1.   I denne afgørelse fastlægges regler om betingelserne for, hvornår kontoret inden for rammerne af sine behandlingsaktiviteter, der er fastsat i stk. 2, kan begrænse anvendelsen af de rettigheder, der er nedfældet i artikel 4, 14 til 21, 35 og 36 i forordning (EU) 2018/1725, jf. artikel 25 i denne forordning.

2.   Under kontorets administrative drift finder denne afgørelse anvendelse på de behandlingsaktiviteter, som kontoret udfører i forbindelse med administrative undersøgelser, disciplinærsager, whistleblowingprocedurer, (formelle og uformelle) procedurer i sager om chikane, behandling af klager og medicinske data og/eller journaler, interne revisioner, undersøgelser udført af den databeskyttelsesansvarlige i overensstemmelse med artikel 45, stk. 2, i forordning (EU) 2018/1725 og (IT-relaterede) sikkerhedsundersøgelser, der gennemføres internt eller med ekstern deltagelse (f.eks. af CERT-EU).

Denne afgørelse finder anvendelse på behandlingsaktiviteter, der er iværksat og udføres af kontoret, bl.a. før ovennævnte procedurer indledes, under disse procedurer og i forbindelse med, at opfølgningen på udfaldet af disse procedurer overvåges. Den finder også anvendelse, når kontoret uden for dets egne administrative procedurer yder bistand til og samarbejder med OLAF, kompetente myndigheder i medlemsstaterne og/eller andre kompetente myndigheder.

3.   De pågældende datakategorier er hårde data (»objektive« data såsom identifikationsdata, kontaktdata, faglige data, administrative oplysninger, data fra specifikke kilder, elektronisk kommunikations- og trafikdata) og/eller »bløde« data (»subjektive« data, der vedrører sager, såsom argumenter, adfærdsdata, data fra udviklingssamtaler, præstations- og adfærdsdata samt data, der er knyttet til eller fremsat i forbindelse med genstanden for proceduren eller aktiviteten).

4.   Hvis kontoret udfører sine forpligtelser med hensyn til registreredes rettigheder i henhold til forordning (EU) 2018/1725, skal det tage stilling til, om nogen af de undtagelser, der er fastsat i nævnte forordning, finder anvendelse.

5.   Med forbehold for de betingelser, der er fastsat i denne afgørelse, kan begrænsningerne gælde for følgende rettigheder: informering af registrerede, ret til indsigt, berigtigelse, sletning, begrænsning af behandling, underretning af den registrerede om et brud på persondatasikkerheden eller fortrolighed ved elektronisk kommunikation.

1.   Kontoret indfører følgende sikkerhedsforanstaltninger for at forhindre misbrug, ulovlig adgang eller overførsel:

2.   Den dataansvarlige med hensyn til behandlingsaktiviteter er kontoret, der er repræsenteret ved dets administrerende direktør, som kan uddelegere den dataansvarliges funktion. Registrerede skal underrettes om den delegerede dataansvarlige via bekendtgørelser eller optegnelser om databeskyttelse, der offentliggøres på webstedet og/eller kontorets intranet.

3.   Opbevaringsperioden for personoplysninger, som omtalt i artikel 1, stk. 3, må ikke overskride perioden omhandlet i de artikel 3, stk. 1, omtalte databeskyttelsesmeddelelser, privatlivserklæringer eller fortegnelser. Ved udløbet af opbevaringsperioden slettes, anonymiseres eller overføres de sagsrelaterede oplysninger, herunder personoplysninger, til de historiske arkiver.

4.   Hvis kontoret påtænker at gøre en begrænsning gældende, vægtes risikoen for den registreredes grundlæggende rettigheder og frihedsrettigheder, især i forhold til risikoen for andre registreredes grundlæggende rettigheder og frihedsrettigheder og risikoen for at hindre formålet med behandlingsaktiviteten. Risiciene for den registreredes rettigheder og frihedsrettigheder vedrører primært, men er ikke begrænset til, omdømmemæssige risici og risici for retten til forsvar og retten til at blive hørt.

1.   Kontoret offentliggør på sit websted og/eller på intranettet de i artikel 31 i forordning (EU) 2018/1725 omhandlede databeskyttelsesmeddelelser, privatlivserklæringer og/eller fortegnelser for at informere alle registrerede om kontorets aktiviteter, der omfatter behandling af deres personoplysninger samt rettigheder inden for rammerne af en given procedure, herunder information om en potentiel begrænsning af disse rettigheder. Informationen redegør for, hvilke rettigheder der kan begrænses, årsagerne hertil og den potentielle varighed.

2.   Med forbehold af bestemmelserne i stk. 3 sikrer kontoret, når det er relevant, at de registrerede underrettes individuelt i et passende format. Kontoret kan desuden informere dem individuelt om deres rettigheder i forbindelse med aktuelle eller fremtidige begrænsninger.

3.   Enhver begrænsning, som kontoret indfører, må kun anvendes med henblik på at beskytte formålene anført i artikel 25, stk. 1, i forordning (EU) 2018/1725:

4.   Navnlig når kontoret anvender begrænsninger i forbindelse med:

5.   Enhver begrænsning er nødvendig og forholdsmæssig under hensyntagen til risiciene for de registreredes grundlæggende rettigheder og frihedsrettigheder og respekterer kernen i de grundlæggende rettigheder og frihedsrettigheder i et demokratisk samfund.

Hvis det overvejes at pålægge begrænsninger, foretages der en vurdering af nødvendigheden, og om de står i et rimeligt forhold til formålene baseret på de nuværende regler. Af hensyn til ansvarlighed dokumenteres vurderingen gennem en intern vurderingsnote i hvert enkelt tilfælde. Vurderingen udføres også i forbindelse med revision af anvendelsen af en begrænsning.

Begrænsningerne ophæves, så snart de omstændigheder, der begrunder dem, ikke længere gør sig gældende. Især når det vurderes, at udøvelsen af den begrænsede ret ikke længere vil ophæve virkningen af den pålagte begrænsning eller forringe andre registreredes rettigheder eller frihedsrettigheder.

6.   Derudover kan kontoret blive anmodet om at udveksle personoplysninger om registrerede med Kommissionens tjenestegrene eller andre EU-institutioner, -organer, -agenturer og -kontorer, kompetente myndigheder i medlemsstaterne eller andre kompetente myndigheder fra tredjelande eller internationale organisationer, såsom:

Når udveksling af personoplysninger iværksættes af en anden myndighed, anvender kontoret ikke nogen begrænsning, og sagsrelaterede oplysninger, herunder personoplysninger, slettes eller anonymiseres af kontoret efter overførsel af de anmodede oplysninger til den pågældende myndighed.

7.   Fortegnelserne om begrænsningerne og i givet fald de dokumenter, der indeholder de underliggende faktuelle og juridiske forhold, stilles efter anmodning til rådighed for Den Europæiske Tilsynsførende for Databeskyttelse.

1.   Kontoret underretter uden unødig forsinkelse kontorets databeskyttelsesansvarlige (»den databeskyttelsesansvarlige«), når den dataansvarlige begrænser anvendelsen af de registreredes rettigheder, ophæver begrænsningen eller reviderer varigheden af begrænsningen i overensstemmelse med denne afgørelse. Den dataansvarlige giver den databeskyttelsesansvarlige adgang til fortegnelsen, som indeholder en vurdering af, om begrænsningen er nødvendig og forholdsmæssig, og dokumenterer den dato, den databeskyttelsesansvarlige underrettes.

2.   Den databeskyttelsesansvarlige kan skriftligt anmode den dataansvarlige om på ny at gennemgå anvendelsen af begrænsningerne. Den dataansvarlige underretter skriftligt den databeskyttelsesansvarlige om udfaldet af den fornyede gennemgang, der anmodes om.

3.   Inddragelsen af den databeskyttelsesansvarlige i begrænsningsproceduren, herunder udveksling af oplysninger, skal dokumenteres på en hensigtsmæssig måde.

1.   I behørigt begrundede tilfælde og under de i denne afgørelse anførte omstændigheder kan den dataansvarlige, når det er nødvendigt og forholdsmæssigt, begrænse levering af oplysninger inden for rammerne af behandlingsaktiviteterne omhandlet i artikel 1, stk. 2, i denne afgørelse. Levering af oplysninger kan navnlig udsættes, udelades eller afvises, hvis den ville ophæve virkningen af behandlingsaktiviteten.

2.   Hvis kontoret helt eller delvist begrænser levering af oplysninger, som omtalt i stk. 1, skal det i en intern vurdering også notere begrundelserne for begrænsningen samt komme med en vurdering af nødvendigheden og forholdsmæssigheden af begrænsningen og af varigheden heraf.

3.   Den i stk. 1 omhandlede begrænsning finder fortsat anvendelse, så længe begrundelsen herfor fortsat er til stede.

Hvis begrundelsen for begrænsningen ikke længere er til stede, underretter kontoret den registrerede om de vigtigste bevæggrunde for begrænsningen. Samtidig underretter kontoret den registrerede om muligheden for at indgive en klage til Den Europæiske Tilsynsførende for Databeskyttelse eller indbringe sagen for Den Europæiske Unions Domstol.

4.   Kontoret tager anvendelsen af begrænsningen op til revision mindst én gang om året og ved afslutningen af den pågældende procedure. Derefter overvåger den dataansvarlige på årsbasis, om det er nødvendigt at opretholde begrænsningerne.

1.   I behørigt begrundede tilfælde og under de i denne afgørelse anførte omstændigheder kan den dataansvarlige, når det er nødvendigt og forholdsmæssigt, begrænse retten til indsigt, berigtigelse, sletning og begrænsning af behandlingen, inden for rammerne af de i artikel 1, stk. 2, i denne afgørelse omhandlede behandlingsaktiviteter. Bestemmelserne i denne artikel 6 finder ikke anvendelse på retten til indsigt i medicinske data og/eller journaler, som er reguleret af specifikke regler, der er udtrykkeligt nævnt i artikel 7 nedenfor.

2.   Når registrerede anmoder om udøvelse af deres ret til indsigt, berigtigelse, sletning og begrænsning af behandling af deres personoplysninger, der behandles i forbindelse med én eller flere specifikke sager eller i forbindelse med en bestemt behandlingsaktivitet, skal kontoret begrænse sin vurdering af anmodningen til kun sådanne personoplysninger.

3.   Hvis kontoret helt eller delvist begrænser retten til indsigt, berigtigelse, sletning eller begrænsning af behandling, træffer det følgende skridt:

I overensstemmelse med artikel 25, stk. 8, i forordning (EU) 2018/1725 kan den i litra a) omtalte underretning udsættes, udelades eller afvises, hvis den ville ophæve virkningen af begrænsningen.

4.   Kontoret tager anvendelsen af begrænsningen af den registreredes rettigheder op til revision mindst én gang om året og ved afslutningen af den pågældende procedure. Efterfølgende skal den dataansvarlige efter anmodning fra en registreret revidere behovet for at opretholde begrænsningen.

1.   Begrænsning af registreredes ret til indsigt i deres medicinske data og/eller journaler kræver særlige bestemmelser, der er fastsat i denne artikel.

2.   Med forbehold af følgende stykker i denne artikel kan kontoret begrænse registreredes ret til direkte indsigt i personlige medicinske data og/eller journaler af psykologisk eller psykiatrisk art om dem, som behandles af kontoret, hvis adgang til sådanne oplysninger sandsynligvis vil udgøre en risiko for den registreredes helbred. Denne begrænsning skal stå i et rimeligt forhold til, hvad der er strengt nødvendigt for at beskytte den registrerede.

3.   Indsigt i de oplysninger, der er omhandlet i stk. 2, gives til en læge, som er udpeget af den registrerede.

4.   I sådanne tilfælde skal Lægetjenesten efter anmodning godtgøre den registrerede den del af udgifterne til den lægelige konsultation med den læge, der har fået indsigt i medicinske data og/eller journaler, som ikke er blevet godtgjort af den fælles sygeforsikringsordning. Godtgørelsen må ikke overstige differencen mellem det loft, der er fastsat i de almindelige gennemførelsesbestemmelser for godtgørelse af lægeudgifter (5) og beløbet godtgjort til den registrerede af den fælles sygeforsikringsordning i henhold til disse regler.

5.   En sådan godtgørelse fra Lægetjenesten er betinget af, at der ikke allerede er givet adgang til de samme oplysninger og/eller journaler.

6.   Med forbehold af stykkerne nedenfor i denne artikel kan kontoret efter en konkret og individuel vurdering begrænse en registrerets ret til indsigt i dennes personlige medicinske data og/eller journaler i kontorets besiddelse, navnlig hvis udøvelsen af denne ret kan påvirke den registreredes eller andre registreredes rettigheder og frihedsrettigheder.

7.   Hvis registrerede anmoder om udøvelse af deres ret til indsigt i deres personoplysninger, der behandles i forbindelse med en eller flere bestemte sager eller i forbindelse med en bestemt behandlingsaktivitet, begrænser kontoret sin vurdering af anmodningen udelukkende til sådanne personoplysninger.

8.   Hvis kontoret, helt eller delvist, begrænser en registrerets ret til indsigt i personlige medicinske data og/eller journaler, tager det følgende skridt:

I overensstemmelse med artikel 25, stk. 8, i forordning (EU) 2018/1725 kan den i litra a) omtalte underretning udsættes, udelades eller afvises, hvis den ville ophæve virkningen af begrænsningen.

9.   Begrænsninger omhandlet i stk. 2 og 6 finder fortsat anvendelse, så længe begrundelsen herfor er til stede. Når bevæggrundene for en begrænsning ikke længere er relevante, skal den dataansvarlige efter anmodning fra en registreret revidere behovet for at opretholde begrænsningen.

1.   Den dataansvarlige kan i behørigt begrundede tilfælde og på de betingelser, der er fastsat i denne afgørelse, begrænse retten til underretning om et brud på persondatasikkerheden, for så vidt det er nødvendigt og forholdsmæssigt i forbindelse med behandlingsaktiviteterne i artikel 1, stk. 2, i denne afgørelse. Denne ret må dog ikke begrænses i forbindelse med procedurer for behandling af chikane.

2.   Den dataansvarlige kan i behørigt begrundede tilfælde og på de betingelser, der er fastsat i denne afgørelse, begrænse retten til fortroligheden af elektronisk kommunikation, for så vidt det er nødvendigt og forholdsmæssigt i forbindelse med behandlingsaktiviteterne i artikel 1, stk. 2, i denne afgørelse.

3.   Artikel 5, stk. 2, 3 og 4, i denne afgørelse finder anvendelse, hvis kontoret begrænser underretningen af et brud på persondatasikkerheden til en registreret eller fortroligheden af elektronisk kommunikation, som omhandlet i artikel 35 og 36 i forordning (EU) 2018/1725.