1.   Toto rozhodnutí stanoví pravidla týkající se podmínek, za nichž je úřad oprávněn v rámci svých operací zpracování uvedených v odstavci 2 omezit možnost výkonu práv zakotvených v článcích 4, 14 až 21, 35 a 36 nařízení (EU) 2018/1725 v návaznosti na jeho článek 25.

2.   V rámci správního fungování úřadu se toto rozhodnutí vztahuje na zpracování osobních údajů prováděné úřadem pro účely: správních šetření, disciplinárních řízení, postupu oznamování podezření na protiprávní jednání („whistleblowing“), (formálních a neformálních) postupů v případech obtěžování, vyřizování stížností, zpracovávání údajů o zdravotním stavu a/nebo zdravotních dokumentací, provádění interních auditů, šetření prováděných pověřencem pro ochranu osobních údajů v souladu s čl. 45 odst. 2 nařízení (EU) 2018/1725, šetření zabezpečení systémů informačních technologií prováděných interně nebo se zapojením externích subjektů (např. CERT-EU).

Toto rozhodnutí platí pro operace zpracování prováděné před zahájením výše uvedených řízení, během těchto řízení a během následné kontroly opatření podniknutých v návaznosti na výsledky těchto řízení. Dále se vztahuje na součinnost a spolupráci poskytovanou úřadem mimo rozsah jeho vlastních správních postupů úřadu OLAF, příslušným úřadům členských států a/nebo jiným příslušným úřadům.

3.   Dotčenými kategoriemi údajů jsou „tvrdé“ údaje („objektivní“ údaje, jako jsou údaje o totožnosti, kontaktní údaje, profesní údaje, administrativní údaje, údaje získané ze zvláštních zdrojů, elektronické komunikace a provozní údaje) a/nebo „měkké“ údaje („subjektivní“ údaje týkající se daného případu, např. odůvodnění, údaje o chování, hodnocení, údaje o výkonnosti a jednání a údaje související s předmětem řízení nebo činnosti nebo předložené v souvislosti s ním).

4.   V případech, kdy úřad vykonává své povinnosti v souvislosti s právy subjektu údajů podle nařízení (EU) 2018/1725, zváží, zda nejsou naplněny podmínky pro některou z výjimek uvedených v tomto nařízení.

5.   V závislosti na podmínkách stanovených v tomto rozhodnutí mohou platit omezení v případě těchto práv: poskytování informací subjektům údajů, právo na přístup, opravu, výmaz, omezení zpracování, oznamování případů porušení zabezpečení osobních údajů subjektu údajů a důvěrnost elektronických komunikací.

1.   Úřad zavede následující záruky s cílem zamezit zneužití nebo protiprávnímu zpřístupnění nebo předání údajů:

2.   Správcem operací zpracování je úřad, zastoupený výkonným ředitelem, jenž může funkci správce delegovat. Subjekty údajů jsou informovány delegovaným správcem formou prohlášení o ochraně osobních údajů nebo prostřednictvím záznamů zveřejněných na internetových stránkách a/nebo na intranetu úřadu.

3.   Doba uchovávání osobních údajů podle čl. 1 odst. 3 nesmí být delší, než je uvedeno v prohlášeních o ochraně údajů, prohlášeních o ochraně soukromí nebo záznamech uvedených v čl. 3 odst. 1. Na konci lhůty pro uchovávání údajů musí být informace týkající se dané věci, včetně osobních údajů, vymazány, anonymizovány nebo převedeny do historických archivů.

4.   Pokud úřad uvažuje o uplatnění omezení, je třeba zvážit riziko pro práva a svobody subjektu údajů především s ohledem na riziko pro práva a svobody jiných subjektů údajů a riziko zmaření účelu operace zpracování. Rizika pro práva a svobody subjektu údajů se týkají především, ale nikoliv výlučně ohrožení dobrého jména a práva na obhajobu a práva být vyslechnut.

1.   Úřad zveřejní na svých internetových stránkách a/nebo na intranetu prohlášení o ochraně osobních údajů, prohlášení o ochraně soukromí nebo záznamy podle článku 31 nařízení (EU) 2018/1725, ve kterých bude informovat subjekty údajů o jejich právech v rámci daného řízení a podá i informace související s možným omezením těchto práv. Součástí těchto informací je i to, která práva mohou být omezena, důvody pro toto omezení a případná délka jeho trvání.

2.   S výhradou ustanovení odstavce 3 úřad v příslušných případech zajistí, aby subjekty údajů byly jednotlivě vhodnou formou informovány. Úřad je také může jednotlivě informovat o jejich právech vyplývajících ze současného nebo budoucího omezení.

3.   Omezení zaváděná úřadem mohou být použita jen pro účely vyjmenované v čl. 25 odst. 1 nařízení (EU) 2018/1725:

4.   Zejména pokud úřad zavádí omezení v souvislosti se:

5.   Veškerá omezení musejí být nezbytná a přiměřená s přihlédnutím k rizikům pro práva a svobody subjektů údajů a musejí respektovat podstatu základních práv a svobod v demokratické společnosti.

Zvažuje-li se použití omezení, provede se test nezbytnosti a přiměřenosti na základě těchto pravidel. Test se v každém jednotlivém případě zdokumentuje prostřednictvím oznámení o interním posuzování za účelem vyvození odpovědnosti. Tento test by měl být proveden i v souvislosti s přezkumem uplatňování omezení.

Omezení se zruší, jakmile pominou okolnosti, které tato omezení odůvodňují. Zejména pak v případě, že se má za to, že uplatňování omezeného práva by již nemařilo účinek uloženého omezení nebo by nepříznivě ovlivňovalo práva nebo svobody jiných subjektů údajů.

6.   Úřad může být navíc požádán o výměnu osobních údajů subjektů údajů s útvary Komise nebo jinými orgány, institucemi, agenturami a úřady EU, příslušnými úřady členských států nebo jinými příslušnými úřady ze třetích zemí nebo s mezinárodními organizacemi, včetně případů, kdy:

V případě, že výměnu osobních údajů iniciuje jiný úřad, neuplatní úřad žádné omezení a vymaže nebo anonymizuje informace související s danou věcí, včetně osobních údajů, při předávání vyžádaných údajů tomuto úřadu.

7.   Záznamy o omezeních a případně dokumenty obsahujících podkladové faktické a právní aspekty budou na požádání zpřístupněny evropskému inspektorovi ochrany údajů.

1.   Úřad neprodleně informuje svého pověřence pro ochranu osobních údajů („pověřenec“), pokud správce omezí výkon práv subjektů údajů, zruší dané omezení nebo upraví dobu jeho platnosti v souladu s tímto rozhodnutím. Správce zpřístupní pověřenci záznamy obsahující posouzení nezbytnosti a přiměřenosti omezení a zdokumentuje do záznamu datum, kdy byl pověřenec informován.

2.   Pověřenec je oprávněn písemně požádat správce, aby přezkoumal uplatňování omezení. Správce je povinen písemně informovat pověřence o výsledku vyžádaného přezkumu.

3.   Zapojení pověřence do řízení souvisejícího s omezeními, včetně výměny informací, musí být náležitě zdokumentováno.

1.   V řádně odůvodněných případech a za podmínek stanovených v tomto rozhodnutí je správce oprávněn v případě, že je to nezbytné a přiměřené, omezit poskytování informací v souvislosti s operacemi zpracování podle čl. 1 odst. 2 tohoto rozhodnutí. Zejména je možné pozdržet, neprovést nebo odepřít poskytnutí informací, pokud by jejich poskytnutí mařilo účinek operace zpracování.

2.   Pokud úřad zcela nebo částečně omezí poskytování informací uvedených v odstavci 1, uvede v dokumentu o interním posouzení důvody tohoto omezení, včetně posouzení nezbytnosti a přiměřenosti omezení a jeho doby trvání.

3.   Omezení uvedené v odstavci 1 zůstane v platnosti, dokud budou existovat důvody, které jej opodstatňují.

Jakmile důvody omezení pominou, úřad poskytne subjektu údajů informace o hlavních důvodech, o něž se omezení opíralo. Současně úřad informuje subjekt údajů o možnosti podat stížnost u evropského inspektora ochrany údajů nebo žádat o soudní ochranu u Soudního dvora Evropské unie.

4.   Úřad přezkoumá uplatňování omezení alespoň jednou za rok a na konci příslušného řízení. Potřebu zachovat jakékoli omezení poté monitoruje správce jednou ročně.

1.   V řádně odůvodněných případech a za podmínek stanovených v tomto rozhodnutí je správce oprávněn v případě, že je to nezbytné a přiměřené, omezit právo subjektu údajů na přístup, opravu, výmaz a omezení zpracování v souvislosti s operacemi zpracování podle čl. 1 odst. 2 tohoto rozhodnutí. Ustanovení tohoto článku 6 se nevztahují na právo na přístup k údajům o zdravotním stavu a/nebo zdravotní dokumentaci, pro které jsou výslovně stanoveny zvláštní pravidla podle článku 7 níže.

2.   Pokud subjekty údajů požadují výkon svého práva na přístup, opravu, výmaz a omezení zpracování jejich osobních údajů zpracovaných v souvislosti s jednou nebo několika konkrétními věcmi nebo v souvislosti s konkrétní operací zpracování, úřad omezí své posouzení žádosti pouze na tyto osobní údaje.

3.   Pokud úřad zcela nebo částečně omezí právo na přístup, opravu, výmaz a omezení zpracování podle článku 17 nařízení (EU) 2018/1725, podnikne následující kroky:

V souladu s čl. 25 odst. 8 nařízení (EU) 2018/1725 lze poskytnutí informací uvedených v písmenu a) odložit, neprovést nebo odepřít, pokud by to mařilo účinek omezení.

4.   Úřad bude přezkoumávat uplatňování omezení práv subjektů údajů alespoň jednou za rok a na konci příslušného řízení. Poté správce na žádost subjektů údajů přezkoumá nutnost zachování omezení.

1.   Omezení práva na přístup subjektů údajů k údajům o jejich zdravotním stavu a/nebo zdravotní dokumentaci vyžaduje zvláštní ustanovení, která jsou obsahem tohoto článku.

2.   S výhradou níže uvedených odstavců tohoto článku je úřad oprávněn omezit právo subjektu údajů na přímý přístup k jeho osobním údajům o zdravotním stavu a/nebo zdravotní dokumentaci psychologické nebo psychiatrické povahy, které úřad zpracovává, pokud je pravděpodobné, že přístup k těmto údajům bude představovat riziko pro zdraví subjektu údajů. Toto omezení je přiměřené tomu, co je pro ochranu subjektů údajů nezbytně nutné.

3.   Přístup k informacím uvedeným v odstavci 2 se poskytne lékaři, kterého si subjekt údajů zvolí.

4.   V těchto případech uhradí zdravotní služba subjektu údajů na jeho žádost tu část nákladů na konzultaci s lékařem, jemuž budou zpřístupněny údaje o zdravotním stavu a/nebo zdravotní dokumentace, která mu nebyla uhrazena ze systému společného zdravotního pojištění. Úhrada nesmí přesáhnout rozdíl mezi limitem stanoveným v obecných prováděcích opatřeních pro úhradu léčebných nákladů (5) a částkou uhrazenou subjektu v souladu s těmito pravidly ze systému společného zdravotního pojištění.

5.   Podmínkou této úhrady ze strany zdravotní služby je to, že dosud nebyl poskytnut přístup ke stejným údajům a/nebo dokumentaci.

6.   S výhradou následujících odstavců tohoto článku může úřad v jednotlivých případech omezit právo subjektu údajů na přístup k jeho osobním údajům o zdravotním stavu a/nebo zdravotní dokumentaci, které má k dispozici, zejména pokud by výkon tohoto práva nepříznivě ovlivnil práva a svobody subjektu údajů nebo jiných subjektů údajů.

7.   Pokud subjekty údajů požádají o výkon svého práva na přístup ke svým osobním údajům zpracovávaným v souvislosti s jedním nebo několika konkrétními věcmi nebo ke konkrétní operaci zpracování, omezí se úřad v posuzování této žádosti pouze na tyto osobní údaje.

8.   Pokud úřad zcela nebo částečně omezí právo na přístup k osobním údajům subjektů údajů o jejich zdravotním stavu a/nebo k jejich zdravotní dokumentaci, podnikne následující kroky:

V souladu s čl. 25 odst. 8 nařízení (EU) 2018/1725 lze poskytnutí informací uvedených v písmenu a) odložit, neprovést nebo odepřít, pokud by to mařilo účinek omezení.

9.   Omezení uvedená v odstavcích 2 a 6 výše zůstanou v platnosti, dokud nepominou důvody, které jej opodstatňují. Jakmile důvody pro omezení pominou, správce na žádost subjektů údajů přezkoumá nutnost jeho zachování.

1.   V řádně odůvodněných případech a za podmínek stanovených v tomto rozhodnutí může správce v případě, že je to nezbytné a přiměřené, omezit právo na sdělení případů porušení zabezpečení osobních údajů v souvislosti s operacemi zpracování podle čl. 1 odst. 2 tohoto rozhodnutí. Toto právo ale nesmí být omezeno v souvislosti s řízeními týkajícími se obtěžování.

2.   V řádně odůvodněných případech a za podmínek stanovených v tomto rozhodnutí je správce oprávněn omezit právo na důvěrnost elektronických komunikací, je-li to nezbytné a vhodné v souvislosti se zpracováním podle čl. 1 odst. 2 tohoto rozhodnutí.

3.   Ustanovení čl. 5 odst. 2, 3 a 4 tohoto rozhodnutí se použijí, pokud úřad omezí oznamování porušení zabezpečení osobních údajů subjektu údajů nebo důvěrnost elektronických komunikací podle článků 35 a 36 nařízení (EU) 2018/1725.