1.   С настоящото решение се определят правила относно условията, при които Органът, в рамките на своите процедури, посочени в параграф 2, може да ограничи прилагането на правата, заложени в членове 14—21, 35 и 36, както и в член 4 от него, като се спазва член 25 от Регламент (ЕС) 2018/1725.

2.   В рамките на административното функциониране на ЕОБХ настоящото решение се прилага за операциите по обработване на лични данни, извършвани от Органа за целите на административни проучвания, дисциплинарни производства, предварителни действия във връзка със случаи на потенциални нередности, докладвани на OLAF, обработване на сигнали за нередности, (официални и неофициални) процедури, свързани с тормоз, обработване на вътрешни и външни жалби, провеждане на вътрешни одити, разследвания от страна на длъжностното лице за защита на данните в съответствие с член 45, параграф 2 от Регламент (ЕС) 2018/1725, както и разследвания в областта на сигурността (на ИТ), извършвани вътрешно или с външно участие (напр. CERT-EU).

3.   Засегнатите категории данни са потвърдени данни („обективни“, напр. данни за идентификация, данни за контакт, професионални данни, административни данни, данни, получени от специфични източници, електронни съобщения и данни за трафик) и/или непотвърдени данни („субективни“, свързани със случая, напр. мотиви, данни за поведението, оценки, данни за работната ефективност и действия, както и данни, свързани или представени във връзка с предмета на процедурата или дейността).

4.   Когато изпълнява задълженията си във връзка с правата на субект на данни съгласно Регламент (ЕС) 2018/1725, Органът преценява дали е приложимо някое от изключенията, предвидени в посочения регламент.

5.   При спазване на условията, определени в настоящото решение, ограничения могат да се прилагат по отношение на следните права: предоставяне на информация на субектите на данни, право на достъп, коригиране, изтриване, ограничаване на обработването на данни, информиране на субекта за нарушение на сигурността на личните данни или поверителност на електронните съобщения.

1.   Въведените предпазни мерки за избягване на нарушения по отношение на сигурността на данните, изтичане на информация или неразрешено оповестяване са следните:

2.   Администратор на операциите по обработване е Органът, представляван от своя изпълнителен директор, който може да делегира функцията на администратор. Субектите на данни се уведомяват относно делегирания администратор чрез информацията относно политиката за защита на данните или чрез регистри, публикувани на уебсайта на Органа, в неговия интранет и/или Каталог на работните услуги.

3.   Срокът на запазване на личните данни, посочен в член 1, параграф 3, не може да бъде по-дълъг от срока, който е необходим и подходящ за целите, за които се обработват данните. Във всички случаи този срок е не по-дълъг от срока на запазване, посочен в информацията относно политиката за защита на данните, декларациите за поверителност или регистрите, посочени в член 5, параграф 1.

4.   Когато Органът обмисля налагането на ограничение, рискът за правата и свободите на субекта на данни се преценява, по-специално въз основа на риска за правата и свободите на други субекти на данни и риска от премахване на ефекта от разследванията или процедурите на Органа, например чрез унищожаване на доказателства. Рисковете за правата и свободите на субекта на данни са свързани предимно, но не само, с рискове за репутацията, както и с рискове за правото на защита и правото на изслушване.

1.   Всички ограничения се прилагат от Органа единствено с цел да се гарантира:

2.   Конкретно за целите, описани в параграф 1 по-горе, Органът може да прилага ограничения по отношение на личните данни, обменяни със службите на Комисията или други институции, органи, агенции и служби на Съюза, с компетентните органи на държавите членки или трети държави или с международни организации при следните обстоятелства:

Преди да наложи ограничения при обстоятелствата, посочени в букви а) и б), Органът се консултира със съответните служби на Комисията и институции, органи, агенции и служби на Съюза или с компетентните органи на държавите членки, освен ако за Органа не е ясно, че налагането на ограничение е предвидено в някой от актовете, посочени в тези букви.

3.   Всяко ограничение трябва да бъде необходимо и пропорционално предвид рисковете за правата и свободите на субектите на данни и да зачита същността на основните права и свободи в демократичното общество.

4.   Ако се обмисля налагането на ограничение, се извършва проверка на необходимостта и пропорционалността въз основа на настоящите правила. Проверката се документира за всеки отделен случай чрез вътрешна бележка за оценка за целите на отчетността.

5.   Ограниченията се отменят веднага след като обстоятелствата, послужили като основание за налагането им, престанат да съществуват, по-специално когато бъде преценено, че упражняването на ограниченото право вече няма да премахва ефекта от наложеното ограничение или няма да засяга неблагоприятно правата или свободите на други субекти на данни. В такъв случай ограниченията ще бъдат отменени възможно най-скоро и по правило в срок от пет работни дни от промяната в правните или фактическите обстоятелства.

1.   Органът уведомява своевременно своето длъжностно лице за защита на данните („ДЗД“) всеки път, когато администраторът ограничава прилагането на правата на субектите на данни или разширява обхвата на ограничението съгласно настоящото решение. Администраторът предоставя на ДЗД достъп до регистъра, съдържащ оценката на необходимостта и пропорционалността на ограничението, и документира в същия регистър датата на уведомяване на ДЗД.

2.   ДЗД може да поиска писмено от администратора да направи преглед на прилагането на ограниченията. Администраторът информира писмено ДЗД относно резултата от поискания преглед.

3.   Администраторът информира ДЗД, когато ограничението бъде отменено.

1.   В надлежно обосновани случаи и при условията, определени в настоящото решение, правото на информация може да бъде ограничено от администратора в контекста на следните операции по обработване:

Органът включва информация, свързана с потенциалното ограничаване на тези права, в информацията относно политиката за защита на данните, декларациите за поверителност или регистрите по смисъла на член 31 от Регламент (ЕС) 2018/1725, публикувани на неговия уебсайт и/или в интранет, с които се уведомяват субектите на данни за техните права в рамките на дадена процедура. В информацията се посочват правата, които могат да бъдат ограничени, причините и евентуалната продължителност.

2.   Без да се засягат разпоредбите на параграф 3, когато това е пропорционално, Органът също информира в писмена форма индивидуално всички субекти на данни, които се считат за засегнати при конкретната операция по обработване, относно правата им във връзка с настоящите или бъдещите ограничения без ненужно забавяне.

3.   Когато ограничава изцяло или частично предоставянето на информация на субектите на данни, посочени в параграф 2, Органът записва причините за ограничението, правното основание в съответствие с член 3 от настоящото решение, както и оценката на необходимостта и пропорционалността на ограничението.

Записът и, ако е приложимо, документите, съдържащи основните фактически и правни елементи, се регистрират. При поискване те се предоставят на Европейския надзорен орган по защита на данните.

4.   Ограничението, посочено в параграф 3, продължава да се прилага, докато причините за него продължават да бъдат валидни, като се отменя възможно най-скоро и по правило в срок от пет работни дни от промяната в правните или фактическите обстоятелства.

Когато причините за ограничението вече не са валидни, Органът предоставя информация на субекта на данни относно основните причини за прилагането на ограничение. В същото време Органът информира субекта на данни за правото да подаде жалба до Европейския надзорен орган по защита на данните по всяко време или да търси защита по съдебен ред пред Съда на Европейския съюз.

Органът преразглежда прилагането на ограничението на всеки шест месеца, считано от неговото приемане, и при приключване на съответното проучване, процедура или разследване.

1.   В надлежно обосновани случаи и при условията, определени в настоящото решение, правото на достъп може да бъде ограничено от администратора в контекста на следните операции по обработване, когато това е необходимо и целесъобразно:

Когато субекти на данни искат достъп до личните си данни, обработвани в контекста на един или повече конкретни случая или за конкретна операция по обработване, в съответствие с член 17 от Регламент (ЕС) 2018/1725, Органът ограничава оценката на искането единствено до тези лични данни.

2.   Когато ограничава изцяло или частично правото на достъп, посочено в член 17 от Регламент (ЕС) 2018/1725, Органът предприема следните стъпки:

Предоставянето на информацията, посочена в буква а), може да бъде отложено, пропуснато или отказано, ако предоставянето би премахнало ефекта от ограничението в съответствие с член 25, параграф 8 от Регламент (ЕС) 2018/1725.

Органът преразглежда прилагането на ограничението на всеки шест месеца, считано от неговото приемане, и при приключване на съответното разследване.

3.   Записът и, ако е приложимо, документите, съдържащи основните фактически и правни елементи, се регистрират. При поискване те се предоставят на Европейския надзорен орган по защита на данните.

1.   В надлежно обосновани случаи и при условията, определени в настоящото решение, правото на коригиране, изтриване и ограничаване може бъде ограничено от администратора в контекста на следните операции по обработване, когато това е необходимо и целесъобразно:

2.   Когато ограничава изцяло или частично прилагането на правото на коригиране, изтриване или ограничаване на обработването, посочено в член 18, член 19, параграф 1 и член 20, параграф 1 от Регламент (ЕС) 2018/1725, Органът предприема стъпките, посочени в член 6, параграф 2 от настоящото решение, и регистрира записа в съответствие с член 6, параграф 3 от него.

1.   В надлежно обосновани случаи и при условията, определени в настоящото решение, правото на информиране на субекта за нарушение на сигурността на личните данни може бъде ограничено от администратора в контекста на следните операции по обработване, когато това е необходимо и целесъобразно:

2.   В надлежно обосновани случаи и при условията, определени в настоящото решение, правото на поверителност на електронните съобщения може бъде ограничено от администратора в контекста на следните операции по обработване, когато това е необходимо и целесъобразно:

3.   Когато ограничава информирането за нарушение на сигурността на личните данни на субекта или поверителността на електронните съобщения, посочени в членове 35 и 36 от Регламент (ЕС) 2018/1725, Органът записва и регистрира причините за ограничението в съответствие с член 5, параграф 3 от настоящото решение. Прилага се член 5, параграф 4 от настоящото решение.