solicitate de Comitetul pentru protecția datelor sunt efectuate de responsabilul cu protecția datelor în mod independent. Comitetul pentru protecția datelor poate prezenta observații și/sau poate solicita o investigație suplimentară cu privire la orice problemă care ar putea apărea (242). Controalele se axează pe operațiunile de prelucrare sau pe aspecte specifice ale acestora ori pe evenimente legate de acestea, urmărind asigurarea faptului că prelucrarea în cauză îndeplinește cerințele Normelor privind protecția datelor, precum și asigurarea protecției drepturilor și libertăților persoanelor vizate (243).

(85)

Responsabilul cu protecția datelor are acces la toate informațiile relevante, inclusiv la datele cu caracter personal prelucrate, precum și la toate serviciile, instalațiile de prelucrare a datelor și suporturile de date (244). Toți angajații Organizației Europene de Brevete și unitățile operaționale trebuie să asiste responsabilul cu protecția datelor în îndeplinirea atribuțiilor sale, inclusiv prin asigurarea accesului în spațiile fizice și la informații relevante (245).

(86)

Atunci când încheie un audit sau o investigație, responsabilul cu protecția datelor adoptă un raport, în care prezintă constatările, concluziile și măsurile de remediere recomandate (246). Astfel de măsuri pot include, de exemplu, măsuri preventive sau de atenuare pentru îmbunătățirea conformității, precum și măsuri de remediere a neconformității (de exemplu alinierea prelucrării la Normele privind protecția datelor, gestionarea cererilor de exercitare a drepturilor înaintate de persoanele vizate, suspendarea sau încetarea unei prelucrări etc.) (247). Responsabilul cu protecția datelor poate, de asemenea, să aducă în atenția autorității competente împuternicite să facă numiri cazurile de nerespectare a Normelor privind protecția datelor de către angajați și să recomande inițierea unei anchete administrative pentru a stabili dacă sunt necesare măsuri disciplinare sau de altă natură (248). Orice angajat care nu respectă Normele privind protecția datelor, în mod intenționat sau din neglijență, poate fi pasibil de sancțiuni disciplinare sau de alte măsuri în temeiul Statutului personalului (249).

(87)

Rezultatele auditurilor și ale investigațiilor trebuie comunicate Comitetului pentru protecția datelor (250). Raportul de audit sau raportul elaborat în urma investigației trebuie comunicat, la cerere, Comitetului pentru protecția datelor. Comitetul pentru protecția datelor este autorizat să prezinte observații cu privire la raportul responsabilului cu protecția datelor, inclusiv cu privire la constatările responsabilului cu protecția datelor referitoare la existența sau inexistența unei încălcări a Normelor privind protecția datelor sau cu privire la măsurile de remediere propuse, și poate solicita măsuri de investigare suplimentare (251). În cazul în care, în urma unui audit sau a unui control efectuat de responsabilul cu protecția datelor, se concluzionează că a existat o neconformitate (și anume o încălcare a Normelor privind protecția datelor), raportul responsabilului cu protecția datelor trebuie prezentat Comitetului pentru protecția datelor pentru validarea concluziilor și a măsurilor de remediere recomandate. În cazul în care Comitetul pentru protecția datelor nu este de acord cu concluziile sau cu măsurile de remediere recomandate de responsabilul cu protecția datelor, Comitetul pentru protecția datelor transmite observațiile sale responsabilului cu protecția datelor, inclusiv în vederea modificării concluziilor propuse și a măsurilor de remediere recomandate, iar acesta ar trebui să le pună în aplicare în consecință. Măsurile de remediere validate de Comitetul pentru protecția datelor sunt obligatorii pentru operator și pentru operatorii delegați și pot fi invocate de persoanele fizice înaintea mecanismele de recurs descrise în considerentul 95 (252). Responsabilul cu protecția datelor trebuie să verifice punerea în aplicare a măsurilor de remediere (în principiu după șase luni de la comunicarea acestora) și să raporteze anual președintelui cu privire la stadiul punerii în aplicare (253).

(88)

Pe lângă rolul său de a asigura respectarea Normelor privind protecția datelor, alte sarcini ale Comitetului pentru protecția datelor includ consilierea președintelui cu privire la adoptarea deciziilor privind caracterul adecvat al nivelului de protecție, consilierea operatorului cu privire la necesitatea de a efectua o evaluare a impactului asupra protecției datelor și examinarea plângerilor din partea persoanelor fizice (a se vedea considerentele 92-96) (254).

(89)

Pentru asigurarea unei protecții adecvate și, în special, pentru asigurarea respectării drepturilor individuale, persoanei vizate ar trebui să i se ofere reparații efective, inclusiv despăgubiri pentru prejudiciile suferite.

(90)

Cadrul juridic al Organizației Europene de Brevete oferă reparații persoanelor fizice printr-o combinație de căi de atac diferite.

(91)

În primul rând, persoanele vizate care consideră că prelucrarea datelor lor cu caracter personal de către Organizația Europeană de Brevete le încalcă drepturile (și anume încalcă Normele privind protecția datelor) pot depune o cerere de reexaminare de către operatorul delegat în conformitate cu articolul 49 din Normele privind protecția datelor. Operatorul delegat va examina plângerea și va lua o decizie (255). Înainte de a lua o decizie, operatorul delegat trebuie să consulte responsabilul cu protecția datelor, care emite un aviz scris în termen de cel mult cincisprezece zile calendaristice de la primirea cererii de reexaminare (256). Operatorul delegat trebuie să răspundă persoanei fizice în cauză în termen de o lună de la data primirii cererii (257). Decizia trebuie comunicată persoanei fizice în cauză, împreună cu informații privind posibilitatea de a obține reparații suplimentare (258). În cazul în care operatorul delegat nu ia nicio măsură în termen de trei luni, acest lucru este considerat o respingere implicită a cererii.

(92)

În al doilea rând, persoanele fizice pot contesta o decizie sau o respingere implicită a unei cereri de reexaminare de către un operator delegat prin depunerea unei plângeri la Comitetul pentru protecția datelor (259).

(93)

Atunci când examinează o plângere, Comitetul pentru protecția datelor trebuie să invite persoana vizată, operatorul și, după caz, persoana împuternicită de operator să își prezinte în scris poziția cu privire la afirmațiile și faptele în cauză și să furnizeze dovezi sau observații și argumente cu privire la dovezile disponibile (260). În acest context, Comitetul pentru protecția datelor poate solicita părților orice informație necesară pentru gestionarea plângerii și, în plus, poate obține informații suplimentare prin intermediul responsabilului cu protecția datelor (261). Atunci când decide cu privire la măsurile care trebuie luate în urma unei plângeri, Comitetul pentru protecția datelor trebuie să țină seama, printre altele, de natura și gravitatea presupusei încălcări, de numărul de persoane vizate afectate, de categoriile de date afectate și de durata încălcării (262). Comitetul pentru protecția datelor poate invita părțile să soluționeze diferendul pe cale amiabilă și încurajează și facilitează în mod activ o astfel de soluționare (263). De asemenea, reclamantul poate solicita Comitetului pentru protecția datelor să aplice o procedură de urgență, din motive de gravitate a presupusei încălcări sau ca urmare a gravității riscului asupra drepturilor persoanelor fizice (264).

(94)

După examinarea unei plângeri, Comitetul pentru protecția datelor emite un aviz motivat adresat operatorului, care include o expunere a faptelor, principalele argumente ale părților, precum și considerațiile și recomandările Comitetului pentru protecția datelor (265). În cazul unei proceduri de urgență, Comitetul pentru protecția datelor trebuie să emită în mod oficial un aviz motivat în termen de două luni de la depunerea plângerii (266). În avizul său motivat, Comitetul pentru protecția datelor poate emite orice recomandări pe care le consideră necesare, inclusiv măsuri de încetare (de exemplu încetarea prelucrării ilegale a datelor sau ștergerea datelor prelucrate în mod ilegal) și despăgubiri pentru prejudicii materiale sau morale (267). Avizul motivat trebuie comunicat persoanei vizate și operatorului (și anume președintelui Oficiului, președintelui camerelor de recurs, președintele consiliului de administrație sau președintele comitetului restrâns, în funcție de destinatarul plângerii: Oficiul, camerele de recurs, Consiliul sau comitetul restrâns). Operatorul va lua apoi o decizie finală obligatorie, în urma avizului motivat al Comitetului pentru protecția datelor (268). Decizia finală este comunicată persoanei vizate, Comitetului pentru protecția datelor și responsabilului cu protecția datelor (269). În cazul în care operatorul decide să nu țină seama de unul sau mai multe aspecte ale avizului motivat, acesta îl explică în scris în decizie (270).

(95)

O persoană vizată care nu este mulțumită de decizia operatorului poate recurge la o altă cale de atac și poate face trimitere la avizul motivat al Comitetului pentru protecția datelor. Angajații Organizației Europene de Brevete pot contesta decizia înaintea Tribunalului Administrativ al Organizației Internaționale a Muncii (271). Orice altă persoană vizată care nu este de acord cu decizia operatorului poate să prezinte președintelui o cerere de arbitraj ad-hoc în termen de trei luni de la primirea deciziei (272). Normele privind protecția datelor prevăd o procedură specifică ce trebuie urmată în cazul arbitrajului ad-hoc (273). În special, în termen de trei luni de la primirea cererii de către persoana vizată, secretarul general al Curții Permanente de Arbitraj trebuie să numească un arbitru pe baza criteriilor stabilite în Normele privind protecția datelor (274). Arbitrul trebuie să fie calificat din punct de vedere juridic, să fie autorizat să practice dreptul într-unul dintre statele contractante ale Organizației Europene de Brevete, să poată demonstra cunoștințe de specialitate relevante în materie de protecție a datelor și să fie familiarizat cu legislația care reglementează organizațiile internaționale (275). Pe lângă îndeplinirea acestor criterii, pot fi desemnate numai persoanele care nu au desfășurat activități în calitate de angajați ai Organizației Europene de Brevete sau ai persoanei vizate sau în serviciul acestora. Normele privind protecția datelor prevăd că arbitrul trebuie să acționeze independent și imparțial (276), să trateze fiecare parte în mod egal și să le ofere posibilitatea de a-și prezenta cauza în fiecare etapă a procedurilor (277). Procedurile de arbitraj nu sunt publice (278) și sunt reglementate de CBE, Normele privind protecția datelor, inclusiv de orice legislație de punere în aplicare, dreptul organizațiilor internaționale și principiile dreptului internațional public (279). Deși fiecare parte are obligația de a-și suporta propriile cheltuieli și costuri de reprezentare juridică (cu excepția cazului în care arbitrul decide altfel), onorariile și cheltuielile arbitrului, precum și costurile aferente eventualelor consilieri de specialitate și martorilor sunt suportate de Organizația Europeană de Brevete (280). Tranzacțiile se încheie sub forma unei hotărâri arbitrale scrise, cu o formulare convenită, care este definitivă și obligatorie (281).

(96)

Orice persoană care a suferit prejudicii ca urmare a unei încălcări a Normelor privind protecția datelor poate solicita despăgubiri Organizației Europene de Brevete utilizând procedurile descrise în considerentele 91-95 (282). Organizația Europeană de Brevete nu va fi considerată răspunzătoare dacă se dovedește că nu a fost responsabilă pentru evenimentul care a cauzat prejudiciul.

(97)

Cadrul juridic în temeiul căruia Organizația Europeană de Brevete analizează cererile din partea autorităților publice – din statele sale contractante și din țările terțe – și răspunde cererilor acestora cu privire la datele cu caracter personal prelucrate de Organizația Europeană de Brevete decurge din Protocolul Organizației Europene de Brevete cu privire la privilegii și imunități (283), din cerințele Normelor privind protecția datelor referitoare la transmiterea și transferurile de date cu caracter personal și din dreptul internațional public.

(98)

În primul rând, prelucrarea datelor cu caracter personal de către Organizația Europeană de Brevete în scopul activităților sale oficiale este acoperită de imunitățile conferite organizației. Imunitățile Organizației Europene de Brevete sunt completate de o obligație de cooperare prevăzută la articolul 20 din Protocolul cu privire la privilegii și imunități. În consecință, orice cerere din partea unei autorități publice a unui stat contractant de a obține date prelucrate de Organizația Europeană de Brevete trebuie analizată de președinte în conformitate cu [articolul 20 alineatul (1)] din Protocolul cu privire la privilegii și imunități, care prevede că organizația „cooperează în orice moment cu autoritățile competente ale statelor contractante pentru a facilita buna administrare a justiției, pentru a asigura respectarea reglementărilor polițienești și a reglementărilor privind sănătatea publică, inspecția muncii sau alte legislații naționale similare și pentru a preveni orice abuz de privilegii, imunități și facilități prevăzute de prezentul protocol.” Cu titlu excepțional, organizația poate renunța la imunitatea de jurisdicție și de executare (284). Atunci când decide cu privire la o cerere de cooperare, președintele își exercită puterea discreționară, având în vedere conformitatea cererii cu cadrul juridic al organizației (285). Se poate concluziona că Oficiul poate răspunde unei cereri în temeiul Protocolului cu privire la privilegii și imunități și poate divulga date cu caracter personal numai în conformitate cu cerințele privind transmiterea de date prevăzute în Normele privind protecția datelor (a se vedea considerentele 62-67). În conformitate cu Normele privind protecția datelor, destinatarul trebuie să furnizeze dovezi că este necesar ca datele să fie transmise într-un scop specific care decurge din obligațiile Organizației Europene de Brevete de cooperare cu statul contractant (statele contractante) în cauză (286). Operatorul trebuie să fie în măsură, pentru fiecare transmitere de date, să demonstreze că o astfel de transmitere este necesară și proporțională cu scopul specific pentru care este realizată (287). Orice transmitere de date trebuie efectuată într-un mod care să asigure menținerea nivelului de protecție oferit de Normele privind protecția datelor (288). Potrivit orientărilor emise de responsabilul cu protecția datelor, aceasta înseamnă că sunt instituite garanții adecvate, inclusiv prin asigurarea faptului că datele care urmează să fie partajate trebuie reduse la minimum și limitate la ceea ce este adecvat, relevant și strict necesar pentru atingerea scopului respectiv (289). În cazul în care există orice motiv să se presupună că drepturile și libertățile persoanei în cauză pot fi afectate, operatorul trebuie să stabilească faptul că transmiterea datelor cu caracter personal în acest scop specific este proporțională, după punerea în balanță a diferitelor interese aflate în joc (290).

(99)

În al doilea rând, nu există niciun instrument juridic aplicabil Organizației Europene de Brevete care să reglementeze în mod specific gestionarea cererilor autorităților publice din țări terțe (și anume care nu sunt părți contractante la Organizația Europeană de Brevete) de a obține date prelucrate de Organizația Europeană de Brevete. Prin urmare, orice divulgare ca răspuns la o astfel de cerere poate avea loc numai dacă sunt îndeplinite cerințele pentru transferurile internaționale de date în temeiul Normelor privind protecția datelor (astfel cum sunt descrise în considerentele 68-73). Acest lucru ar fi valabil numai dacă a fost adoptată o decizie privind caracterul adecvat al nivelului de protecție pentru țara relevantă care ar acoperi transferul, dacă există garanții adecvate sau dacă se aplică o derogare.

(100)

Respectarea de către președinte a Protocolului cu privire la privilegii și imunități, inclusiv modul în care au fost abordate cererile de cooperare din partea autorităților publice, face obiectul supravegherii de către Consiliul de administrație, în timp ce respectarea cerințelor privind transmiterea și transferurile de date cu caracter personal din Normele privind protecția datelor face obiectul supravegherii de către responsabilul cu protecția datelor și Comitetul pentru protecția datelor, astfel cum se descrie în considerentele 84-88. Persoanele fizice pot utiliza căile de atac descrise în considerentele 90-96 în legătură cu transmiterea sau transferul datelor cu caracter personal ale acestora cu încălcarea Normelor privind protecția datelor.

(101)

Comisia consideră că Organizația Europeană de Brevete asigură un nivel de protecție a datelor cu caracter personal transferate din Uniune în esență echivalent cu cel garantat de Regulamentul (UE) 2016/679.

(102)

Pe baza constatărilor prezentei decizii, ar trebui să se decidă că Organizația Europeană de Brevete asigură un nivel de protecție adecvat în sensul articolului 45 din Regulamentul (UE) 2016/679, interpretat în lumina Cartei drepturilor fundamentale a Uniunii Europene, pentru datele cu caracter personal transferate din Uniune către Organizația Europeană de Brevete.

(103)

Statele membre și organele acestora au obligația de a lua măsurile necesare pentru a se conforma actelor instituțiilor Uniunii, întrucât se presupune că aceste acte sunt legale și, prin urmare, produc efecte juridice atât timp cât nu sunt retrase, anulate în cadrul unei acțiuni în anulare sau declarate nule ca urmare a unei trimiteri preliminare sau a unei excepții de nelegalitate.

(104)

În consecință, o decizie a Comisiei privind caracterul adecvat al nivelului de protecție, adoptată în temeiul articolului 45 alineatul (3) din Regulamentul (UE) 2016/679, este obligatorie pentru toate organele statelor membre cărora li se adresează, inclusiv pentru autoritățile de supraveghere independente ale acestora. În special, transferurile de la un operator sau o persoană împuternicită de operator din Uniune către Organizația Europeană de Brevete poate avea loc fără a fi necesară obținerea unei autorizări suplimentare.

(105)

Ar trebui reamintit faptul că, în temeiul articolului 58 alineatul (5) din Regulamentul (UE) 2016/679 și astfel cum este explicat de Curtea de Justiție în cauza C-362/14 (291), în cazul în care o autoritate națională pentru protecția datelor pune sub semnul întrebării, inclusiv în urma primirii unei plângeri, compatibilitatea unei decizii a Comisiei privind caracterul adecvat al nivelului de protecție cu dreptul fundamental al unei persoane la viață privată și la protecția datelor, legislația națională trebuie să prevadă o cale de atac pentru a invoca motivele respective în fața unei instanțe naționale, care poate fi obligată să efectueze o trimitere preliminară către Curtea de Justiție.

(106)

În conformitate cu jurisprudența Curții de Justiție și în temeiul articolului 45 alineatul (4) din Regulamentul (UE) 2016/679, Comisia ar trebui să monitorizeze continuu evoluțiile relevante din țara terță sau de la nivelul organizației internaționale după adoptarea unei decizii privind caracterul adecvat al nivelului de protecție, pentru a evalua dacă aceasta continuă să asigure un nivel de protecție în esență echivalent. O astfel de verificare se impune, în orice caz, atunci când Comisia primește orice informație care dă naștere unor îndoieli justificate în această privință.

(107)

Prin urmare, Comisia ar trebui să monitorizeze în permanență situația de la nivelul Organizației Europene de Brevete în ceea ce privește cadrul juridic și practica propriu-zisă de prelucrare a datelor cu caracter personal, astfel cum sunt evaluate în prezenta decizie. Pentru a facilita acest proces, Organizația Europeană de Brevete este invitată să informeze Comisia cu privire la evoluțiile semnificative relevante pentru prezenta decizie în ceea ce privește prelucrarea datelor cu caracter personal și limitările și garanțiile aplicabile accesului autorităților publice la datele cu caracter personal.

(108)

În plus, pentru a permite Comisiei să își exercite în mod eficace funcția de monitorizare, statele membre ar trebui să informeze Comisia cu privire la orice acțiune relevantă întreprinsă de autoritățile naționale pentru protecția datelor, în special în ceea ce privește solicitările sau plângerile formulate de persoane vizate din Uniune cu privire la transferul de date cu caracter personal din Uniune către Organizația Europeană de Brevete.

(109)

În conformitate cu articolul 45 alineatul (3) din Regulamentul (UE) 2016/679 și având în vedere faptul că nivelul de protecție asigurat de cadrul juridic al Organizației Europene de Brevete poate suferi modificări, Comisia, în urma adoptării prezentei decizii, ar trebui să verifice periodic dacă respectivele constatări referitoare la caracterul adecvat al nivelului de protecție asigurat de Organizația Europeană de Brevete sunt în continuare justificate în fapt și în drept. Astfel de evaluări ar trebui să aibă loc cel puțin o dată la patru ani și ar trebui să acopere toate aspectele legate de funcționarea prezentei decizii, inclusiv funcționarea mecanismelor relevante de supraveghere și de asigurare a respectării legii.

(110)

Pentru a efectua această revizuire, ar trebui să se organizeze o reuniune între Comisie și Organizația Europeană de Brevete, cu participarea responsabilului cu protecția datelor și a Comitetului pentru protecția datelor. Participarea la reuniunea respectivă ar trebui să fie deschisă reprezentanților membrilor Comitetului european pentru protecția datelor. În cadrul revizuirii, Comisia ar trebui să solicite Organizației Europene de Brevete să furnizeze informații cuprinzătoare cu privire la toate aspectele relevante pentru constatarea referitoare la caracterul adecvat. Comisia ar trebui, de asemenea, să solicite explicații cu privire la orice informație relevantă pentru prezenta decizie pe care a primit-o, inclusiv din partea CEPD, a autorităților individuale pentru protecția datelor și a grupurilor societății civile, precum și din cadrul rapoartelor publice sau ale mass-mediei sau din orice altă sursă de informații disponibilă.

(111)

Pe baza revizuirii, Comisia ar trebui să pregătească un raport public, care să fie prezentat Parlamentului European și Consiliului.

(112)

În cazul în care informațiile disponibile, în special informațiile rezultate din monitorizarea de către Comisie a evoluțiilor care ar putea afecta funcționarea prezentei decizii în temeiul articolului 45 alineatul (4) din Regulamentul (UE) 2016/679 sau furnizate de Organizația Europeană de Brevete sau de autoritățile statelor membre, arată că nivelul de protecție oferit de Organizația Europeană de Brevete ar putea să nu mai fie adecvat, Comisia ar trebui să informeze Organizația Europeană de Brevete în acest sens și să solicite luarea unor măsuri adecvate într-un termen rezonabil specificat.

(113)

În cazul în care, la expirarea termenului specificat, Organizația Europeană de Brevete nu ia măsurile respective sau nu demonstrează în mod satisfăcător în alt fel că prezenta decizie continuă să se bazeze pe un nivel de protecție adecvat, Comisia va iniția procedura menționată la articolul 93 alineatul (2) din Regulamentul (UE) 2016/679 în vederea suspendării sau a abrogării parțiale sau integrale a prezentei decizii.

(114)

Ca alternativă, Comisia inițiază această procedură în vederea modificării prezentei decizii, în special prin aplicarea unor condiții suplimentare transferurilor de date sau prin limitarea domeniului de aplicare al constatării referitoare la caracterul adecvat numai la transferurile de date pentru care se asigură în continuare un nivel de protecție adecvat.

(115)

De asemenea, Comisia ar trebui să aibă în vedere inițierea procedurii care conduce la modificarea, suspendarea sau abrogarea prezentei decizii în cazul în care, în contextul revizuirii sau într-un alt context, Organizația Europeană de Brevete nu furnizează informațiile sau clarificările necesare pentru evaluarea nivelului de protecție acordat datelor cu caracter personal transferate din Uniune către Organizația Europeană de Brevete sau în ceea ce privește respectarea prezentei decizii. În această privință, Comisia ar trebui să ia în considerare măsura în care informațiile relevante pot fi obținute din alte surse.

(116)

Din motive imperioase de urgență justificate corespunzător, Comisia va face uz de posibilitatea de a adopta, în conformitate cu procedura menționată la articolul 93 alineatul (3) din Regulamentul (UE) 2016/679, acte de punere în aplicare imediat aplicabile de suspendare, abrogare sau modificare a deciziei.

(117)

Comitetul european pentru protecția datelor și-a publicat avizul (292), care a fost luat în considerare la pregătirea prezentei decizii.

(118)

Măsurile prevăzute în prezenta decizie sunt conforme cu avizul comitetului instituit în temeiul articolului 93 alineatul (1) din Regulamentul (UE) 2016/679,