1.   Tímto rozhodnutím se stanoví pravidla týkající se podmínek, za nichž může agentura v rámci svých řízení uvedených v odstavci 2 tohoto článku omezit uplatňování práv zakotvených v článcích 14 až 21, 35 a 36, jakož i ve článku 4 nařízení (EU) 2018/1725, a to v souladu s článkem 25 tohoto nařízení.

2.   V rámci správního fungování agentury platí toto rozhodnutí pro operace zpracování osobních údajů provedené agenturou pro účely: provádění správních šetření, kárných řízení, předběžných činností souvisejících s případy možných nesrovnalostí oznámených úřadu OLAF, projednávání případů whistleblowingu, (formálních a neformálních) řízení v případech obtěžování, vyřizování interních a externích stížností, interních auditů, vyšetřování ze strany pověřence pro ochranu osobních údajů v souladu s čl. 45 odst. 2 nařízení (EU) 2018/1725, monitorování velkoobchodních trhů s energií a koordinace činnosti vnitrostátních regulačních orgánů, pokud jde o potenciální porušení nařízení REMIT a vyšetřování (IT) bezpečnosti prováděných interně nebo se zapojením externích subjektů (např. skupiny CERT-EU).

3.   Dotčenými kategoriemi údajů jsou „tvrdé“ údaje („objektivní“ údaje, jako jsou údaje o totožnosti, kontaktní údaje, profesní údaje, správní podrobnosti, údaje získané ze zvláštních zdrojů, elektronická komunikace a provozní údaje) a/nebo „měkké“ údaje („subjektivní“ údaje týkající se daného případu, např. odůvodnění, údaje o chování, hodnocení, údaje o výkonu a jednání a údaje související nebo předložené v souvislosti s předmětem řízení nebo činnosti).

4.   V případech, kdy agentura vykonává své povinnosti s ohledem na práva subjektu údajů podle nařízení (EU) 2018/1725, zváží, zda se neuplatní kterákoliv z výjimek uvedených v tomto nařízení.

5.   V závislosti na podmínkách stanovených v tomto rozhodnutí mohou platit omezení pro tato práva: poskytování informací subjektům údajů, právo na přístup, opravu, výmaz, omezení zpracování, oznamování případů porušení zabezpečení osobních údajů subjektu údajů a důvěrnost komunikace.

1.   Jsou zavedeny tyto záruky, aby se předešlo porušení zabezpečení osobních údajů, únikům údajů či jejich neoprávněnému zpřístupnění:

2.   Správcem operací zpracování je agentura, zastoupená svým ředitelem, který může delegovat funkci správce. Subjekty údajů jsou informovány delegovaným správcem formou oznámení o ochraně údajů nebo prostřednictvím záznamů zveřejněných na internetových stránkách a/nebo na intranetu agentury.

3.   Období uchovávání osobních údajů uvedených v čl. 1 odst. 3 tohoto rozhodnutí nesmí být delší, než je nezbytné a vhodné pro účely, pro něž se údaje zpracovávají. Každopádně však nesmí být delší než období uchovávání uvedené v oznámení o ochraně údajů, prohlášení o ochraně soukromí nebo v záznamech podle čl. 5 odst. 1 tohoto rozhodnutí.

4.   Pokud agentura zvažuje použití omezení, zváží se riziko pro práva a svobody subjektu údajů především ve srovnání s rizikem hrozícím právům a svobodám jiných subjektů údajů a rizikem negativního dopadu na vyšetřování nebo řízení vedená agenturou, například formou likvidace důkazů. Rizika pro práva a svobody subjektu údajů se týkají především, ale nikoliv výlučně rizik ohrožení dobrého jména a rizik spojených s právem na obhajobu a právem být vyslechnut.

1.   Veškerá omezení použije agentura pouze k zabezpečení:

2.   Jako zvláštní případ účelů uvedených v odstavci 1 výše může agentura použít omezení za těchto okolností:

Před použitím omezení za okolností uvedených v písm. a) a b) prvního pododstavce konzultuje agentura příslušné útvary Komise, orgány, instituce a jiné subjekty Unie nebo příslušné orgány členských států, ledaže je agentuře zjevné, že použití omezení je stanoveno jedním z aktů uvedených v těchto písmenech.

3.   Všechna omezení musí být nezbytná a přiměřená vzhledem k rizikům pro práva a svobody subjektů údajů a musí respektovat podstatu základních práv a svobod v demokratické společnosti.

4.   Zvažuje-li se použití omezení, provede se na základě těchto pravidel test nezbytnosti a přiměřenosti. Test se v každém jednotlivém případě zdokumentuje prostřednictvím oznámení o interním posuzování za účelem vyvození odpovědnosti.

5.   Omezení se zruší, jakmile pominou okolnosti, které tato omezení odůvodňují, zejména pak v případě, kdy se má za to, že uplatňování omezeného práva by již nemařilo účinek uloženého omezení nebo by nepříznivě ovlivňovalo práva nebo svobody jiných subjektů údajů.

1.   Agentura neprodleně zapojí svého pověřence pro ochranu osobních údajů během všech příslušných řízení stanovených tímto rozhodnutím a zajistí, aby bylo zapojení pověřence pro ochranu osobních údajů zdokumentováno. To zahrnuje písemné zdokumentování veškerých příslušných posouzení a stanovisek poskytnutých pověřencem pro ochranu osobních údajů, pokud jde o použitelnost omezení v daném případě.

2.   Konkrétně agentura neprodleně informuje pověřence pro ochranu osobních údajů, pokud správce omezí uplatňování práv subjektů údajů nebo prodlouží platnost omezení, a to v souladu s tímto rozhodnutím. Správce poskytne pověřenci pro ochranu osobních údajů přístup k záznamům obsahujícím posouzení nezbytnosti a přiměřenosti omezení a zdokumentuje do záznamu datum informování pověřence pro ochranu osobních údajů.

3.   Pověřenec pro ochranu osobních údajů může správce písemně požádat, aby přezkoumal použití omezení. Správce písemně informuje pověřence pro ochranu osobních údajů o výsledku vyžádaného přezkumu.

4.   Správce v případě zrušení omezení informuje pověřence pro ochranu osobních údajů.

1.   V řádně odůvodněných případech a za podmínek stanovených v tomto rozhodnutí může správce omezit právo na informace v souvislosti s těmito operacemi zpracování:

Agentura v oznámeních o ochraně údajů, prohlášení o ochraně soukromí nebo v záznamech ve smyslu článku 31 nařízení (EU) 2018/1725 zveřejněných na jejích internetových stránkách a/nebo na intranetu, kde informuje subjekty údajů o jejich právech v rámci daného řízení, uvede informace související s možným omezením těchto práv. Informace uvádí, která práva mohou být omezena, důvody a případnou délku platnosti omezení.

2.   Aniž jsou dotčena ustanovení odstavce 3, informuje agentura, je-li to přiměřené, jednotlivě všechny subjekty údajů, o nichž se domnívá, že jsou dotčenými osobami v rámci konkrétní operace zpracování, neprodleně a písemně o jejich právech v souvislosti se současnými a budoucími omezeními.

3.   Pokud agentura zcela nebo částečně omezí poskytování informací subjektům údajů, jak je uvedeno v odstavci 2, zaznamená důvody omezení a právní základ v souladu s článkem 3 tohoto rozhodnutí, včetně posouzení nezbytnosti a přiměřenosti omezení.

Je třeba vložit do rejstříku záznam a případně dokumenty obsahující věcné a právní prvky, z nichž omezení vychází. Ty jsou pak na požádání přístupné evropskému inspektorovi ochrany údajů.

4.   Omezení uvedené v odstavci 3 platí, dokud budou platit důvody, které jeho platnost odůvodňují.

Pokud důvody omezení již neplatí, agentura poskytne informace subjektu údajů o hlavních důvodech, na nichž je použití omezení založeno. Současně agentura informuje subjekt údajů o právu kdykoliv podat stížnost u evropského inspektora ochrany údajů nebo požádat o soudní ochranu u Soudního dvora Evropské unie.

Agentura přezkoumává uplatnění omezení za účelem potvrzení toho, zda se nadále uplatňují skutkové a právní důvody omezení každých šest měsíců od jeho uplatnění a při uzavření příslušného šetření, řízení nebo vyšetřování. Následně správce každých šest měsíců pravidelně sleduje nutnost nadále uplatňovat omezení.

1.   V řádně odůvodněných případech a za podmínek stanovených v tomto rozhodnutí může správce omezit právo na přístup, pokud je to nezbytné a přiměřené, v souvislosti s těmito operacemi zpracování:

Pokud subjekty údajů požádají o přístup ke svým osobním údajům zpracovávaným v souvislosti s jedním nebo více konkrétními případy nebo ke konkrétní operaci zpracování v souladu s článkem 17 nařízení (EU) 2018/1725, omezí agentura posouzení žádosti pouze na tyto osobní údaje.

2.   Pokud agentura zcela nebo částečně omezí právo na přístup uvedené v článku 17 nařízení (EU) 2018/1725, podnikne tyto kroky:

Poskytnutí informací uvedených v písmenu a) lze odložit, neprovést nebo odepřít, pokud by mařilo účinek omezení uloženého podle čl. 25 odst. 8 nařízení (EU) 2018/1725.

Agentura přezkoumává uplatnění omezení za účelem potvrzení toho, zda se nadále uplatňují skutkové a právní důvody omezení každých šest měsíců od jeho uplatnění a při uzavření příslušného vyšetřování. Následně správce každých šest měsíců pravidelně sleduje nutnost nadále uplatňovat omezení.

3.   Je třeba vložit do rejstříku záznam a případně dokumenty obsahující věcné a právní prvky, z nichž omezení vychází. Ty jsou pak na požádání přístupné evropskému inspektorovi ochrany údajů.

1.   V řádně odůvodněných případech a za podmínek stanovených v tomto rozhodnutí může správce omezit právo na opravu, výmaz a omezení zpracování, pokud je to nezbytné a přiměřené, v souvislosti s těmito operacemi zpracování:

2.   Pokud agentura zcela nebo částečně omezí uplatňování práva na opravu, výmaz a omezení zpracování uvedeného v článku 18, čl. 19. odst. 1 a čl. 20 odst. 1 nařízení (EU) 2018/1725, podnikne kroky stanovené v čl. 6 odst. 2 tohoto rozhodnutí. Čl. 6 odst. 3 tohoto rozhodnutí se uplatňuje na veškerá omezení provedená podle tohoto článku.

1.   V řádně odůvodněných případech a za podmínek stanovených v tomto rozhodnutí může správce omezit právo na oznamování případů porušení zabezpečení osobních údajů, pokud je to nezbytné a přiměřené, v souvislosti s těmito operacemi zpracování:

2.   V řádně odůvodněných případech a za podmínek stanovených v tomto rozhodnutí může správce omezit právo na důvěrnost elektronických komunikací, pokud je to nezbytné a přiměřené, v souvislosti s těmito operacemi zpracování:

3.   Pokud agentura omezí oznamování případů porušení zabezpečení osobních údajů subjektu údajů a důvěrnost elektronických komunikací uvedené v článcích 35 a 36 nařízení (EU) 2018/1725, podnikne kroky v souladu s čl. 5 odst. 3 a čl. 5 odst. 4 tohoto rozhodnutí. Čl. 6 odst. 3 tohoto rozhodnutí se uplatňuje na veškerá omezení provedená podle tohoto článku.