1.   Tímto rozhodnutím se stanoví předpisy týkající se podmínek, za nichž může agentura v rámci svých řízení uvedených v odstavci 2 omezit uplatňování práv zakotvených v článcích 14 až 21, 35 a 36, jakož i v článku 4 nařízení (EU) 2018/1725, a to v souladu s článkem 25 tohoto nařízení.

2.   V rámci správního fungování agentury platí toto rozhodnutí pro operace zpracování osobních údajů provedené agenturou pro účely: provádění správních šetření, disciplinárních řízení, předběžných činností souvisejících s případy možných nesrovnalostí oznámených úřadu OLAF, projednávání případů whistleblowingu, (formálních a neformálních) řízení v případech obtěžování, vyřizování interních a externích stížností, provádění interních auditů, vyšetřování prováděných pověřencem pro ochranu osobních údajů v souladu s čl. 45 odst. 2 nařízení (EU) 2018/1725, vyšetřování (IT) bezpečnosti prováděných interně nebo se zapojením externích subjektů (např. skupiny CERT-EU), vymáhání občanskoprávních nároků, jakož i vyřizování žádostí o přístup k vlastní zdravotnické dokumentaci.

3.   Dotčenými kategoriemi údajů jsou „tvrdé“ údaje („objektivní“ údaje, jako jsou údaje o totožnosti, kontaktní údaje, profesní údaje, správní podrobnosti, údaje získané ze zvláštních zdrojů, elektronická komunikace a provozní údaje) a/nebo „měkké“ údaje („subjektivní“ údaje týkající se daného případu, např. odůvodnění, údaje o chování, hodnocení, údaje o výkonu a jednání a údaje související nebo předložené v souvislosti s předmětem řízení nebo činnosti).

4.   V případech, kdy agentura vykonává své povinnosti s ohledem na práva subjektu údajů podle nařízení (EU) 2018/1725, zváží, zda se neuplatní kterákoliv z výjimek uvedených v tomto nařízení.

5.   V závislosti na podmínkách stanovených v tomto rozhodnutí mohou platit omezení pro tato práva: poskytování informací subjektům údajů, právo na přístup, opravu, výmaz, omezení zpracování, oznamování případů porušení zabezpečení osobních údajů subjektu údajů a důvěrnost komunikace.

1.   Jsou zavedeny tyto záruky, aby se předešlo porušení zabezpečení osobních údajů, únikům údajů či jejich neoprávněnému zpřístupnění:

2.   Správcem operací zpracování je agentura, zastoupená svým výkonným ředitelem, který může funkci správce delegovat. Subjekty údajů jsou informovány delegovaným správcem formou prohlášení o ochraně osobních údajů nebo prostřednictvím záznamů zveřejněných na internetových stránkách a/nebo na intranetu agentury.

3.   Období uchovávání osobních údajů uvedených v čl. 1 odst. 3 nesmí být delší, než je nezbytné a vhodné pro účely, pro něž se údaje zpracovávají. Každopádně však nesmí být delší než období uchovávání uvedené v prohlášení o ochraně osobních údajů nebo v záznamech podle čl. 5 odst. 1.

4.   Pokud agentura uvažuje o použití omezení, zváží riziko pro práva a svobody subjektu údajů, zejména ve srovnání s rizikem pro práva a svobody jiných subjektů údajů a rizikem maření účinku vyšetřování nebo řízení vedených agenturou, například formou likvidace důkazů. Rizika pro práva a svobody subjektu údajů se týkají především, ale nikoliv výlučně, rizik poškození dobré pověsti a rizik spojených s právem na obhajobu a právem být vyslechnut.

1.   Veškerá omezení použije agentura pouze k zabezpečení:

2.   Jako zvláštní případ účelů uvedených v odstavci 1 výše může agentura použít omezení v souvislosti s osobními údaji vyměněnými s útvary Komise nebo jinými orgány, institucemi a jinými subjekty Unie, příslušnými orgány členských států nebo třetích zemí nebo mezinárodními organizacemi, a to za těchto okolností:

Před použitím omezení za okolností uvedených v písm. a) a b) prvního pododstavce konzultuje agentura příslušné útvary Komise, orgány, instituce a jiné subjekty Unie nebo příslušné orgány členských států, ledaže je agentuře zjevné, že použití omezení je stanoveno jedním z aktů uvedených v těchto písmenech.

3.   Všechna omezení musí být nezbytná a přiměřená vzhledem k rizikům pro práva a svobody subjektů údajů a musí dodržovat podstatu základních práv a svobod v demokratické společnosti.

4.   Zvažuje-li se použití omezení, provede se test nezbytnosti a přiměřenosti na základě těchto předpisů. Test se v každém jednotlivém případě zdokumentuje prostřednictvím oznámení o interním posuzování za účelem vyvození odpovědnosti.

5.   Omezení se zruší, jakmile pominou okolnosti, které tato omezení odůvodňují. Zejména pak v případě, že se má za to, že uplatňování omezeného práva by již nemařilo účinek uloženého omezení nebo by nepříznivě neovlivňovalo práva nebo svobody jiných subjektů údajů.

1.   Agentura neprodleně informuje svého pověřence pro ochranu osobních údajů, pokud správce omezí uplatňování práv subjektů údajů nebo prodlouží platnost omezení, a to v souladu s tímto rozhodnutím. Správce poskytne pověřenci pro ochranu osobních údajů přístup k záznamům obsahujícím posouzení nezbytnosti a přiměřenosti omezení a zdokumentuje do záznamu datum informování pověřence pro ochranu osobních údajů.

2.   Pověřenec pro ochranu osobních údajů může písemně požádat správce, aby přezkoumal použití omezení. Správce písemně informuje pověřence pro ochranu osobních údajů o výsledku požadovaného přezkumu.

3.   Správce v případě zrušení omezení informuje pověřence pro ochranu osobních údajů.

1.   V řádně odůvodněných případech a za podmínek stanovených v tomto rozhodnutí může správce omezit právo na informace v souvislosti s těmito operacemi zpracování:

Agentura v prohlášeních o ochraně osobních údajů nebo v záznamech ve smyslu článku 31 nařízení (EU) 2018/1725 zveřejněných na jejích internetových stránkách a/nebo na intranetu, kde informuje subjekty údajů o jejich právech v rámci daného řízení, uvede informace související s možným omezením těchto práv. Součástí informací je i to, která práva mohou být omezena, důvody a případná délka trvání.

2.   Aniž jsou dotčena ustanovení odstavce 3, informuje agentura, je-li to přiměřené, jednotlivě všechny subjekty údajů, o nichž se domnívá, že jsou dotčenými osobami v rámci konkrétní operace zpracování, neprodleně a písemně o jejich právech v souvislosti se stávajícími a budoucími omezeními.

3.   Pokud agentura zcela nebo částečně omezí poskytování informací subjektům údajů, jak je uvedeno v odstavci 2, zaznamená důvody omezení a právní základ v souladu s článkem 3 tohoto rozhodnutí, včetně posouzení nezbytnosti a přiměřenosti omezení.

Je třeba vložit do rejstříku záznam a případně dokumenty obsahující věcné a právní prvky, z nichž omezení vychází. Na žádost se zpřístupní evropskému inspektorovi ochrany údajů.

4.   Omezení uvedené v odstavci 3 platí, dokud budou platit důvody, které jeho platnost odůvodňují.

Pokud důvody omezení již neplatí, agentura poskytne subjektu údajů informace o hlavních důvodech, na nichž je použití omezení založeno. Agentura současně informuje subjekt údajů o právu kdykoliv podat stížnost u evropského inspektora ochrany údajů nebo žádat o soudní ochranu u Soudního dvora Evropské unie.

Agentura přezkoumá použití omezení každých šest měsíců ode dne přijetí omezení a při uzavření příslušného šetření, řízení nebo vyšetřování. Následně správce každých šest měsíců ověří, zda je nutné nadále uplatňovat dané omezení.

1.   V řádně odůvodněných případech a za podmínek stanovených v tomto rozhodnutí může správce omezit právo na přístup k osobním údajům, pokud je to nezbytné a přiměřené, v souvislosti s těmito operacemi zpracování:

Pokud subjekty údajů požádají o přístup ke svým osobním údajům zpracovávaným v souvislosti s jedním nebo více konkrétními případy nebo ke konkrétní operaci zpracování v souladu s článkem 17 nařízení (EU) 2018/1725, omezí agentura posouzení žádosti pouze na tyto osobní údaje.

2.   Pokud agentura zcela nebo částečně omezí právo na přístup uvedené v článku 17 nařízení (EU) 2018/1725, podnikne tyto kroky:

Opatření uložená v souvislosti s přístupem k vlastní zdravotnické dokumentaci se týkají pouze žádostí o přímý přístup k osobní zdravotnické dokumentaci psychologické nebo psychiatrické povahy, pokud by přístup k těmto údajům pravděpodobně představoval riziko pro zdraví subjektu údajů. Toto omezení musí být přiměřené tomu, co je pro ochranu subjektů údajů nezbytně nutné. Přístup k těmto informacím poskytne zprostředkující lékař, kterého si subjekt údajů zvolí. Tento lékař by měl mít přístup ke všem informacím a pravomoc sám rozhodovat o tom, jak bude subjektu údajů poskytnut přístup a jaký přístup mu bude poskytnut.

Poskytnutí informací uvedených v písmenu a) lze odložit, neprovést nebo odepřít, pokud by mařilo účinek omezení uloženého podle čl. 25 odst. 8 nařízení (EU) 2018/1725.

Agentura přezkoumá použití omezení každých šest měsíců ode dne přijetí omezení a při uzavření příslušného šetření. Následně správce každých šest měsíců ověří, zda je nutné nadále uplatňovat dané omezení.

3.   Je třeba vložit do rejstříku záznam a případně dokumenty obsahující věcné a právní prvky, z nichž omezení vychází. Na žádost se zpřístupní evropskému inspektorovi ochrany údajů.

1.   V řádně odůvodněných případech a za podmínek stanovených v tomto rozhodnutí může správce omezit právo na opravu, výmaz a omezení zpracování, pokud je to nezbytné a přiměřené, v souvislosti s těmito operacemi zpracování:

2.   Pokud agentura zcela nebo částečně omezí uplatňování práva na opravu, výmaz a omezení zpracování uvedeného v článku 18, čl. 19 odst. 1 a čl. 20 odst. 1 nařízení (EU) 2018/1725, podnikne kroky stanovené v čl. 6 odst. 2 tohoto rozhodnutí a vloží do rejstříku záznam v souladu s čl. 6 odst. 3 tohoto rozhodnutí.

1.   V řádně odůvodněných případech a za podmínek stanovených v tomto rozhodnutí může správce omezit právo na oznamování případů porušení zabezpečení osobních údajů, pokud je to nezbytné a přiměřené, v souvislosti s těmito operacemi zpracování:

2.   V řádně odůvodněných případech a za podmínek stanovených v tomto rozhodnutí může správce omezit právo na důvěrnost elektronických komunikací, pokud je to nezbytné a přiměřené, v souvislosti s těmito operacemi zpracování:

3.   Pokud agentura omezí oznamování případů porušení zabezpečení osobních údajů subjektu údajů a důvěrnost elektronických komunikací uvedené v článcích 35 a 36 nařízení (EU) 2018/1725, zaznamená a vloží do rejstříku důvody omezení v souladu s čl. 5 odst. 3 tohoto rozhodnutí. Použije se čl. 5 odst. 4 tohoto rozhodnutí.