(1)   Mit diesem Beschluss werden Vorschriften in Bezug auf die Bedingungen festgelegt, unter denen die Agentur im Rahmen ihrer unter Absatz 2 aufgeführten Verfahren die Anwendung der Rechte beschränken darf, die in den Artikeln 14 bis 21, 35 und 36 sowie in Artikel 4 nach Artikel 25 der Verordnung (EU) 2018/1725 vorgesehen sind.

(2)   Im Rahmen der Verwaltungstätigkeit der FRA gilt dieser Beschluss für Vorgänge der Verarbeitung personenbezogener Daten durch die FRA für folgende Zwecke: Durchführung von Verwaltungsuntersuchungen, Vordisziplinarverfahren, Aussetzungsverfahren auf Grundlage von Anhang IX des Statuts, Maßnahmen im Zusammenhang mit Fällen möglicher Unregelmäßigkeiten, die dem OLAF gemeldet werden, Bearbeitung von Meldungen von Missständen, (formelle und informelle) Verfahren in Bezug auf Belästigung, Bearbeitung interner und externer Beschwerden, Durchführung interner und externer Prüfungen, Untersuchungen durch den Datenschutzbeauftragten gemäß Artikel 45 Absatz 2 der Verordnung (EU) 2018/1725 sowie intern oder extern (z. B. durch das CERT-EU) abgewickelte (IT-)Sicherheitsüberprüfungen.

(3)   Dieser Beschluss gilt auch für die Verarbeitung personenbezogener Daten, wenn die FRA an Rechtssachen vor dem Gerichtshof der Europäischen Union beteiligt ist, d. h., wenn sie eine Rechtssache an ihn verweist, eine von ihr getroffene Entscheidung, die vor dem Gerichtshof angefochten wird, verteidigt oder in Rechtssachen, die ihre Aufgaben betreffen, als Streithelfer dem Rechtsstreit beitritt. In diesem Zusammenhang kann es vorkommen, dass die FRA die Vertraulichkeit personenbezogener Daten in den von den Parteien oder Streithelfern erlangten Dokumenten wahren muss.

(4)   Die entsprechenden Kategorien personenbezogener Daten umfassen harte Daten („objektive“ Daten wie Identifikationsdaten, Kontaktdaten, berufsbezogene Daten, Verwaltungsdaten, Daten aus bestimmten Quellen, elektronische Kommunikations- und Verkehrsdaten) und/oder weiche Daten („subjektive“ fallbezogene Daten wie Begründungen, verhaltensbezogene Daten, Bewertungen, Leistungs- und Verhaltensdaten und Daten, die sich auf den Gegenstand des Verfahrens oder der Tätigkeit beziehen oder im Zusammenhang mit diesem Gegenstand übertragen werden).

(5)   Nimmt die FRA ihre Aufgaben in Bezug auf die Rechte betroffener Personen gemäß der Verordnung (EU) 2018/1725 wahr, prüft sie, ob eine der in dieser Verordnung festgelegten Ausnahmen anwendbar ist.

(6)   Vorbehaltlich der in dem Beschluss festgelegten Bedingungen können die Beschränkungen für die folgenden Rechte gelten: Recht auf Unterrichtung der Betroffenen, Auskunft zu und Berichtigung von personenbezogenen Daten, Löschung, Einschränkung der Verarbeitung, des Rechts zu Mitteilungen über eine Verletzung des Schutzes personenbezogener Daten an den Betroffenen oder Vertraulichkeit von Kommunikationen.

(1)   Verletzungen des Schutzes personenbezogener Daten, Datenverluste oder eine unberechtigte Weitergabe werden durch die folgenden Schutzmaßnahmen verhindert:

(2)   Der für die Verarbeitung Verantwortliche ist die FRA, vertreten durch ihren Direktor, der die Funktion des für die Verarbeitung Verantwortlichen übertragen kann. Betroffene Personen werden im Wege der auf der Website und/oder im Intranet der FRA veröffentlichten Datenschutzhinweisen oder Aufzeichnungen über den für die Verarbeitung Verantwortlichen informiert.

(3)   Die Aufbewahrungsfrist der in Artikel 1 Absatz 3 genannten personenbezogenen Daten darf nicht länger als erforderlich sein und muss für die Zwecke, zu denen die Daten verarbeitet werden, angemessen sein. Sie darf keinesfalls länger sein als die in den Datenschutzhinweisen, Datenschutzerklärungen oder Aufzeichnungen angegebene Aufbewahrungsfrist, die in Artikel 5 Absatz 1 genannt ist.

(4)   Zieht die Agentur eine Beschränkung in Erwägung, werden die Risiken für die Rechte und Freiheiten der betroffenen Person insbesondere gegen die Risiken für die Rechte und Freiheiten anderer betroffener Personen und die Gefahr des Zunichtemachens der Wirkung von Ermittlungen oder Verfahren der FRA beispielsweise durch das Vernichten von Beweismitteln abgewogen. Die Risiken für die Rechte und Freiheiten der betroffenen Person betreffen in erster Linie jedoch Reputationsrisiken und Risiken für das Verteidigungsrecht und des Anspruchs auf rechtliches Gehör, ohne darauf beschränkt zu sein.

(1)   Beschränkungen werden von der FRA nur zu folgenden Zwecken angewandt:

(2)   Im Rahmen einer spezifischen Anwendung zu den in Absatz 1 genannten Zwecken kann die Agentur unter den folgenden Umständen Beschränkungen für personenbezogene Daten anwenden, die mit den Dienststellen der Kommission oder anderen Organen, Einrichtungen und sonstigen Stellen der Union, den zuständigen Behörden der Mitgliedstaaten oder Drittländern oder internationalen Organisationen ausgetauscht werden:

Vor der Anwendung von Beschränkungen unter den in Unterabsatz 1 Buchstabe a und b genannten Umständen konsultiert die FRA die zuständigen Dienststellen der Kommission, die Einrichtungen, Organe und sonstigen Stellen der Union oder die zuständigen Behörden der Mitgliedstaaten, es sei denn, der FRA ist klar, dass die Anwendung einer Beschränkung in einer unter diesen Punkten genannten Rechtsakte festgelegt ist.

(3)   Jede Beschränkung muss im Hinblick auf die Risiken für die Rechte und Freiheiten der betroffenen Personen notwendig und verhältnismäßig sein und den Wesensgehalt der Grundrechte und Grundfreiheiten in einer demokratischen Gesellschaft achten.

(4)   Wird die Anwendung einer Beschränkung in Betracht gezogen, wird eine Prüfung der Notwendigkeit und Verhältnismäßigkeit auf der Grundlage der vorliegenden Vorschriften durchgeführt. Diese ist für die Zwecke der Rechenschaftspflicht auf Einzelfallbasis durch einen internen Bewertungsvermerk zu dokumentieren.

(5)   Beschränkungen werden aufgehoben, sobald die Umstände, die sie rechtfertigen, nicht mehr gelten; insbesondere wenn davon ausgegangen wird, dass die Ausübung des beschränkten Rechts die Wirkung der verhängten Beschränkung nicht mehr zunichtemachen oder die Rechte oder Freiheiten anderer betroffener Personen nicht mehr beeinträchtigen würde.

(1)   Die FRA beteiligt den DSB unverzüglich an allen einschlägigen Verfahren, die in diesem Beschluss festgelegt sind, und stellt sicher, dass die Mitwirkung des DSB dokumentiert wird. Dies umfasst die schriftliche Dokumentation sämtlicher einschlägiger Beurteilungen und Stellungnahmen des DSB in Bezug auf die Anwendbarkeit einer Beschränkung in einem bestimmten Fall.

(2)   Die Agentur unterrichtet den DSB unverzüglich, wenn der Verantwortliche gemäß diesem Beschluss die Anwendung der Rechte betroffener Personen beschränkt oder die Beschränkung ausweitet. Der Verantwortliche gewährt dem DSB Zugang zu den Aufzeichnungen, die die Beurteilung der Notwendigkeit und Verhältnismäßigkeit der Beschränkung enthalten, und dokumentiert das Datum, an dem der DSB unterrichtet wird, in den Aufzeichnungen.

(3)   Der DSB kann den Verantwortlichen schriftlich auffordern, den Anwendungsbereich der Beschränkungen zu prüfen. Der Verantwortliche informiert den DSB schriftlich über das Ergebnis der angeforderten Prüfung.

(4)   Der Verantwortliche informiert den DSB über die Aufhebung der Beschränkung.

(1)   In hinreichend begründeten Fällen und unter den in diesem Beschluss festgelegten Bedingungen kann das Recht auf Unterrichtung durch den für die Verarbeitung Verantwortlichen im Rahmen der folgenden Verarbeitungsvorgänge beschränkt werden:

Die FRA nimmt in die auf ihrer Website und/oder ihrem Intranet veröffentlichten Datenschutzhinweise, Datenschutzerklärungen oder Verzeichnisse im Sinne von Artikel 31 der Verordnung (EU) 2018/1725, die die betroffenen Personen im Rahmen eines bestimmten Verfahrens über ihre Rechte informieren, Informationen über die mögliche Beschränkung dieser Rechte auf. Die Informationen umfassen die Frage, welche Rechte beschränkt werden können, die Gründe für solche Beschränkungen sowie ihre mögliche Dauer.

(2)   Unbeschadet der Bestimmungen in Absatz 3 informiert die Agentur, sofern dies verhältnismäßig ist, alle betroffenen Personen, die als von den spezifischen Verarbeitungsvorgängen betroffene Personen gelten, unverzüglich auch einzeln schriftlich über gegenwärtige oder künftige Beschränkungen ihrer Rechte.

(3)   Beschränkt die Agentur das in Absatz 2 vorgesehene Recht auf Unterrichtung der betroffenen Personen ganz oder teilweise, erfasst sie die Gründe für die Beschränkung und den Rechtsgrund gemäß Artikel 3 dieses Beschlusses, einschließlich einer Bewertung der Notwendigkeit und Verhältnismäßigkeit der Beschränkung.

Die Aufzeichnung sowie gegebenenfalls die Dokumente, die die zugrunde liegenden Fakten und die rechtlichen Grundlagen enthalten, werden registriert. Sie werden dem Europäischen Datenschutzbeauftragten auf Anforderung zur Verfügung gestellt.

(4)   Die in Absatz 3 genannte Beschränkung gilt, solange die Gründe dafür weiterhin vorliegen.

Liegen die Gründe für die Beschränkung nicht mehr vor, unterrichtet die FRA die betroffene Person über die Hauptgründe, auf denen die Anwendung einer Beschränkung beruht. Gleichzeitig teilt die FRA der betroffenen Person mit, dass sie jederzeit Beschwerde beim Europäischen Datenschutzbeauftragten oder einen gerichtlichen Rechtsbehelf beim Gerichtshof der Europäischen Union einlegen kann.

Die FRA prüft die Anwendung von Beschränkungen alle sechs Monate nach ihrer Auferlegung sowie bei Abschluss der jeweiligen Prüfungen, Verfahren oder Untersuchungen. Danach überwacht der Verantwortliche jährlich die Notwendigkeit der Aufrechterhaltung einer Beschränkung.

(1)   In hinreichend begründeten Fällen und unter den in diesem Beschluss festgelegten Bedingungen kann das Recht auf Auskunft durch den für die Verarbeitung Verantwortlichen im Rahmen der folgenden Verarbeitungsvorgänge beschränkt werden, sofern dies notwendig und verhältnismäßig ist:

Beantragt die betroffene Person gemäß Artikel 17 der Verordnung (EU) 2018/1725 Auskunft über ihre im Rahmen eines oder mehrerer spezifischer Fälle verarbeiteten personenbezogenen Daten oder über einen bestimmten Verarbeitungsvorgang, beschränkt die FRA ihre Bewertung des Antrags ausschließlich auf derartige personenbezogene Daten.

(2)   Beschränkt die FRA das in Artikel 17 der Verordnung (EU) 2018/1725 festgelegte Recht auf Auskunft ganz oder teilweise, ergreift sie folgende Maßnahmen:

Die unter Buchstabe a erwähnte Unterrichtung kann zurückgestellt, unterlassen oder abgelehnt werden, wenn sie die Wirkung der gemäß Artikel 25 Absatz 8 der Verordnung (EU) 2018/1725 angewendeten Beschränkung zunichtemachen würde.

Die FRA überprüft die Anwendung der Beschränkung alle sechs Monate ab ihrer Annahme und nach Abschluss der entsprechenden Untersuchung. Danach überwacht der Verantwortliche jährlich die Notwendigkeit der Aufrechterhaltung einer Beschränkung.

(3)   Die Aufzeichnung sowie gegebenenfalls die Dokumente, die die zugrunde liegenden Fakten und die rechtlichen Grundlagen enthalten, werden registriert. Sie werden dem Europäischen Datenschutzbeauftragten auf Anforderung zur Verfügung gestellt.

(1)   In hinreichend begründeten Fällen und unter den in diesem Beschluss festgelegten Bedingungen kann das Recht auf Berichtigung, Löschung und Einschränkung der Verarbeitung durch den für die Verarbeitung Verantwortlichen im Rahmen der folgenden Verarbeitungsvorgänge beschränkt werden, sofern dies notwendig und angemessen ist:

(2)   Beschränkt die Agentur das in den Artikeln 18, 19 Absatz 1 und 20 Absatz 1 der Verordnung (EU) 2018/1725 vorgesehene Recht auf Berichtigung, Löschung und Einschränkung der Verarbeitung ganz oder teilweise, ergreift sie die in Artikel 6 Absatz 2 dieses Beschlusses genannten Maßnahmen und registriert die Aufzeichnung gemäß Artikel 6 Absatz 3 dieses Beschlusses.

(1)   In hinreichend begründeten Fällen und unter den in diesem Beschluss festgelegten Bedingungen kann das Recht auf Benachrichtigung über eine Verletzung des Schutzes personenbezogener Daten durch den für die Verarbeitung Verantwortlichen im Rahmen der folgenden Verarbeitungsvorgänge beschränkt werden, sofern dies notwendig und angemessen ist:

(2)   In hinreichend begründeten Fällen und unter den in diesem Beschluss festgelegten Bedingungen kann das Recht auf Vertraulichkeit der elektronischen Kommunikation durch den für die Verarbeitung Verantwortlichen im Rahmen der folgenden Verarbeitungsvorgänge beschränkt werden, sofern dies notwendig und angemessen ist:

(3)   Beschränkt die Agentur das in den Artikeln 35 und 36 der Verordnung (EU) 2018/1725 genannte Recht auf Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person oder auf Vertraulichkeit der elektronischen Kommunikation, erfasst und registriert sie die Gründe hierfür gemäß Artikel 5 Absatz 3 dieses Beschlusses. Es gilt Artikel 5 Absatz 4 dieses Beschlusses.