(1)   Mit diesem Beschluss werden Vorschriften in Bezug auf die Bedingungen festgelegt, unter denen die EFSA im Rahmen ihrer unter Absatz 2 aufgeführten Verfahren die Anwendung der Rechte beschränken darf, die in den Artikeln 14 bis 21, 35 und 36 sowie in Artikel 4 davon unter Beachtung von Artikel 25 der Verordnung (EU) 2018/1725 vorgesehen sind.

(2)   Im Rahmen der administrativen Tätigkeit der EFSA gilt dieser Beschluss für die Verarbeitungsvorgänge an personenbezogenen Daten durch die Behörde für folgende Zwecke: Durchführung von Verwaltungsuntersuchungen, Disziplinarverfahren, vorläufigen Aktivitäten im Zusammenhang mit potenziellen, dem OLAF gemeldeten Unregelmäßigkeiten, Verfahren in Bezug auf Meldungen von Missständen (Whistleblowing), (formellen und informellen) Verfahren in Bezug auf Mobbing, der Bearbeitung von internen und externen Beschwerden, internen Audits, Untersuchungen durch den Datenschutzbeauftragten gemäß Artikel 45 Absatz 2 der Verordnung (EU) 2018/1725 sowie intern oder mit externer Beteiligung (z. B. CERT-EU) gehandhabten (IT)-Sicherheitsuntersuchungen.

(3)   Die betroffenen Datenkategorien sind harte Daten („objektive“ Daten wie Identifikationsdaten, Kontaktdaten, berufsbezogene Daten, Verwaltungsdaten, Daten aus bestimmten Quellen, elektronische Kommunikations- und Verkehrsdaten) und/oder weiche Daten („subjektive“ fallbezogene Daten wie Beweisführung, verhaltensbezogene Daten, Bewertungen, Leistungs- und Verhaltensdaten sowie Daten, die sich auf den Gegenstand des Verfahrens oder der Tätigkeit beziehen oder im Zusammenhang mit diesem Gegenstand übertragen werden).

(4)   Wenn die EFSA ihre Pflichten bezüglich Rechten Betroffener gemäß Verordnung (EU) 2018/1725 erfüllt, ist zu berücksichtigen, ob etwaige der in dieser Verordnung vorgesehenen Ausnahmen Geltung haben.

(5)   Vorbehaltlich der in diesem Beschluss festgelegten Bedingungen können die Beschränkungen für die folgenden Rechte gelten: Recht auf Unterrichtung der betroffenen Personen, Auskunft zu und Berichtigung von personenbezogenen Daten, Löschung, Einschränkung der Verarbeitung, des Rechts zu Mitteilungen über eine Verletzung des Schutzes personenbezogener Daten an den Betroffenen oder auf Vertraulichkeit der elektronischen Kommunikation.

(1)   Zur Vermeidung von Verletzungen des Schutzes personenbezogener Daten, Datenverlusten oder unbefugtem Zugang zu personenbezogenen Daten bestehen die folgenden Garantien:

(2)   Der für die Verarbeitung Verantwortliche ist die EFSA, vertreten durch ihren geschäftsführenden Direktor, der die Funktion des Verantwortlichen delegieren kann. Betroffene Personen werden über den delegierten Verantwortlichen in Form von Datenschutzhinweisen oder -aufzeichnungen unterrichtet, die auf der Website, im Intranet-Portal und/oder im Dienstleistungskatalog der EFSA veröffentlicht werden.

(3)   Die Aufbewahrungsfrist der in Artikel 1 Absatz 3 genannten personenbezogenen Daten darf nicht länger als erforderlich sein und muss für die Zwecke, zu denen die Daten verarbeitet werden, angemessen sein. Auf jeden Fall ist er nicht länger als der in den Datenschutzhinweisen, Datenschutzerklärungen oder Aufzeichnungen gemäß Artikel 5 Absatz 1 angegebene Speicherungszeitraum.

(4)   Wenn die EFSA einer Beschränkung in Erwägung zieht, werden die Risiken für die Rechte und Freiheiten der betroffenen Personen abgewogen, insbesondere gegen die Risiken für die Rechte und Freiheiten anderer betroffener Personen sowie die Gefahr des Zunichtemachens der Wirkung der von der EFSA durchgeführten Ermittlungen oder Verfahren, z. B. durch Vernichtung von Beweismaterial. Die Risiken für die Rechte und Freiheiten der betroffenen Person betreffen in erster Linie jedoch Reputationsrisiken und Risiken für das Verteidigungsrecht und des Anspruchs auf rechtliches Gehör, ohne darauf beschränkt zu sein.

(1)   Beschränkungen werden von der EFSA nur zu folgenden Zwecken vorgenommen:

(2)   Im Rahmen einer spezifischen Anwendung zu den in Absatz 1 genannten Zwecken kann die EFSA unter den folgenden Umständen Beschränkungen für personenbezogene Daten anwenden, die mit den Dienststellen der Kommission oder anderen Organen, Einrichtungen und sonstigen Stellen der Union, den zuständigen Behörden der Mitgliedstaaten oder Drittländern oder internationalen Organisationen ausgetauscht werden:

Vor der Anwendung von Beschränkungen unter den in den vorstehenden Punkten a) und b) genannten Umständen konsultiert die EFSA die zuständigen Dienststellen der Kommission, die Einrichtungen, Organe und sonstigen Stellen der Union oder die zuständigen Behörden der Mitgliedstaaten, es sei denn, der EFSA ist klar, dass die Anwendung einer Beschränkung durch einen der in diesen Punkten genannten Rechtsakte vorgesehen ist.

(3)   Jede Beschränkung muss eine notwendige und verhältnismäßige Maßnahme darstellen und die Risiken für die Rechte und Freiheiten betroffener Personen und den Wesensgehalt der Grundrechte und -freiheiten in einer demokratischen Gesellschaft achten.

(4)   Wenn die Anwendung einer Beschränkung in Betracht gezogen wird, wird eine Prüfung auf Notwendigkeit und Verhältnismäßigkeit auf der Grundlage der vorliegenden Vorschriften durchgeführt. Zu Rechenschaftszwecken wird dies von Fall zu Fall mittels einer internen Beurteilungsmitteilung dokumentiert.

(5)   Beschränkungen werden aufgehoben, sobald die Umstände, die sie rechtfertigen, nicht mehr gelten, insbesondere wenn davon ausgegangen wird, dass die Ausübung des beschränkten Rechts die Wirksamkeit der verhängten Beschränkung oder die Rechte oder Freiheiten anderer betroffener Personen nicht mehr beeinträchtigt. In diesem Fall werden die Beschränkungen so bald wie möglich und in der Regel innerhalb von fünf Arbeitstagen nach Änderung der rechtlichen oder tatsächlichen Umstände aufgehoben.

(1)   Die EFSA informiert den Datenschutzbeauftragten der EFSA („DSB“) unverzüglich, wenn der für die Verarbeitung Verantwortliche gemäß diesem Beschluss die Anwendung der Rechte betroffener Personen beschränkt oder die Beschränkung verlängert. Der für die Verarbeitung Verantwortliche gewährt dem DSB Zugang zu dem Verzeichnis, das die Bewertung der Notwendigkeit und Verhältnismäßigkeit der Beschränkung enthält, und dokumentiert das Datum, an dem der DSB informiert wurde, in der Auszeichnung.

(2)   Der DSB kann schriftlich von dem für die Verarbeitung Verantwortlichen eine Überprüfung der vorgenommenen Beschränkungen fordern. Der für die Verarbeitung Verantwortliche unterrichtet den DSB schriftlich über das Ergebnis der Überprüfung.

(3)   Der DSB wird von dem für die Verarbeitung Verantwortlichen informiert, wenn die Beschränkung aufgehoben worden ist.

(1)   In hinreichend begründeten Fällen und unter den in diesem Beschluss festgelegten Bedingungen kann das Recht auf Unterrichtung durch den für die Verarbeitung Verantwortlichen im Rahmen der folgenden Verarbeitungsvorgänge beschränkt werden:

Die EFSA nimmt in die auf ihrer Website und/oder im Intranet veröffentlichten Datenschutzhinweise, Datenschutzerklärungen oder Auszeichnungen im Sinne von Artikel 31 der Verordnung (EU) 2018/1725, die die betroffenen Personen im Rahmen eines bestimmten Verfahrens über ihre Rechte informieren, Informationen über die mögliche Beschränkung dieser Rechte auf. Die Informationen umfassen die Frage, welche Rechte beschränkt werden können, die Gründe für solche Beschränkungen sowie ihre potenzielle Dauer.

(2)   Unbeschadet der Bestimmungen in Absatz 3 informiert die EFSA, sofern dies verhältnismäßig ist, alle betroffenen Personen, die als von den spezifischen Verarbeitungsvorgängen betroffene Personen gelten, unverzüglich auch einzeln über gegenwärtige oder künftige Beschränkungen ihrer Rechte schriftlich.

(3)   Wenn die EFSA das in Absatz 2 erwähnte Bereitstellung von Informationen an die Betroffenen ganz oder teilweise beschränkt, zeichnet sie die Gründe für die Beschränkung und den Rechtsgrund gemäß Artikel 3 dieses Beschlusses, einschließlich einer Beurteilung der Notwendigkeit und Verhältnismäßigkeit der Beschränkung auf.

Die Aufzeichnung sowie gegebenenfalls die Dokumente, die die zugrunde liegende sachliche und rechtliche Elemente enthalten, werden registriert. Sie werden dem Europäischen Datenschutzbeauftragten auf Anfrage zur Verfügung gestellt.

(4)   Die in Absatz 3 genannte Beschränkung gilt, solange die Gründe dafür weiterhin vorliegen, und wird so bald wie möglich und in der Regel innerhalb von fünf Arbeitstagen nach der Änderung der rechtlichen oder tatsächlichen Umstände aufgehoben.

Wenn die Gründe für die Beschränkung nicht mehr gelten, informiert die EFSA die betroffene Person über die Hauptgründe, auf denen die Anwendung einer Beschränkung beruht. Gleichzeitig teilt die EFSA der betroffenen Person mit, dass sie jederzeit Beschwerde beim Europäischen Datenschutzbeauftragten oder einen gerichtlichen Rechtsbehelf beim Gerichtshof der Europäischen Union einlegen kann.

Die EFSA überprüft die Anwendung der Beschränkung alle sechs Monate ab ihrer Annahme und nach Abschluss der entsprechenden Prüfung, des entsprechenden Verfahrens und der entsprechenden Untersuchung.

(1)   In hinreichend begründeten Fällen und unter den in diesem Beschluss festgelegten Bedingungen kann das Recht auf Auskunft durch den für die Verarbeitung Verantwortlichen im Rahmen der folgenden Verarbeitungsvorgänge beschränkt werden, sofern dies notwendig und verhältnismäßig ist:

Wenn die betroffene Person gemäß Artikel 17 der Verordnung (EU) 2018/1725 Auskunft über ihre im Rahmen eines oder mehrerer spezifischer Fälle verarbeiteten personenbezogenen Daten oder über einen bestimmten Verarbeitungsvorgang beantragt, beschränkt die EFSA ihre Bewertung des Antrags ausschließlich auf derartige personenbezogene Daten.

(2)   Wenn die EFSA das in Artikel 17 der Verordnung (EU) 2018/1725 vorgesehene Recht auf Auskunft ganz oder teilweise beschränkt, ergreift sie die folgenden Maßnahmen:

Die in Punkt a) erwähnte Unterrichtung kann zurückgestellt, unterlassen oder abgelehnt werden, wenn sie die Wirkung der gemäß Artikel 25 Absatz 8 der Verordnung (EU) 2018/1725 angewendeten Beschränkung zunichtemachen würde.

Die EFSA überprüft die Anwendung der Beschränkung alle sechs Monate ab ihrer Annahme und nach Abschluss der entsprechenden Untersuchung.

(3)   Die Aufzeichnung sowie gegebenenfalls die Dokumente, die die zugrunde liegenden Fakten und die rechtlichen Grundlagen enthalten, werden registriert. Sie werden dem Europäischen Datenschutzbeauftragten auf Anfrage zur Verfügung gestellt.

(1)   In hinreichend begründeten Fällen und unter den in diesem Beschluss festgelegten Bedingungen kann das Recht auf Berichtigung, Löschung und Einschränkung der Verarbeitung durch den für die Verarbeitung Verantwortlichen im Rahmen der folgenden Verarbeitungsvorgänge beschränkt werden, sofern dies notwendig und verhältnismäßig ist:

(2)   Wenn die EFSA das in den Artikeln 18, 19 Absatz 1 und 20 Absatz 1 der Verordnung (EU) 2018/1725 vorgesehene Recht auf Berichtigung, Löschung und Einschränkung der Verarbeitung ganz oder teilweise beschränkt, ergreift sie die in Artikel 6 Absatz 2 dieses Beschlusses genannten Maßnahmen und registriert die Aufzeichnung gemäß Artikel 6 Absatz 3 dieses Beschlusses.

(1)   In hinreichend begründeten Fällen und unter den in diesem Beschluss festgelegten Bedingungen kann das Recht auf Benachrichtigung über eine Verletzung des Schutzes personenbezogener Daten durch den für die Verarbeitung Verantwortlichen im Rahmen der folgenden Verarbeitungsvorgänge beschränkt werden, sofern dies notwendig und verhältnismäßig ist:

(2)   In hinreichend begründeten Fällen und unter den in diesem Beschluss festgelegten Bedingungen kann das Recht auf Vertraulichkeit der elektronischen Kommunikation durch den für die Verarbeitung Verantwortlichen im Rahmen der folgenden Verarbeitungsvorgänge beschränkt werden, sofern dies notwendig und verhältnismäßig ist:

(3)   Wenn die EFSA das in den Artikeln 35 und 36 der Verordnung (EU) 2018/1725 genannte Recht auf Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person oder auf Vertraulichkeit der elektronischen Kommunikation beschränkt, erfasst und registriert sie die Gründe hierfür gemäß Artikel 5 Absatz 3 dieses Beschlusses. Es gilt Artikel 5 Absatz 4 dieses Beschlusses.