(1)   Mit diesem Beschluss werden Vorschriften in Bezug auf die Bedingungen festgelegt, unter denen die Agentur im Rahmen ihrer unter Absatz 2 aufgeführten Verfahren gemäß Artikel 25 der Verordnung (EU) 2018/1725 die Anwendung der Rechte beschränken darf, die in den Artikeln 14 bis 21, 35 und 36 sowie in Artikel 4 dieser Verordnung vorgesehen sind.

(2)   Im Rahmen der Tätigkeit der Agentur gilt dieser Beschluss für Vorgänge zur Verarbeitung personenbezogener Daten durch die Agentur zu folgenden Zwecken: Durchführung von Verwaltungsuntersuchungen, Disziplinarverfahren, ersten Maßnahmen im Zusammenhang mit potenziellen, dem OLAF gemeldeten Unregelmäßigkeiten, Verfahren in Bezug auf Meldungen von Missständen (Whistleblowing), (formellen und informellen) Verfahren in Bezug auf Mobbing/Belästigung, Bearbeitung von internen und externen Beschwerden, internen Audits, Untersuchungen durch den Datenschutzbeauftragten in Einklang mit Artikel 45 Absatz 2 der Verordnung (EU) 2018/1725 sowie intern oder mit externer Beteiligung (z. B. CERT-EU) abgewickelte (IT-)Sicherheitsuntersuchungen.

(3)   Die entsprechenden Kategorien personenbezogener Daten umfassen harte Daten („objektive“ Daten wie Identifikationsdaten, Kontaktdaten, berufsbezogene Daten, Verwaltungsdaten, Daten aus bestimmten Quellen, elektronische Kommunikations- und Verkehrsdaten) und/oder weiche Daten („subjektive“ fallbezogene Daten wie Begründungen, verhaltensbezogene Daten, Beurteilungen, Leistungs- und Verhaltensdaten sowie Daten, die sich auf den Gegenstand des Verfahrens oder der Tätigkeit beziehen oder im Zusammenhang mit diesem Gegenstand vorgebracht werden).

(4)   Bei der Wahrnehmung ihrer Aufgaben in Bezug auf die Rechte betroffener Personen gemäß der Verordnung (EU) 2018/1725 prüft die Agentur, ob eine der in dieser Verordnung vorgesehenen Ausnahmen anwendbar ist.

(5)   Vorbehaltlich der in diesem Beschluss genannten Bedingungen können die Beschränkungen für die folgenden Rechte Anwendung finden: Recht auf Unterrichtung der betroffenen Personen, Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Personen oder Vertraulichkeit der Kommunikation. Gemäß Artikel 5 Absatz 4 des Statuts werden die Tabellen zur Festlegung der Äquivalenz zwischen den für Beamte und Bedienstete auf Zeit der EMSA verwendeten Funktionsbezeichnungen und Titel im Anhang zu diesem Beschluss hiermit genehmigt.

(1)   Der für die Verarbeitung Verantwortliche ist die Agentur, vertreten durch ihren Exekutivdirektor, der die Funktion des Verantwortlichen übertragen kann. Betroffene Personen werden über den stellvertretenden Verantwortlichen in Form von auf der Website und/oder im Intranet der Agentur veröffentlichten Datenschutzhinweisen oder -aufzeichnungen unterrichtet.

(2)   Die Aufbewahrungsfrist für die in Artikel 1 Absatz 3 genannten personenbezogenen Daten ist nicht länger als für die Datenverarbeitungszwecke notwendig und angemessen. Sie darf keinesfalls länger als die in den Datenschutzhinweisen, Datenschutzerklärungen oder Verzeichnissen angegebene Aufbewahrungsfrist sein, auf die in Artikel 5 Absatz 1 Bezug genommen wird.

(3)   Wenn die Agentur die Anwendung einer Beschränkung in Betracht zieht, sind die Risiken für die Rechte und Freiheiten der betroffenen Person abzuwägen, insbesondere gegenüber dem Risiko für die Rechte und Freiheiten anderer betroffener Personen sowie dem Risiko, dass die Wirksamkeit der von der Agentur durchgeführten Untersuchungen oder Verfahren zunichtegemacht wird, z. B. durch Vernichtung von Beweismaterial. Die Risiken für die Rechte und Freiheiten der betroffenen Person betreffen in erster Linie jedoch unter anderem Reputationsrisiken und Risiken hinsichtlich der Verteidigungsrechte und des Anspruchs auf rechtliches Gehör.

(1)   Beschränkungen werden von der Agentur nur zu folgenden Zwecken angewandt:

(2)   Im Rahmen einer spezifischen Anwendung zu den in Absatz 1 genannten Zwecken kann die Agentur unter den folgenden Umständen Beschränkungen anwenden:

Vor der Anwendung von Beschränkungen unter den in Unterabsatz 1 Buchstaben a und b genannten Umständen konsultiert die Agentur die zuständigen Dienststellen der Kommission, die Einrichtungen, Organe und sonstigen Stellen der Union oder die zuständigen Behörden der Mitgliedstaaten, es sei denn, für die Agentur ist klar, dass die Anwendung einer Beschränkung in einem der in diesen Buchstaben genannten Rechtsakte vorgesehen ist.

(3)   Etwaige Beschränkungen sind notwendig und stehen in einem ausgewogenen Verhältnis zu den Risiken für Rechte und Freiheiten von betroffenen Personen und achten den Wesensgehalt der Grundrechte und Grundfreiheiten in einer demokratischen Gesellschaft.

(4)   Wird eine Beschränkung in Betracht gezogen, ist deren Notwendigkeit und Verhältnismäßigkeit auf Grundlage der vorliegenden Vorschriften alle 6 (sechs) Monate zu prüfen. Zu Rechenschaftszwecken wird dies von Fall zu Fall mittels einer internen Beurteilungsmitteilung dokumentiert.

(5)   Sobald die die Beschränkungen rechtfertigenden Umstände nicht mehr vorliegen, werden diese aufgehoben. Dies gilt insbesondere, wenn die Wirkung der auferlegten Beschränkung durch die Ausübung des beschränkten Rechts nicht mehr zunichtegemacht wird oder die Rechte oder Freiheiten anderer betroffener Personen dadurch nicht mehr in Mitleidenschaft gezogen werden.

(1)   Die Agentur unterrichtet den Datenschutzbeauftragten der Agentur („DSB“) unverzüglich, wenn der Verantwortliche gemäß diesem Beschluss die Anwendung der Rechte betroffener Personen beschränkt oder die Beschränkung ausweitet. Der Verantwortliche gewährt dem DSB Zugang zu den Aufzeichnungen, die die Beurteilung der Notwendigkeit und Verhältnismäßigkeit der Beschränkung enthalten, und dokumentiert das Datum, an dem der DSB unterrichtet wird, in den Aufzeichnungen.

(2)   Der DSB kann den Verantwortlichen schriftlich dazu auffordern, die Geltung der Beschränkungen zu prüfen. Der Verantwortliche informiert den DSB schriftlich über das Ergebnis der angeforderten Prüfung.

(3)   Der Verantwortliche informiert den DSB, wenn die Beschränkung aufgehoben worden ist.

(1)   In angemessen begründeten Fällen und unter den in diesem Beschluss festgelegten Bedingungen kann das Recht auf Unterrichtung durch den Verantwortlichen im Zusammenhang mit den folgenden Verarbeitungsvorgängen beschränkt werden:

Die Agentur nimmt in die auf ihrer Website und/oder im Intranet veröffentlichten Datenschutzhinweise, Datenschutzerklärungen oder Verzeichnisse im Sinne von Artikel 31 der Verordnung (EU) 2018/1725, die die betroffenen Personen im Rahmen eines bestimmten Verfahrens über ihre Rechte informieren, Informationen über die mögliche Beschränkung dieser Rechte auf. Die Unterrichtung bezieht sich darauf, welche Rechte beschränkt werden können, die Gründe dafür und die mögliche Dauer.

(2)   Unbeschadet der Bestimmungen in Absatz 3 informiert die Agentur auch unverzüglich und schriftlich, sofern dies verhältnismäßig ist, alle betroffenen Personen, die als von den spezifischen Verarbeitungsvorgängen betroffene Personen gelten, einzeln über gegenwärtige oder künftige Beschränkungen ihrer Rechte.

(3)   Wenn die Agentur das in Absatz 2 vorgesehene Recht auf Unterrichtung der betroffenen Personen ganz oder teilweise beschränkt, erfasst sie die Gründe für die Beschränkung und den Rechtsgrund gemäß Artikel 3 dieses Beschlusses, einschließlich einer Bewertung der Notwendigkeit und Verhältnismäßigkeit der Beschränkung.

Die Aufzeichnung und gegebenenfalls die Dokumente, die zugrunde liegende sachliche und rechtliche Elemente enthalten, werden registriert. Sie werden dem Europäischen Datenschutzbeauftragten auf Verlangen zur Verfügung gestellt.

(4)   Die in Absatz 3 erwähnte Beschränkung gilt so lange, wie die sie rechtfertigenden Gründe dafür vorliegen.

Wenn die Gründe für die Beschränkung nicht mehr vorliegen, unterrichtet die Agentur die betroffene Person über die Hauptgründe, auf denen die Anwendung einer Beschränkung beruht. Gleichzeitig teilt die Agentur der betroffenen Person mit, dass sie jederzeit Beschwerde beim Europäischen Datenschutzbeauftragten oder einen gerichtlichen Rechtsbehelf beim Gerichtshof der Europäischen Union einlegen kann.

Die Agentur überprüft die Anwendung der Beschränkung alle sechs Monate ab ihrer Annahme und nach Abschluss der entsprechenden Prüfung, des entsprechenden Verfahrens und der entsprechenden Untersuchung. Danach überwacht der Verantwortliche alle sechs Monate, ob die Aufrechterhaltung der Beschränkung weiterhin notwendig ist.

(1)   In hinreichend begründeten Fällen und unter den in diesem Beschluss festgelegten Bedingungen kann der Verantwortliche das Recht auf Auskunft, sofern dies notwendig und verhältnismäßig ist, im Zusammenhang mit den folgenden Verarbeitungsvorgängen beschränken:

Wenn die betroffene Person gemäß Artikel 17 der Verordnung (EU) 2018/1725 Auskunft über ihre im Rahmen eines oder mehrerer spezifischer Fälle verarbeiteten personenbezogenen Daten oder über einen bestimmten Verarbeitungsvorgang beantragt, beschränkt die Agentur ihre Bewertung des Antrags ausschließlich auf diese personenbezogenen Daten.

(2)   Wenn die Agentur das in Artikel 17 der Verordnung (EU) 2018/1725 vorgesehene Recht auf Auskunft ganz oder teilweise beschränkt, ergreift sie die folgenden Maßnahmen:

Die unter Buchstabe a erwähnte Unterrichtung kann zurückgestellt, unterlassen oder abgelehnt werden, wenn sie die Wirkung der gemäß Artikel 25 Absatz 8 der Verordnung (EU) 2018/1725 angewendeten Beschränkung zunichtemachen würde.

Die Agentur überprüft die Anwendung der Beschränkung alle sechs Monate ab ihrer Annahme und nach Abschluss der entsprechenden Untersuchung. Danach überwacht der Verantwortliche alle sechs Monate, ob die Aufrechterhaltung der Beschränkung weiterhin notwendig ist.

(3)   Die Aufzeichnung und gegebenenfalls die Dokumente, die zugrunde liegende sachliche und rechtliche Elemente enthalten, werden registriert. Sie werden dem Europäischen Datenschutzbeauftragten auf Verlangen zur Verfügung gestellt.

(1)   In hinreichend begründeten Fällen und unter den in diesem Beschluss festgelegten Bedingungen kann der Verantwortliche das Recht auf Berichtigung, Löschung und Einschränkung der Verarbeitung im Rahmen der folgenden Verarbeitungsvorgänge beschränken, sofern dies notwendig und verhältnismäßig ist:

(2)   Wenn die Agentur das in Artikel 18, Artikel 19 Absatz 1 und Artikel 20 Absatz 1 der Verordnung (EU) 2018/1725 vorgesehene Recht auf Berichtigung, Löschung und Einschränkung der Verarbeitung ganz oder teilweise beschränkt, ergreift sie die in Artikel 6 Absatz 2 dieses Beschlusses genannten Maßnahmen und registriert die Aufzeichnung gemäß Artikel 6 Absatz 3 dieses Beschlusses. Unbeschadet der vorstehenden Schritte unterliegt jede Beschränkung einer Überprüfung gemäß den Bedingungen des Artikels 3 Absatz 4 dieses Beschlusses.

(1)   In hinreichend begründeten Fällen und unter den in diesem Beschluss festgelegten Bedingungen kann der Verantwortliche das Recht auf Benachrichtigung über eine Verletzung des Schutzes personenbezogener Daten im Rahmen der folgenden Verarbeitungsvorgänge beschränken, sofern dies notwendig und verhältnismäßig ist:

(2)   In hinreichend begründeten Fällen und unter den in diesem Beschluss festgelegten Bedingungen kann der Verantwortliche das Recht auf Vertraulichkeit der elektronischen Kommunikation beschränken, sofern dies im Rahmen der folgenden Verarbeitungsvorgänge notwendig und verhältnismäßig ist:

(3)   Wenn die Agentur das in den Artikeln 35 und 36 der Verordnung (EU) 2018/1725 genannte Recht auf Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person oder auf Vertraulichkeit der elektronischen Kommunikation beschränkt, erfasst und registriert sie die Gründe hierfür gemäß Artikel 5 Absatz 3 dieses Beschlusses. Artikel 5 Absatz 4 dieses Beschlusses findet Anwendung. Unbeschadet der vorstehenden Schritte unterliegt jede Beschränkung einer Überprüfung gemäß den Bedingungen des Artikels 3 Absatz 4 dieses Beschlusses.