1.   В настоящото решение са изложени правилата за условията, при които Службата, в рамките на своите операции по обработване на лични данни, изложени в параграф 2, може да ограничава упражняването на правата, предвидени в членове 4, 14—21, 35 и 36 от Регламент (ЕС) 2018/1725, съгласно член 25 от него.

2.   Във връзка с административното функциониране на Службата, настоящото решение се прилага за обработване на лични данни, извършвано от Службата за целите на: административни разследвания, дисциплинарни производства, процедури за подаване на сигнали за нередности, (официални и неофициални) процедури за разглеждане на случаи на тормоз, обработване на жалби, обработване на медицински данни и/или досиета, извършване на вътрешни одити, разследвания от страна на длъжностното лице за защита на данните в съответствие с член 45, параграф 2 от Регламент (ЕС) 2018/1725 и разследвания в областта на сигурността на информационните технологии (ИТ), извършвани вътрешно или с външно участие (напр. CERT-EU).

Настоящото решение се прилага за операции по обработване, предприемани и извършвани от Службата, включително преди започването на горепосочените процедури, по време на тях и по време на наблюдението на последващите действия във връзка с резултатите от тези процедури. То се прилага и за помощ и сътрудничество, предоставяни от Службата извън собствените ѝ административни процедури на OLAF, компетентните органи на държавите членки и/или други компетентни органи.

3.   Засегнатите категории данни са потвърдени данни („обективни“, напр. данни за идентификация, данни за контакт, професионални данни, административни данни, данни, получени от специфични източници, електронни съобщения и данни за трафик) и/или непотвърдени данни („субективни“, свързани със случая, напр. мотиви, данни за поведението, оценки, данни за работната ефективност и действия, както и данни, свързани или представени във връзка с предмета на процедурата или дейността).

4.   Когато изпълнява задълженията си във връзка с правата на субектите на данни съгласно Регламент (ЕС) 2018/1725, Службата преценява дали е приложимо някое от изключенията, предвидени в този регламент.

5.   Ограниченията, които са предмет на изложените в настоящото решение условия, може да се прилагат към следните права: предоставяне на информация на субектите на данни, право на достъп, коригиране, заличаване, ограничаване на обработването, съобщаване на субектите на данни за нарушение на сигурността на личните данни или поверителност на електронните съобщения.

1.   Службата въвежда следните защитни мерки за предотвратяване на злоупотреба или незаконен достъп или предаване:

2.   Администратор на операциите по обработване е Службата, представлявана от своя изпълнителен директор, който може да делегира функцията на администратор. Субектите на данни се уведомяват за делегирания администратор чрез съобщения за защитата на личните данни или чрез регистрите, публикувани на уебсайта и/или в интранет на Службата.

3.   Срокът на задържане на личните данни, посочен в член 1, параграф 3, не може да бъде по-дълъг от посочения в съобщенията за защитата на личните данни, декларациите за поверителност или регистрите, посочени в член 3, параграф 1. В края на срока на задържане свързаната със случая информация, включително личните данни, се заличава, анонимизира или прехвърля към историческите архиви.

4.   В случаите, когато Службата обмисля да наложи ограничение, рисковете за правата и свободите на субекта на данни се оценяват по-специално спрямо риска за правата и свободите на други субекти на данни и риска от възпрепятстване на целите на операцията по обработване. Рисковете за правата и свободите на субекта на данни засягат главно, но не се ограничават до рискове за репутацията и рискове за правото на защита и правото на изслушване.

1.   Службата публикува на уебсайта и/или на интранета си съобщения за защитата на личните данни, декларации за поверителност и/или регистри по смисъла на член 31 от Регламент (ЕС) 2018/1725, с които информира всички субекти на данни за дейностите си, свързани с обработването на личните им данни, и за правата им във връзка с дадена процедура, включително с информация за потенциални ограничения на тези права. Информацията обхваща правата, които може да бъдат ограничени, причините и потенциалния срок.

2.   При спазване на разпоредбите на параграф 3, Службата гарантира, когато е приложимо, че субектите на данни са информирани индивидуално по подходящ начин. Службата може също да ги информира индивидуално за правата им, свързани с настоящи или бъдещи ограничения.

3.   Всяко ограничение, предприето от Службата, се прилага единствено за защита на целите, изброени в член 25, параграф 1 от Регламент (ЕС) 2018/1725:

4.   По-специално, когато Службата налага ограничения в контекста на:

5.   Всяко ограничение трябва да бъде необходимо и пропорционално, като се имат предвид по-специално рисковете за правата и свободите на субектите на данни, и е съобразено със същността на основните права и свободи в демократичното общество.

Ако се обмисля налагане на ограничение, трябва да бъде извършена проверка на необходимостта и пропорционалността въз основа на настоящите правила. Това се документира чрез записка за вътрешна оценка за целите на отчетността, което се прави поотделно за всеки случай. Проверката трябва да се извърши и в контекста на преразглеждане на налагането на ограничение.

Ограниченията се отменят веднага след като обосноваващите ги обстоятелства вече не са приложими. По-специално, когато се счита, че с упражняването на ограничено право вече не би се отменил ефектът на наложеното ограничение или то не би имало неблагоприятно въздействие върху правата или свободите на други субекти на данни.

6.   Освен това, от Службата може да се изиска да обмени лични данни на субекти на данни със служби на Комисията или други институции, органи, агенции и служби на Съюза, компетентни органи на държави членки или други компетентни органи от трети страни или международни организации, в т.ч.:

Когато обменът на лични данни е иницииран от друг орган, Службата не налага ограничение, а свързаната със случая информация, включително личните данни, се заличава или анонимизира от Службата след предаване на поисканите данни на съответния орган.

7.   Регистрите за ограниченията и, където е приложимо, документите, които съдържат съответните фактически и правни аспекти, се предоставят при поискване на Европейския надзорен орган по защита на данните.

1.   Службата уведомява своевременно своето длъжностно лице за защита на данните (ДЛЗД) всеки път, когато администраторът ограничава прилагането на правата на субектите на данни, премахва ограничението или преразглежда срока на ограничението в съответствие с настоящото решение. Администраторът предоставя на ДЛЗД достъп до регистъра, съдържащ оценката на необходимостта и пропорционалността на ограничението, и документира в регистъра датата, на която е уведомил длъжностното лице за защита на данните.

2.   ДЛЗД може в писмен вид да изиска от администратора да преразгледа прилагането на ограниченията. Администраторът уведомява ДЛЗД относно резултата от искането за преразглеждане.

3.   Участието на ДЛЗД в процедурата по ограничаване, включително обмена на информация, се документира в подходяща форма.

1.   В надлежно обосновани случаи и при условията, определени в настоящото Решение, предоставянето на информация може да бъде ограничено от администратора, когато това е необходимо и пропорционално, в контекста на операциите по обработване, предвидени в член 1, параграф 2 от настоящото решение. По-специално, предоставянето на информация може да бъде отложено, пропуснато или отказано, ако това би премахнало ефекта от операцията по обработване.

2.   Когато Службата изцяло или частично ограничава предоставянето на информация, посочено в параграф 1, тя документира причините за ограничението, както и оценката на необходимостта, пропорционалността и продължителността на ограничението в записка за вътрешна оценка.

3.   Ограничението, посочено в параграф 1, продължава да се прилага, докато причините за него продължават да са валидни.

Когато причините за ограничението вече не са приложими, Службата предоставя информация на субекта на данните за основните причини за ограничението. В същото време Службата информира субекта на данните за възможността за подаване на жалба до Европейския надзорен орган по защита на данните или за търсене на защита по съдебен ред пред Съда на Европейския съюз.

4.   Службата преразглежда прилагането на ограничението най-малко веднъж годишно и при приключване на съответната процедура. След това администраторът разглежда необходимостта от продължаване на всяко едно ограничение на годишна основа.

1.   В надлежно обосновани случаи и при спазване на условията, определени в настоящото решение, правото на достъп, коригиране, заличаване и ограничаване на обработването може да бъде ограничено от администратора, когато това е необходимо и пропорционално, в контекста на операциите по обработване, предвидени в член 1, параграф 2 от настоящото решение. Разпоредбите в настоящия член 6 не се прилагат за правото на достъп до медицински данни и/или досиета, за което изрично са предвидени конкретни правила съгласно член 7 по-долу.

2.   Когато субектите на данни поискат да упражнят правото си на достъп, коригиране, заличаване и ограничаване на обработването във връзка с личните им данни, обработвани в контекста на един или повече конкретни случаи или във връзка с определена операция по обработване, Службата ограничава оценката си на искането единствено до тези лични данни.

3.   Когато ограничава изцяло или частично правото на достъп, коригиране, заличаване и ограничаване на обработването, Службата предприема следните стъпки:

В съответствие с член 25, параграф 8 от Регламент (ЕС) 2018/1725, предоставянето на информация, посочено в буква а), може да бъде отложено, пропуснато или отказано, ако това би премахнало ефекта от ограничението.

4.   Службата преразглежда прилагането на ограничението на правата на субектите на данни най-малко веднъж годишно и при приключване на съответната процедура. След това, по искане на субектите на данни, администраторът преразглежда необходимостта от продължаване на ограничението.

1.   Ограничаването на правото на достъп на субектите на данни до техните медицински данни и/или досиета изисква специфични разпоредби, които са определени в настоящия член.

2.   При спазване на параграфите на този член по-долу, Службата може да ограничава правото на субекта на данните на пряк достъп до медицински данни и/или досиета от психологичен или психиатричен характер, свързани с него и обработвани от Службата, когато достъпът до такива данни има вероятност да представлява риск за здравето на субекта на данните. Това ограничение е пропорционално на строго необходимото за защита на субекта на данните.

3.   Достъпът до информацията, посочена в параграф 2, се предоставя на лекар по избор на субекта на данните.

4.   В тези случаи, при поискване, Медицинската служба възстановява на субекта на данни частта от разходите за медицинска консултация с лекаря, който е получил достъп до медицинските данни и/или досиета, която не е възстановена по общата здравноосигурителна схема (ОЗОС). Възстановяването не трябва да превишава разликата между лимита, предвиден в общите изпълнителни разпоредби, свързани с възстановяването на медицински разноски (5), и сумата, възстановена на субекта на данни от ОЗОС съгласно тези правила.

5.   Такова възстановяване от Медицинската служба се допуска, при условие че преди това не е предоставян достъп за същите данни и/или досиета.

6.   При спазване на параграфите на настоящия член по-долу, Службата може да ограничава, в зависимост от конкретния случай, правото на субекта на данни на достъп до личните му медицински данни и/или досиета, с които разполага, по-специално в случаите, когато упражняването на това право би засегнало неблагоприятно правата и свободите на субекта на данните или на други субекти на данни.

7.   Когато субектите на данни поискат да упражнят правото си на достъп до личните си данни, обработвани в контекста на един или повече конкретни случаи или за конкретна операция по обработване, Службата ограничава оценката си на искането единствено до тези лични данни.

8.   Когато ограничава изцяло или частично правото на достъп на субекти на данни до лични медицински данни и/или досиета, Службата предприема следните стъпки:

В съответствие с член 25, параграф 8 от Регламент (ЕС) 2018/1725, предоставянето на информация, посочено в буква а), може да бъде отложено, пропуснато или отказано, ако това би премахнало ефекта от ограничението.

9.   Ограниченията, посочени в параграфи 2 и 6 по-горе, продължават да се прилагат, докато причините за тях продължават да са валидни. След като причините за ограничението вече не са валидни, администраторът преразглежда необходимостта от продължаване на ограничението по искане на субектите на данни.

1.   В надлежно обосновани случаи и в условията, предвидени в настоящото решение, ако е необходимо и целесъобразно, администраторът може да ограничава правото на съобщаване за нарушение на сигурността на личните данни в контекста на операциите по обработване, предвидени в член 1, параграф 2 от настоящото решение. Това право обаче не трябва да се ограничава в контекста на процедури за разглеждане на случаи на тормоз.

2.   В надлежно обосновани случаи и в условията, предвидени в настоящото решение, ако е необходимо и целесъобразно, администраторът може да ограничава правото на поверителност на електронните съобщения в контекста на операциите по обработване, предвидени в член 1, параграф 2 от настоящото решение.

3.   Член 5, параграфи 2, 3 и 4 от настоящото решение се прилага, когато Службата ограничава уведомяването на субекта на данните за нарушение на сигурността на личните данни или на поверителността на електронните съобщения, посочени в член 35 и 36 от Регламент (ЕС) 2018/1725.