歐洲專利組織行政理事會(the Administrative Council)在去(2021)年6月30日通過新的資料保護架構後，經過6個月的過渡期，EPO新的資料保護規則(Data Protection Rules，簡稱DPR)已於2022年1月1日正式生效。

 

此一新的法規讓EPO資料保護的立法基礎更加符合現代且完整，並與國際間最佳實務的原則和要求接軌，這是在數位化時代強調保護個人基本權利重要的一步，並向EPO所有員工、用戶和一般民眾保證，EPO在進行所有資料處理時，都會適用相同的個人資料保護標準。

 

EPO是依歐洲專利公約成立的國際組織，因此，並不受到歐盟第2016/679號法規─一般個人資料保護規則(GDPR)─的約束。EPO在處理其所蒐集及管理的個資時，均應依照該局DPR的規定，以確保EPO對資料主體(data subjects)的個資處理符合最高準則。歐洲專利組織行政理事會的個資處理作業則不適用此規範，此外，DPR第49至52條亦不適用於EPO上訴委員會(Board of Appeal)依其司法職務之個資處理。

 

DPR第32條要求EPO將其個資處理活動記錄於登記簿。在DPR生效後的6個月內，將逐步建立該登記簿。EPO外部資料主體可在EPO官網查詢到EPO如何處理個資的相關紀錄。

 

EPO的資料保護官(Data Protection Officer)獨立監督EPO在執行所有資料處理作業相關的DPR內部適用及法規遵行。隨著DPR的生效，新成立的資料保護委員會(Data Protection Board)」委員，也開始執行作為獨立機關對EPO的個人資料處理作業進行監督、提供諮詢及法律救濟的功能。

 

這個新法律架構適用於在2021年7月1日(含)之後的資料處理作業。而法規通過之前的資料保護作業，將會有6個月過渡期，至2022年7月1日為止，進行調整以順利與新的資料保護架構接軌。

 

 

EPO新的資料保護架構讓該局資料處理作業，得與最高國際標準及最佳實務相一致，並跟上科技發展的腳步，同時不違反EPO的組織設計。每位與該局往來的個人，無論是內部職員或外部利害關係人，其隱私權及資料的保護將是本次改革的核心重點。

 

個資之處理應以合法、公平且透明的方式，告知資料主體關於該資料處理作業的存在及目的，並取得其同意。

 

個資蒐集的目的必須是特定、明確且合法正當，其後續處理應與原始蒐集目的相容。

 

個資之蒐集應適當、相關且僅限於與資料處理目的所必需者。

 

個資必須維持正確性，必要時應及時更新，如考慮個資蒐集及處理目的，應採取一切合理措施，確保不正確或不完整的資料及時被更正或刪除。

 

將個資以得以識別資料主體之一定形式儲存，但期間不得超過個資蒐集及處理目的所必要之期間。

 

個資應以適當方式處理以確保資料安全，包括利用適當的科技或組織措施加以保護以避免未經授權或非法利用，以及意外遺失、毀損或破壞。

 

EPO為個資的控管者(controller)，應保證DPR第4條(2)的個資保護原則被遵守，並確保個資處理的目的及手段被妥善紀錄。為此，控管者應以結構化且考量風險的方法來設計及記錄個資處理活動。控管者亦應能夠隨時向資料主體證明，處理資料時係遵守書面承諾和條件。對於上訴委員會的組織自主性和司法獨立性，應加以注意。