1.   Η παρούσα απόφαση ορίζει τους κανόνες σχετικά με τους όρους υπό τους οποίους ο Οργανισμός, σύμφωνα με το άρθρο 25 του κανονισμού (ΕΕ) 2018/1725, δύναται, στο πλαίσιο διοικητικών ερευνών και πειθαρχικών διαδικασιών, όταν γνωστοποιεί τις υποθέσεις στην OLAF σύμφωνα με τον κανονισμό (ΕΕ, Ευρατόμ) αριθ. 883/2013, να περιορίζει την εφαρμογή των άρθρων 14 έως 21, 35 και 36 του εν λόγω κανονισμού, καθώς και του άρθρου 4 του εν λόγω κανονισμού καθόσον οι διατάξεις του αφορούν δικαιώματα και υποχρεώσεις που προβλέπονται στα άρθρα 14 έως 21.

2.   Η παρούσα απόφαση εφαρμόζεται σε πράξεις επεξεργασίας δεδομένων προσωπικού χαρακτήρα που πραγματοποιούνται από τον Οργανισμό για τους σκοπούς της διενέργειας διοικητικών ερευνών και πειθαρχικών διαδικασιών, καθώς και προκαταρκτικών πράξεων σε περιπτώσεις ενδεχόμενων παρατυπιών που κοινοποιούνται στην OLAF [σύμφωνα με τον κανονισμό (ΕΕ, Ευρατόμ) αριθ.883/2013], εξέτασης περιπτώσεων καταγγελίας δυσλειτουργιών (whistleblowing), κίνησης (επισήμως ή ατύπως) διαδικασιών διερεύνησης παρενοχλήσεων, εξέτασης εσωτερικών και εξωτερικών καταγγελιών, διενέργειας εσωτερικών ελέγχων, ερευνών διά του υπεύθυνου προστασίας δεδομένων σύμφωνα με το άρθρο 45 παράγραφος 2 του κανονισμού (ΕΕ) 2018/1725, καθώς και ερευνών σχετικά με την ασφάλεια των συστημάτων επικοινωνίας και πληροφοριών, είτε εσωτερικά είτε με τη συμμετοχή εξωτερικών φορέων (π.χ. CERT-ΕΕ).

Η παρούσα απόφαση εφαρμόζεται επίσης σε δραστηριότητες που αφορούν την υποστήριξη και συνεργασία που παρέχει ο Οργανισμός εκτός του πλαισίου των διοικητικών του ερευνών σε θεσμικά και λοιπά όργανα και οργανισμούς της Ευρωπαϊκής Ένωσης, αρμόδιες αρχές κρατών μελών και διεθνείς οργανισμούς, ώστε να προστατεύονται οι διενεργούμενες από αυτούς πράξεις επεξεργασίας.

Περαιτέρω, η παρούσα απόφαση εφαρμόζεται σε δραστηριότητες που αφορούν τη συνεργασία με θεσμικά και λοιπά όργανα της Ευρωπαϊκής Ένωσης και τη διαβίβαση σε αυτά πληροφοριών σχετικά με διοικητικές έρευνες και πειθαρχικές διαδικασίες, εφόσον οι εν λόγω πληροφορίες είναι αναγκαίες για τον λήπτη προκειμένου να αξιολογήσει τους λόγους κίνησης επίσημης έρευνας ή διαδικασίας.

3.   Ο Οργανισμός επεξεργάζεται αρκετές κατηγορίες δεδομένων προσωπικού χαρακτήρα, όπως στοιχεία ταυτότητας, στοιχεία επικοινωνίας και επαγγελματικά στοιχεία. Οι κατηγορίες αυτές μπορεί να αφορούν αντικειμενικά δεδομένα (όπως διοικητικά στοιχεία, τηλέφωνο, διεύθυνση κατοικίας, ηλεκτρονική διεύθυνση και στοιχεία μετακίνησης) και/ή δεδομένα που βασίζονται σε εκτιμήσεις (όπως εκθέσεις αξιολόγησης, την κίνηση ερευνών, εκθέσεις επί προκαταρκτικών ερευνών, πρακτικά καταθέσεων μαρτύρων και ακροάσεων στο πλαίσιο ερευνών, κοινωνικές δραστηριότητες και συμπεριφορές μελών του προσωπικού, παρατηρήσεις σχετικά με τις ικανότητες και την αποτελεσματικότητα του ενδιαφερόμενου μέλους του προσωπικού κ.λπ.).

4.   Οι κατηγορίες υποκειμένων των δεδομένων που μπορεί να υπάγονται στην παρούσα απόφαση είναι το προσωπικό και πρώην προσωπικό του Οργανισμού, ήτοι (πρώην) υπάλληλοι, διαχειριστές, αποσπασμένοι εθνικοί εμπειρογνώμονες και ασκούμενοι, όπως επίσης οι (πρώην) αντισυμβαλλόμενοι του Οργανισμού.

5.   Υπό την επιφύλαξη των όρων που προβλέπει η παρούσα απόφαση, αντικείμενο των περιορισμών μπορεί να είναι τα εξής δικαιώματα: ενημέρωση και κοινοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων σύμφωνα με τα άρθρα 16 και 35 του κανονισμού (ΕΕ) 2018/1725, δικαίωμα πρόσβασης του υποκειμένου των δεδομένων σύμφωνα με το άρθρο 17 του κανονισμού (ΕΕ) 2018/1725, δικαίωμα διόρθωσης, διαγραφής, περιορισμού της επεξεργασίας και γνωστοποίησης της διόρθωσης ή διαγραφής σύμφωνα με τα άρθρα 18, 19 παράγραφος 1, 20 και 21 του κανονισμού (ΕΕ) 2018/1725.

1.   Ο Ευρωπαϊκός Οργανισμός Φαρμάκων, εκπροσωπούμενος διά του εκτελεστικού διευθυντή του, είναι υπεύθυνος για την επεξεργασία δεδομένων. Εσωτερικά, για τις δραστηριότητες που υπάγονται στην παρούσα απόφαση, οι αρμοδιότητες του υπεύθυνου επεξεργασίας των δεδομένων μεταβιβάστηκαν κατ' εξουσιοδότηση στον επικεφαλής του τμήματος διαχείρισης και διοίκησης. Σε περίπτωση που η διοικητική έρευνα ή η πειθαρχική διαδικασία αφορά τον επικεφαλής του τμήματος διαχείρισης και διοίκησης, υπεύθυνος επεξεργασίας για τους σκοπούς της σχετικής έρευνας ή διαδικασίας θα είναι ο αναπληρωτής εκτελεστικός διευθυντής.

2.   Τα δεδομένα προσωπικού χαρακτήρα αποθηκεύονται σε ηλεκτρονική και/ή έντυπη μορφή. Οι εγγυήσεις που ισχύουν για την αποφυγή παραβιάσεων δεδομένων προσωπικού χαρακτήρα, διαρροών ή μη εξουσιοδοτημένης δημοσιοποίησης είναι οι εξής:

3.   Η διάρκεια αποθήκευσης και διατήρησης έχει ως εξής:

4.   Οι κίνδυνοι για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων μπορεί να εμπεριέχουν κινδύνους για το δικαίωμα σεβασμού της εμπιστευτικότητας της προσωπικής του επικοινωνίας, το δικαίωμα της ελευθερίας της έκφρασης και πληροφόρησης και το δικαίωμα υπεράσπισης και ακρόασης. Οι κίνδυνοι αυτοί σταθμίζονται έναντι των λόγων και των σκοπών που δικαιολογούν την εφαρμογή των περιορισμών που προβλέπονται στην παρούσα απόφαση. Η εν λόγω στάθμιση πρέπει να τεκμηριώνεται δεόντως και να διενεργείται μετά από ανάλυση κατά περίπτωση, ώστε να διασφαλίζεται ότι ο εφαρμοζόμενος περιορισμός είναι αναγκαίος, αναλογικός και σύμφωνος με τους κανόνες που θεσπίζονται με την παρούσα απόφαση.

1.   Σύμφωνα με το άρθρο 25 παράγραφος 1 του κανονισμού (ΕΕ) 2018/1725, περιορισμοί εφαρμόζονται αποκλειστικά και μόνο για τη διασφάλιση:

2.   Στο πλαίσιο της ειδικής εφαρμογής των σκοπών που περιγράφονται στην παράγραφο 1 ανωτέρω, ο Οργανισμός μπορεί να εφαρμόσει περιορισμούς σε σχέση με δεδομένα προσωπικού χαρακτήρα που ανταλλάσσονται με τις υπηρεσίες της Επιτροπής ή με άλλα θεσμικά και λοιπά όργανα και οργανισμούς της Ένωσης, με αρμόδιες αρχές των κρατών μελών ή τρίτων χωρών ή με διεθνείς οργανισμούς, στις εξής περιπτώσεις:

Προτού εφαρμόσει περιορισμούς στις περιπτώσεις που αναφέρονται στα σημεία α) και β) του πρώτου εδαφίου, ο Οργανισμός ζητάει τη γνώμη των οικείων υπηρεσιών της Επιτροπής, των θεσμικών και λοιπών οργάνων και οργανισμών της Ένωσης ή των αρμόδιων αρχών των κρατών μελών, εκτός αν έχει καταστεί σαφές στον Οργανισμό ότι η εφαρμογή ενός περιορισμού προβλέπεται σε κάποια από τις πράξεις που αναφέρονται στα εν λόγω σημεία.

3.   Κάθε περιορισμός πρέπει να είναι όσο το δυνατό αναγκαίος και αναλογικός, όπως αρμόζει σε μια δημοκρατική κοινωνία και να σέβεται την ουσία των θεμελιωδών δικαιωμάτων και ελευθεριών.

4.   Η αναγκαιότητα και η αναλογικότητα ελέγχονται με βάση τους ισχύοντες κανόνες. Ο εν λόγω έλεγχος πρέπει να τεκμηριώνεται με εσωτερικό σημείωμα αξιολόγησης για λόγους λογοδοσίας κατά περίπτωση.

5.   Οι περιορισμοί παρακολουθούνται και επανεξετάζονται κατά περιόδους, τουλάχιστον ανά εξάμηνο, ώστε να αξιολογούνται οι περιστάσεις που δικαιολογούν τη διατήρηση του εκάστοτε περιορισμού.

6.   Οι περιορισμοί αίρονται μόλις εκλείψουν οι περιστάσεις που τους δικαιολογούν, π.χ. εάν η άσκηση των δικαιωμάτων εκ μέρους του υποκειμένου των δεδομένων (για παράδειγμα σε ό,τι αφορά την ενημέρωση σχετικά με την επεξεργασία των δεδομένων, ή την πρόσβαση στον φάκελο) δεν ενέχει πλέον κίνδυνο για τον σκοπό της οικείας έρευνας ή διαδικασίας.

1.   Ο υπεύθυνος επεξεργασίας (για λογαριασμό του Οργανισμού) ενημερώνει αμελλητί τον ΥΠΔ του Οργανισμού κάθε φορά που περιορίζει την άσκηση των δικαιωμάτων των υποκειμένων των δεδομένων σύμφωνα με την παρούσα απόφαση, παρέχει δε πρόσβαση στο αρχείο, καθώς και στην τεκμηρίωση της εκτίμησης της αναγκαιότητας και της αναλογικότητας του περιορισμού (συμπεριλαμβανομένων των εγγράφων που περιέχουν τα βασικά πραγματικά και νομικά στοιχεία). Το αυτό ισχύει για κάθε επόμενη επανεξέταση του περιορισμού.

2.   Ο ΥΠΔ μπορεί να ζητήσει γραπτώς από τον υπεύθυνο επεξεργασίας να εξετάσει την εφαρμογή των περιορισμών. Ο Οργανισμός ενημερώνει γραπτώς τον ΥΠΔ σχετικά με το αποτέλεσμα της αιτούμενης επανεξέτασης.

3.   Η ανταλλαγή πληροφοριών με τον ΥΠΔ κατά τη διάρκεια της διαδικασίας λαμβάνει χώρα και τεκμηριώνεται γραπτώς.

1.   Ο Οργανισμός, στη δήλωση απορρήτου για τις διοικητικές έρευνες και πειθαρχικές διαδικασίες, περιλαμβάνει και δημοσιεύει στο ενδοδίκτυό του πληροφορίες σχετικά με τον δυνητικό περιορισμό των εν λόγω δικαιωμάτων. Οι πληροφορίες καλύπτουν τα δικαιώματα που ενδέχεται να περιοριστούν, τους λόγους, καθώς και την πιθανή διάρκεια του περιορισμού.

2.   Επίσης, ο Οργανισμός ενημερώνει μεμονωμένα όλα τα υποκείμενα των δεδομένων για τα δικαιώματά τους σε περίπτωση υφιστάμενων ή μελλοντικών περιορισμών, η δε ενημέρωση αυτή γίνεται αμελλητί, εγγράφως και με την επιφύλαξη των προβλεπόμενων στις ακόλουθες παραγράφους.

3.   Όταν ο Οργανισμός περιορίζει, εν όλω ή εν μέρει, την παροχή πληροφοριών στα υποκείμενα των δεδομένων σύμφωνα με την παρούσα απόφαση, καταγράφει τους λόγους του περιορισμού συμπεριλαμβάνοντας εκτίμηση της αναγκαιότητας και της αναλογικότητάς του. Για τον σκοπό αυτόν, στο αρχείο αναφέρεται ο τρόπος με τον οποίο η παροχή των πληροφοριών θα έθετε σε κίνδυνο τον σκοπό της συγκεκριμένης διοικητικής διαδικασίας ή έρευνας ή θα επηρέαζε δυσμενώς τα δικαιώματα και τις ελευθερίες τρίτων. Το αρχείο και, κατά περίπτωση, τα έγγραφα που περιέχουν υποκείμενα πραγματικά και νομικά στοιχεία καταχωρίζονται. Όλα αυτά τίθενται, κατόπιν αιτήματος, στη διάθεση του Ευρωπαίου Επόπτη Προστασίας Δεδομένων.

4.   Ο περιορισμός που αναφέρεται στην παράγραφο 3 εξακολουθεί να εφαρμόζεται όσο εξακολουθούν να ισχύουν οι λόγοι που τον αιτιολογούν. Όταν οι λόγοι του περιορισμού παύσουν να ισχύουν, ο Οργανισμός ανακοινώνει τις σχετικές πληροφορίες και τους λόγους του περιορισμού στο υποκείμενο των δεδομένων. Το υποκείμενο των δεδομένων δύναται να υποβάλλει στον ΥΠΔ κάθε είδους ερωτήματα.

5.   Παράλληλα, ο Οργανισμός ενημερώνει το υποκείμενο των δεδομένων για τη δυνατότητά του να προβεί ανά πάσα στιγμή σε καταγγελία στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων ή να ασκήσει δικαστική προσφυγή ενώπιον του Δικαστηρίου της Ευρωπαϊκής Ένωσης.

6.   Ο Οργανισμός επανεξετάζει την αίτηση περιορισμού ανά έξι μήνες μετά την έγκρισή της και κατά το πέρας της οικείας διαδικασίας.

1.   Όταν τα υποκείμενα των δεδομένων αιτούνται πρόσβαση στα προσωπικά δεδομένα τους τα οποία υποβάλλονται σε επεξεργασία στο πλαίσιο μίας ή περισσότερων συγκεκριμένων υποθέσεων ή σε συγκεκριμένη πράξη επεξεργασίας, σύμφωνα με το άρθρο 17 του κανονισμού (ΕΕ) 2018/1725, ο Οργανισμός περιορίζεται κατά την αξιολόγηση του αιτήματος μόνο στα εν λόγω δεδομένα προσωπικού χαρακτήρα.

2.   Όταν ο Οργανισμός περιορίζει, εν όλω ή εν μέρει, το δικαίωμα πρόσβασης που αναφέρεται στο άρθρο 17 του κανονισμού (ΕΕ) 2018/1725, ακολουθεί τα εξής στάδια:

Η παροχή πληροφοριών που αναφέρεται στο στοιχείο α) μπορεί να αναβάλλεται, να παραλείπεται ή να απορρίπτεται σύμφωνα με το άρθρο 25 παράγραφος 8 του κανονισμού (ΕΕ) 2018/1725.

3.   Το αρχείο που αναφέρεται στο σημείο β) της παραγράφου 2 και, κατά περίπτωση, τα έγγραφα που περιέχουν υποκείμενα πραγματικά και νομικά στοιχεία καταχωρίζονται. Όλα αυτά τίθενται, κατόπιν αιτήματος, στη διάθεση του Ευρωπαίου Επόπτη Προστασίας Δεδομένων. Εφαρμόζεται το άρθρο 25 παράγραφος 7 του κανονισμού (ΕΕ) 2018/1725.

1.   Σε περίπτωση που ο Οργανισμός περιορίσει την υποχρέωση ανακοίνωσης της παραβίασης δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων, όπως αναφέρεται στο άρθρο 35 του κανονισμού (ΕΕ) 2018/1725, αρχειοθετεί και καταχωρίζει τους λόγους του περιορισμού σύμφωνα με το άρθρο 5 παράγραφοι 3 έως 6 της παρούσας απόφασης.

2.   Όταν ο Οργανισμός περιορίζει το απόρρητο των ηλεκτρονικών επικοινωνιών ενός υποκειμένου δεδομένων, όπως αναφέρεται στο άρθρο 36 του κανονισμού (ΕΕ) 2018/1725, αρχειοθετεί και καταχωρίζει τους λόγους του περιορισμού σύμφωνα με το άρθρο 5 παράγραφοι 3 έως 6 της παρούσας απόφασης.