1.   С настоящото решение се определят правила относно условията, при които FRA, в рамките на своите процедури, посочени в параграф 2, може да ограничи прилагането на правата, заложени в членове 14—21, 35 и 36, както и в член 4 от него, като се спазва член 25 от Регламент (ЕС) 2018/1725.

2.   В рамките на административното функциониране на FRA настоящото решение се прилага към операции по обработване на лични данни от Агенцията за целите на: провеждане на административни разследвания, предварителни дисциплинарни производства, дисциплинарни производства, временно отстраняване от длъжност съгласно приложение IX към Правилника за длъжностните лица, дейности, свързани със случаи на потенциални нередности, докладвани на OLAF, обработване на случаи на подаване на сигнали за нередности, (официални и неофициални) процедури, свързани с тормоз, обработване на вътрешни и външни жалби, провеждане на вътрешни и външни одити, разследвания, извършвани от ДЛЗД в съответствие с член 45, параграф 2 от Регламент (ЕС) 2018/1725, разследвания в областта на сигурността (на ИТ), осъществявани на вътрешно равнище или с външно участие (напр. CERT-EU).

3.   Настоящото решение се прилага също за операциите по обработване на лични данни в случаите, когато FRA участва в дела пред Съда на Европейския съюз, като сезира Съда, като защитава взето решение, което е оспорено пред Съда, или като встъпва в производства, свързани с неговите задачи. В този контекст може да е необходимо FRA да запази поверителността на личните данни, съдържащи се в документи, получени от страните или от встъпилите страни.

4.   Категориите на въпросните данни са категорични данни („обективни“ данни, например данни за самоличност, данни за връзка, данни за професионалната дейност, административна информация, данни, получени от специфични източници, електронни съобщения и пренос на данни) и/или несигурни данни („субективни“ данни, свързани със случая, например разсъждения, данни относно поведението, оценки, данни относно работата и подхода, както и данни, свързани или предоставени във връзка с предмет на процедурата или дейността).

5.   Когато изпълнява задълженията си във връзка с правата на субект на данни съгласно Регламент (ЕС) 2018/1725, FRA преценява дали е приложимо някое от изключенията, предвидени в посочения регламент.

6.   Ограниченията, които са предмет на изложените в настоящото решение условия, може да се прилагат към следните права: предоставяне на информация на субектите на данни, право на достъп, коригиране, изтриване, ограничаване на обработването, съобщаване на субекта на данните за нарушение на сигурността на личните данни или поверителност на съобщаването.

1.   Наличните гаранции за избягване на нарушения на сигурността, изтичане или неразрешено разкриване са следните:

2.   Администратор на операциите по обработване е FRA, представлявана от своя директор, който може да делегира функцията на администратора. Субектите на данни се уведомяват относно упълномощения администратор чрез информацията за политиката за защита на личните данни или чрез регистри, публикувани на уебсайта и/или в интранета на FRA.

3.   Срокът на запазване на личните данни, посочен в член 1, параграф 3, не е по-дълъг от необходимото и е подходящ за целите, за които се обработват данните. Във всички случаи той не е по-дълъг от срока на запазване, посочен в информацията за защитата на данните, декларациите за поверителност или регистрите, посочени в член 5, параграф 1.

4.   В случаите, когато Агенцията обмисля да наложи ограничение, рисковете за правата и свободите на субектите на данни се оценяват по-специално спрямо риска за правата и свободите на други субекти на данни и риска от анулиране на ефекта от разследванията или процедурите на FRA, например чрез унищожаване на доказателства. Рисковете за правата и свободите на субектите на данни засягат главно, но не единствено рискове за репутацията и рискове за правото на защита и правото на изслушване.

1.   Всяко ограничение се прилага от FRA единствено:

2.   Конкретно за целите, описани в точка 1 по-горе, FRA може да прилага ограничения по отношение на личните данни, обменяни със службите на Комисията или други институции, органи, агенции и служби на Съюза, с компетентните органи на държавите членки или трети държави или с международни организации при следните обстоятелства:

Преди да приложи ограничения при обстоятелствата, посочени в букви а) и б) от първа алинея, FRA се консултира със съответните служби на Комисията, институции, органи, агенции, служби на Съюза или компетентните органи на държавите членки, освен ако за FRA не е ясно, че налагането на ограничение е предвидено в един от актовете, посочен в този букви.

3.   Всяко ограничение е необходимо и пропорционално, като се имат предвид рисковете за правата и свободите на субектите на данни, и е съобразено със същността на основните права и свободи в демократичното общество.

4.   Ако се обмисля налагане на ограничение, се извършва тест на необходимостта и пропорционалността въз основа на настоящите правила. Проверката се документира чрез вътрешна бележка за оценка за целите на отчетността за всеки отделен случай.

5.   Ограничението се отменя, когато обосноваващите го обстоятелства вече не се прилагат. По-специално, когато се счита, че с упражняването на ограничено право вече не би се отменил ефектът на наложеното ограничение или то не би имало неблагоприятно въздействие върху правата или свободите на други субекти на данни.

1.   FRA изисква, без ненужно забавяне, участието на ДЛЗД във всички процедури, установени чрез настоящото решение, и гарантира документирането на това участие. Това включва писмено документиране на всички съответни оценки и становища, направени от ДЛЗД относно приложимостта на ограничение за даден случай.

2.   По-конкретно Агенцията уведомява ДЛЗД, без ненужно забавяне, всеки път, когато администраторът ограничава прилагането на правата на субектите на данни или разширява обхвата на ограничението съгласно настоящото решение. Администраторът предоставя на ДЛЗД достъп до регистъра, съдържащ оценката на необходимостта и пропорционалността на ограничението, и документира в регистъра датата, на която е уведомил длъжностното лице за защита на данните.

3.   ДЛЗД може да изиска от администратора в писмен вид да преразгледа прилагането на ограниченията. Администраторът уведомява ДЛЗД относно резултата от искането за преразглеждане.

4.   Администраторът уведомява ДЛЗД, когато ограничението бъде отменено.

1.   В надлежно обосновани случаи и при условията, предвидени в настоящото решение, администраторът може да ограничава правото на информация в контекста на следните операции по обработване:

В съобщенията за защита на данните, декларациите за поверителност или регистрите по смисъла на член 31 от Регламент (ЕС) 2018/1725, публикувани на уебсайта и/или в интранета на Агенцията, от който субектите на данни получават информация за своите права в рамките на дадена процедура, FRA включва информация, свързана с потенциалното ограничаване на тези права. Информацията обхваща правата, които може да бъдат ограничени, причините и потенциален срок.

2.   Без да се засягат разпоредбите на точка 3, когато е пропорционално, FRA също така уведомява, в писмена форма и без ненужно забавяне, индивидуално всички субекти на данни, които се считат за засегнати при конкретната операция по обработване, относно правата им във връзка с настоящите или бъдещите ограничения.

3.   Когато ограничава изцяло или частично предоставянето на информация на субектите на данни, посочени в точка 2, FRA записва причините за ограничението, правното основание в съответствие с член 3 от настоящото решение, както и оценката на необходимостта и пропорционалността на ограничението.

Този документ и, ако е приложимо, документите, съдържащи основните фактологични и правни елементи, се вписват в регистъра. При поискване те се предоставят на Европейски надзорен орган по защита на данните.

4.   Ограничението, посочено в точка 3, продължава да се прилага, докато причините за него продължават да са валидни.

Когато причините за ограничението вече не са приложими, FRA предоставя информация на субекта на данните за основните причини, на които се основава прилагането на ограничението. Същевременно FRA уведомява субекта на данните за правото да подаде жалба до Европейския надзорен орган по защита на данните по всяко време или да потърси защита по съдебен ред пред Съда на Европейския съюз.

FRA преразглежда прилагането на ограничението на всеки шест месеца, считано от приемането му, и при приключване на съответната проверка, процедура или разследване. След това администраторът ежегодно осъществява наблюдение върху необходимостта от запазване на всяко едно ограничение.

1.   В надлежно обосновани случаи и при условията, определени в настоящото решение, правото на достъп може да бъде ограничено от администратора в контекста на следните операции по обработване, когато това е необходимо и целесъобразно:

Когато субектите на данни поискат достъп до личните си данни, обработвани в контекста на един или повече конкретни случаи или за конкретна операция по обработване, в съответствие с член 17 от Регламент (ЕС) 2018/1725, FRA ограничава оценката си на искането единствено до тези лични данни.

2.   Когато ограничава изцяло или частично правото на достъп, посочено в член 17 от Регламент (ЕС) 2018/1725, FRA предприема следните стъпки:

Предоставянето на информацията, посочена в буква а), може да бъде отложено, пропуснато или отказано, ако предоставянето би премахнало ефекта на ограничението в съответствие с член 25, параграф 8 от Регламент (ЕС) 2018/1725.

FRA преразглежда прилагането на ограничението на всеки шест месеца, считано от приемането му, и при приключване на съответното разследване. След това администраторът ежегодно осъществява наблюдение върху необходимостта от запазване на всяко едно ограничение.

3.   Този документ и, ако е приложимо, документите, съдържащи основните фактологични и правни елементи, се вписват в регистъра. При поискване те се предоставят на Европейски надзорен орган по защита на данните.

1.   В надлежно обосновани случаи и в условията, определени в настоящото решение, ако е необходимо и целесъобразно, администраторът може да ограничава правото на коригиране, изтриване и ограничаване в контекста на следните операции по обработване:

2.   Когато ограничава изцяло или частично прилагането на правото на коригиране, изтриване или ограничаване на обработването, посочено в член 18, член 19, параграф 1 и член 20, параграф 1 от Регламент (ЕС) 2018/1725, FRA предприема необходимите стъпки, посочени в член 6, параграф 2 от настоящото решение, и вписва това в регистъра в съответствие с член 6, параграф 3 от него.

1.   При надлежно обосновани случаи и при условията, предвидени в настоящото решение, ако е необходимо и целесъобразно, администраторът може да ограничава правото на съобщаване на нарушение на сигурността на личните данни в контекста на следните операции по обработване:

2.   При надлежно обосновани случаи и при условията, предвидени в настоящото решение, ако е необходимо и целесъобразно, администраторът може да ограничава правото на поверителност на електронните съобщения в контекста на следните операции по обработване:

3.   Когато ограничава съобщаването за нарушение на сигурността на личните данни на субекта на данните или поверителността на електронните съобщения, посочени в членове 35 и 36 от Регламент (ЕС) 2018/1725, FRA посочва и вписва в регистъра причините за ограничението в съответствие с член 5, параграф 3 от настоящото решение. Прилага се член 5, параграф 4 от настоящото решение.