1.   Med denne afgørelse fastsættes regler for, under hvilke betingelser agenturet inden for rammerne af sine procedurer, jf. stk. 2, må begrænse anvendelsen af de rettigheder, der er fastsat i artikel 14-21, 35 og 36 samt artikel 4, jf. artikel 25 i forordning (EU) 2018/1725.

2.   Inden for rammerne af agenturets funktionsmåde finder denne afgørelse anvendelse på agenturets behandlingsaktiviteter vedrørende personoplysninger i forbindelse med administrative undersøgelser, disciplinærsager, indledende aktiviteter vedrørende tilfælde af potentielle uregelmæssigheder indberettet til OLAF, behandling af whistleblowingsager, (formelle og uformelle) procedurer for forebyggelse af chikane, behandling af interne og eksterne klager, udførelse af interne revisioner, efterforskninger iværksat af databeskyttelsesrådgiveren i overensstemmelse med artikel 45, stk. 2, i forordning (EU) 2018/1725 og (IT-relaterede) sikkerhedsefterforskninger behandlet internt eller med ekstern deltagelse (f.eks. CERT-EU).

3.   De relevante kategorier af personoplysninger er hårde oplysninger (»objektive« oplysninger såsom identifikationsoplysninger, kontaktoplysninger, faglige oplysninger, administrative oplysninger, oplysninger modtaget fra specifikke kilder, elektronisk kommunikation og trafikoplysninger) og/eller bløde oplysninger (»subjektive« oplysninger i forbindelse med f.eks. ræsonnementer, adfærdsmæssige oplysninger, vurderinger, resultat- og adfærdsoplysninger samt oplysninger relateret til eller fremkommet i forbindelse med genstanden for den pågældende procedure eller aktivitet).

4.   Hvor agenturet udfører sit hverv med hensyn til registreredes rettigheder i henhold til forordning (EU) 2018/1725, skal det overveje, om nogen af de undtagelser, der er fastsat i denne forordning, finder anvendelse.

5.   På de betingelser, der er fastsat i denne afgørelse, kan begrænsningerne gælde følgende rettigheder: oplysninger til de registrerede, ret til indsigt, berigtigelse, sletning, begrænsning af behandling, underretning om et brud på persondatasikkerheden til en registreret eller fortroligheden af kommunikation. I henhold til personalevedtægtens artikel 5, stk. 4, godkendes herved de oversigter, som fastlægger ækvivalensen mellem de stillingstyper og de stillingsbetegnelser, der anvendes i forbindelse med EMSA's tjenestemænd og midlertidigt ansatte, og som findes i bilaget til denne afgørelse.

1.   Den dataansvarlige med hensyn til behandlingsaktiviteter er agenturet repræsenteret ved dets administrerende direktør, som kan uddelegere den dataansvarliges funktion. De registrerede informeres om den delegerede dataansvarlige via de databeskyttelsesmeddelelser eller fortegnelser, der offentliggøres på agenturets websted og/eller intranet.

2.   Den opbevaringsperiode for personoplysninger, der er omhandlet i artikel 1, stk. 3, må ikke være længere end det, der er nødvendigt og passende for de formål, hvortil oplysningerne behandles. Den er under ingen omstændigheder længere end den opbevaringsperiode, der fremgår af de databeskyttelsesmeddelelser, privatlivserklæringer eller fortegnelser, der er omhandlet i artikel 5, stk. 1.

3.   Hvor agenturet påtænker at gøre en begrænsning gældende, vægtes risikoen for den registreredes grundlæggende rettigheder og frihedsrettigheder, især i forhold til risikoen for andre registreredes grundlæggende rettigheder og frihedsrettigheder og risikoen for at undergrave agenturets undersøgelser eller procedurer, f.eks. ved at ødelægge beviser. Risiciene for den registreredes grundlæggende rettigheder og frihedsrettigheder vedrører primært, men er ikke begrænset til, omdømmemæssige risici og risici for retten til forsvar og retten til at blive hørt.

1.   Enhver begrænsning må kun anvendes af agenturet med det formål at beskytte:

2.   Som en særlig anvendelse af de i stk. 1 beskrevne formål kan agenturet anvende begrænsninger under følgende omstændigheder:

Inden der anvendes begrænsninger i de tilfælde, som er omtalt i første afsnit, litra a) og b), skal agenturet høre de relevante tjenestegrene i Kommissionen, Unionens institutioner, organer, agenturer, kontorer eller de kompetente myndigheder i medlemsstaterne, medmindre det står klart for agenturet, at anvendelsen af en begrænsning er fastsat i en af de retsakter, der er nævnt i disse bestemmelser.

3.   Enhver begrænsning skal være nødvendig og forholdsmæssig i forhold til de risici, den medfører for de registreredes rettigheder og frihedsrettigheder, og respektere det væsentlige indhold af de grundlæggende rettigheder og frihedsrettigheder i et demokratisk samfund.

4.   Hvis det overvejes at pålægge begrænsninger, foretages der hver 6. (sjette) måned en vurdering af nødvendigheden og forholdsmæssigheden på baggrund af de gældende regler. Af hensyn til ansvarlighed dokumenteres vurderingen gennem en intern vurderingsnote i hvert enkelt tilfælde.

5.   Begrænsningerne ophæves, så snart de betingelser, der berettiger dem, ikke længere gælder. Især når det vurderes, at udøvelsen af den begrænsede ret ikke længere vil ophæve virkningen af den pålagte begrænsning eller forringe andre registreredes rettigheder eller frihedsrettigheder.

1.   Agenturet underretter uden unødig forsinkelse agenturets databeskyttelsesrådgiver, når den dataansvarlige begrænser anvendelsen af de registreredes rettigheder eller forlænger begrænsningen i overensstemmelse med denne afgørelse. Den dataansvarlige giver databeskyttelsesrådgiveren adgang til den fortegnelse, som indeholder en vurdering af nødvendigheden og forholdsmæssigheden af begrænsningen og dokumenterer datoen for underretningen af databeskyttelsesrådgiveren i fortegnelsen.

2.   Databeskyttelsesrådgiveren kan skriftligt anmode den dataansvarlige om at vurdere anvendelsen af begrænsningerne. Den dataansvarlige underretter databeskyttelsesrådgiveren skriftligt om resultatet af den ønskede gennemgang.

3.   Den dataansvarlige underretter databeskyttelsesrådgiveren, når begrænsningen er blevet ophævet.

1.   I behørigt begrundede tilfælde og på de betingelser, der er fastsat i denne afgørelse, kan retten til oplysninger begrænses af den dataansvarlige i forbindelse med følgende behandlingsaktiviteter:

De i artikel 31 i forordning (EU) 2018/1725 omhandlede databeskyttelsesmeddelelser, privatlivserklæringer eller fortegnelser, som agenturet offentliggør på sit websted og/eller intranet for at informere de registrerede om deres rettigheder inden for rammerne af en given procedure, indeholder oplysninger om den potentielle begrænsning af disse rettigheder. Informationen redegør for, hvilke rettigheder der kan begrænses, årsagerne hertil og den potentielle varighed.

2.   Med forbehold af bestemmelserne i stk. 3 underretter agenturet, hvor det er forholdsmæssigt, også enkeltvis alle registrerede, der anses for at være berørt af den konkrete behandlingsaktivitet, uden unødigt ophold og skriftligt om deres rettigheder vedrørende nuværende eller fremtidige begrænsninger.

3.   Hvis agenturet helt eller delvist begrænser formidlingen af oplysninger til de registrerede, der er omhandlet i stk. 2, registrerer det årsagerne til begrænsningen og retsgrundlaget i overensstemmelse med artikel 3 i denne afgørelse, herunder en vurdering af, om begrænsningen er nødvendig og forholdsmæssig.

Fortegnelsen og i givet fald de dokumenter, der indeholder underliggende faktuelle og retlige elementer, registreres. Disse stilles efter anmodning til rådighed for Den Europæiske Tilsynsførende for Databeskyttelse.

4.   Begrænsningen i stk. 3 finder anvendelse, så længe begrundelserne herfor er gældende.

Hvis begrundelsen for begrænsningen ikke længere er til stede, underretter agenturet den registrerede om de vigtigste bevæggrunde, der ligger til grund for anvendelsen af begrænsningen. Agenturet informerer samtidig den registrerede om, at denne til enhver tid har ret til at indgive en klage til Den Europæiske Tilsynsførende for Databeskyttelse eller til at indbringe sagen for Den Europæiske Unions Domstol.

Agenturet gennemgår anvendelsen af begrænsningen hvert halve år fra dens vedtagelse og ved afslutningen af den relevante bevisoptagelse, procedure eller efterforskning. Derefter overvåger den dataansvarlige hvert halve år behovet for at opretholde enhver begrænsning.

1.   I behørigt begrundede tilfælde og på de betingelser, der er fastsat i denne afgørelse, kan retten til indsigt begrænses af den dataansvarlige i forbindelse med følgende behandlingsaktiviteter, hvor det er nødvendigt og forholdsmæssigt:

Hvis de registrerede anmoder om indsigt i deres personoplysninger i forbindelse med en eller flere specifikke sager eller en bestemt behandling i overensstemmelse med artikel 17 i forordning (EU) 2018/1725, begrænser agenturet sin vurdering af anmodningen til kun at omfatte sådanne personoplysninger.

2.   Hvis agenturet helt eller delvist begrænser retten til indsigt som omhandlet i artikel 17 i forordning (EU) 2018/1725, tager det følgende skridt:

Leveringen af information omhandlet i punkt a) kan udskydes, udelades eller afvises, hvis den ville ophæve virkningen af begrænsningen, i overensstemmelse med artikel 25, stk. 8, i forordning (EU) 2018/1725.

Agenturet gennemgår anvendelsen af begrænsningen hvert halve år fra dens vedtagelse og ved afslutningen af den relevante efterforskning. Derefter overvåger den dataansvarlige hvert halve år behovet for at opretholde enhver begrænsning.

3.   Fortegnelsen og i givet fald de dokumenter, der indeholder underliggende faktuelle og retlige elementer, registreres. Disse stilles efter anmodning til rådighed for Den Europæiske Tilsynsførende for Databeskyttelse.

1.   I behørigt begrundede tilfælde og på de betingelser, der er fastsat i denne afgørelse, kan retten til berigtigelse, sletning og begrænsning begrænses af den dataansvarlige i forbindelse med følgende behandlingsaktiviteter, hvor det er nødvendigt og passende:

2.   Hvis agenturet helt eller delvist begrænser anvendelsen af retten til berigtigelse, sletning og begrænsning af behandling, jf. artikel 18, artikel 19, stk. 1, og artikel 20, stk. 1, i forordning (EU) 2018/1725, træffer det de foranstaltninger, der er fastsat i artikel 6, stk. 2, i denne afgørelse, og registrerer fortegnelsen i overensstemmelse med artikel 6, stk. 3, heri. Uanset de ovennævnte foranstaltninger skal enhver begrænsning revurderes i henhold til betingelserne i artikel 3, stk. 4, i denne afgørelse.

1.   I behørigt begrundede tilfælde og på de betingelser, der er fastsat i denne afgørelse, kan retten til underretning om et brud på persondatasikkerheden begrænses af den dataansvarlige i forbindelse med følgende behandlingsaktiviteter, hvor det er nødvendigt og passende:

2.   I behørigt begrundede tilfælde og på de betingelser, der er fastsat i denne afgørelse, kan retten til fortrolighed af elektronisk kommunikation begrænses af den dataansvarlige i forbindelse med følgende behandlingsaktiviteter, hvor det er nødvendigt og passende:

3.   Hvis agenturet indfører begrænsninger i underretningen af den registrerede om et brud på persondatasikkerheden eller fortroligheden af elektronisk kommunikation som omhandlet i artikel 35 og 36 i forordning (EU) 2018/1725, optegner og registrerer det årsagerne til begrænsningen i overensstemmelse med artikel 5, stk. 3, i denne afgørelse. Artikel 5, stk. 4, i denne afgørelse finder anvendelse. Uanset de ovennævnte foranstaltninger skal enhver begrænsning revurderes i henhold til betingelserne i artikel 3, stk. 4, i denne afgørelse.