1.   Η παρούσα απόφαση θεσπίζει κανόνες σχετικά με τους όρους υπό τους οποίους ο Οργανισμός, στο πλαίσιο των διαδικασιών που ορίζονται στην παράγραφο 2, μπορεί να περιορίσει την εφαρμογή των δικαιωμάτων που προβλέπονται στα άρθρα 14 έως 21, 35 και 36, καθώς και στο άρθρο 4, σύμφωνα με το άρθρο 25 του κανονισμού (ΕΕ) 2018/1725.

2.   Στο πλαίσιο της διοικητικής λειτουργίας του Οργανισμού, η παρούσα απόφαση εφαρμόζεται στις πράξεις επεξεργασίας δεδομένων προσωπικού χαρακτήρα οι οποίες διεξάγονται από τον Οργανισμό για τη διενέργεια διοικητικών ερευνών, πειθαρχικών διαδικασιών, προκαταρκτικών δραστηριοτήτων που σχετίζονται με περιπτώσεις ενδεχόμενων παρατυπιών που αναφέρονται στην OLAF, διαδικασιών καταγγελίας δυσλειτουργιών, (επίσημων και ανεπίσημων) διαδικασιών για την πρόληψη της παρενόχλησης, την επεξεργασία εσωτερικών και εξωτερικών καταγγελιών, τη διενέργεια εσωτερικών ελέγχων και την πραγματοποίηση ερευνών από τον υπεύθυνο προστασίας δεδομένων σύμφωνα με το άρθρο 45 παράγραφος 2 του κανονισμού (ΕΕ) 2018/1725 και εσωτερικών ερευνών ασφάλειας (πληροφορικής) που διεκπεραιώνονται εσωτερικά ή με τη συμμετοχή τρίτων (π.χ. CERT-ΕΕ) καθώς και τον χειρισμό αιτημάτων για πρόσβαση στον ατομικό ιατρικό φάκελο.

3.   Οι σχετικές κατηγορίες δεδομένων περιλαμβάνουν τα τεκμηριωμένα δεδομένα («αντικειμενικά» δεδομένα όπως στοιχεία ταυτότητας, στοιχεία επικοινωνίας, επαγγελματικά στοιχεία, διοικητικά στοιχεία, δεδομένα που λαμβάνονται από συγκεκριμένες πηγές, ηλεκτρονικές επικοινωνίες και δεδομένα κίνησης) και/ή μη τεκμηριωμένα δεδομένα («υποκειμενικά» δεδομένα σχετικά με την υπόθεση, όπως σκεπτικό, δεδομένα συμπεριφοράς, αξιολογήσεις, στοιχεία σχετικά με την απόδοση και συμπεριφορά και δεδομένα που σχετίζονται ή υποβάλλονται σε σχέση με το αντικείμενο της διαδικασίας ή δραστηριότητας).

4.   Εφόσον ο Οργανισμός εκτελεί τα καθήκοντά του όσον αφορά τα δικαιώματα των υποκειμένων των δεδομένων σύμφωνα με τον κανονισμό (ΕΕ) 2018/1725, εξετάζει κατά πόσον εφαρμόζονται οι εξαιρέσεις που προβλέπονται στον εν λόγω κανονισμό.

5.   Με την επιφύλαξη των όρων που καθορίζονται στην παρούσα απόφαση, ενδέχεται να ισχύουν περιορισμοί για τα ακόλουθα δικαιώματα: παροχή πληροφοριών στα υποκείμενα των δεδομένων, δικαίωμα πρόσβασης, διόρθωση, διαγραφή, περιορισμός της επεξεργασίας, γνωστοποίηση παραβίασης δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων ή απόρρητο της επικοινωνίας.

1.   Οι εγγυήσεις που ισχύουν για την αποφυγή παραβιάσεων δεδομένων, διαρροών ή μη εξουσιοδοτημένων γνωστοποιήσεων είναι οι ακόλουθες:

2.   Υπεύθυνος επεξεργασίας για τις πράξεις επεξεργασίας είναι ο Οργανισμός, εκπροσωπούμενος από τον εκτελεστικό διευθυντή του, ο οποίος μπορεί να μεταβιβάσει την αρμοδιότητα του υπευθύνου επεξεργασίας. Τα υποκείμενα των δεδομένων ενημερώνονται σχετικά με τον εντεταλμένο υπεύθυνο επεξεργασίας μέσω των ανακοινώσεων ή των αρχείων προστασίας δεδομένων που δημοσιεύονται στον ιστότοπο του Οργανισμού και κυκλοφορούν εσωτερικά στον Οργανισμό.

3.   Η περίοδος διατήρησης των δεδομένων προσωπικού χαρακτήρα που αναφέρεται στο άρθρο 1 παράγραφος 3 δεν υπερβαίνει το διάστημα που είναι αναγκαίο και κατάλληλο για τους σκοπούς για τους οποίους τα δεδομένα υποβάλλονται σε επεξεργασία. Σε κάθε περίπτωση δεν υπερβαίνει την περίοδο διατήρησης που ορίζεται στις ανακοινώσεις προστασίας των δεδομένων, στις δηλώσεις απορρήτουή στα αρχεία που αναφέρονται στο άρθρο 5 παράγραφος 1.

4.   Σε περίπτωση που ο Οργανισμός εξετάζει το ενδεχόμενο εφαρμογής περιορισμού, σταθμίζει τον κίνδυνο για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων ιδίως έναντι του κινδύνου για τα δικαιώματα και τις ελευθερίες άλλων υποκειμένων των δεδομένων και του κινδύνου υπονόμευσης της αποτελεσματικότητας των ερευνών ή των διαδικασιών του Οργανισμού, για παράδειγμα με την καταστροφή αποδεικτικών στοιχείων. Οι κίνδυνοι για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων σχετίζονται κατά κύριο λόγο, μεταξύ άλλων, με τους κινδύνους για τη φήμη και τους κινδύνους για το δικαίωμα υπεράσπισης και το δικαίωμα ακρόασης.

1.   Κάθε περιορισμός εφαρμόζεται από τον Οργανισμό με αποκλειστικό σκοπό τη διασφάλιση:

2.   Κατά την ειδική εφαρμογή των σκοπών που περιγράφονται στην παράγραφο 1 ανωτέρω, ο Οργανισμός μπορεί να εφαρμόζει περιορισμούς σε σχέση με τα δεδομένα προσωπικού χαρακτήρα που ανταλλάσσονται με τις υπηρεσίες της Επιτροπής ή με άλλα θεσμικά όργανα, οργανισμούς, υπηρεσίες και γραφεία της Ένωσης, αρμόδιες αρχές των κρατών μελών ή τρίτων χωρών ή διεθνείς οργανισμούς, στις ακόλουθες περιπτώσεις:

3.   Κάθε περιορισμός πρέπει να είναι όσο το δυνατό αναγκαίος και αναλογικός, όπως αρμόζει σε μια δημοκρατική κοινωνία και να σέβεται την ουσία των θεμελιωδών δικαιωμάτων και ελευθεριών.

4.   Σε περίπτωση που εξετάζεται εφαρμογή περιορισμού, θα λάβει χώρα έλεγχος της αναγκαιότητας και της αναλογικότητας με βάση τους ισχύοντες κανόνες. Ο εν λόγω έλεγχος πρέπει να τεκμηριώνεται με εσωτερικό σημείωμα αξιολόγησης για λόγους λογοδοσίας κατά περίπτωση.

5.   Οι περιορισμοί αίρονται μόλις εκλείψουν οι περιστάσεις που τους δικαιολογούν, και ειδικότερα, σε περίπτωση που θεωρηθεί ότι η άσκηση του περιορισμένου δικαιώματος δεν θα υπονόμευε πλέον την αποτελεσματικότητα του επιβαλλόμενου περιορισμού ή δεν θίγει τα δικαιώματα ή τις ελευθερίες άλλων υποκειμένων των δεδομένων.

1.   Ο Οργανισμός ενημερώνει αμελλητί τον υπεύθυνο προστασίας δεδομένων του Οργανισμού («ΥΠΔ») κάθε φορά που ο υπεύθυνος επεξεργασίας περιορίζει την εφαρμογή των δικαιωμάτων των υποκειμένων των δεδομένων ή παρατείνει τον περιορισμό σύμφωνα με την παρούσα απόφαση. Ο υπεύθυνος επεξεργασίας παρέχει στον ΥΠΔ πρόσβαση στο αρχείο που περιέχει την εκτίμηση της αναγκαιότητας και της αναλογικότητας του περιορισμού και καταγράφει την ημερομηνία ενημέρωσης του ΥΠΔ στο αρχείο.

2.   Ο ΥΠΔ μπορεί να ζητήσει γραπτώς από τον υπεύθυνο επεξεργασίας να ελέγξει την εφαρμογή των περιορισμών. Ο υπεύθυνος επεξεργασίας ενημερώνει γραπτώς τον ΥΠΔ σχετικά με το αποτέλεσμα του αιτούμενου ελέγχου.

3.   Ο υπεύθυνος επεξεργασίας ενημερώνει τον ΥΠΔ όταν αρθεί ο περιορισμός.

1.   Σε δεόντως αιτιολογημένες περιπτώσεις και υπό τους όρους που καθορίζονται στην παρούσα απόφαση, το δικαίωμα πληροφόρησης μπορεί να περιοριστεί από τον υπεύθυνο επεξεργασίας στο πλαίσιο των ακόλουθων πράξεων επεξεργασίας:

Ο Οργανισμός περιλαμβάνει στις ανακοινώσεις προστασίας δεδομένων, στις δηλώσεις προστασίας δεδομένων προσωπικού χαρακτήρα ή στα αρχεία κατά την έννοια του άρθρου 31 του κανονισμού (ΕΕ) 2018/1725, που δημοσιεύονται στον ιστότοπό του ή/και κυκλοφορούν εσωτερικά για την ενημέρωση των υποκειμένων των δεδομένων σχετικά με τα δικαιώματά τους στο πλαίσιο μιας δεδομένης διαδικασίας, πληροφορίες σχετικά με τον δυνητικό περιορισμό των εν λόγω δικαιωμάτων. Οι πληροφορίες προσδιορίζουν τα δικαιώματα που μπορούν να περιοριστούν, τους λόγους και τη δυνητική διάρκεια.

2.   Με την επιφύλαξη των διατάξεων της παραγράφου 3 και όπου είναι αναλογικό, ο Οργανισμός ενημερώνει μεμονωμένα όλα τα υποκείμενα των δεδομένων τα οποία (υποκείμενα) θεωρούνται ότι εμπλέκονται στη συγκεκριμένη επεξεργασία, για τα δικαιώματά τους σχετικά με υφιστάμενους ή μελλοντικούς περιορισμούς, χωρίς αδικαιολόγητη καθυστέρηση και εγγράφως.

3.   Σε περίπτωση που ο Οργανισμός περιορίσει, εν όλω ή εν μέρει, την παροχή πληροφοριών στα υποκείμενα των δεδομένων της παραγράφου 2, καταγράφει τους λόγους του περιορισμού και τον νομικό λόγο σύμφωνα με το άρθρο 3 της παρούσας απόφασης, συμπεριλαμβανομένης αξιολόγησης της αναγκαιότητας και της αναλογικότητας του περιορισμού.

Καταχωρίζεται το αρχείο και, κατά περίπτωση, τα έγγραφα που περιέχουν τα υποκείμενα πραγματικά και νομικά στοιχεία. Αυτά διατίθενται, κατόπιν αιτήματος, στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων.

4.   Ο περιορισμός που αναφέρεται στην παράγραφο 3 εξακολουθεί να ισχύει εφόσον εξακολουθούν να ισχύουν οι λόγοι που τον δικαιολογούν.

Σε περίπτωση που οι λόγοι του περιορισμού δεν ισχύουν πλέον, ο Οργανισμός παρέχει πληροφορίες στο υποκείμενο των δεδομένων σχετικά με τους κυριότερους λόγους για τους οποίους εφαρμόζεται ο περιορισμός. Ταυτόχρονα, ο Οργανισμός ενημερώνει το υποκείμενο των δεδομένων σχετικά με το δικαίωμα υποβολής καταγγελίας στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων ανά πάσα στιγμή ή άσκησης προσφυγής στο Δικαστήριο της Ευρωπαϊκής Ένωσης.

O Οργανισμός επανεξετάζει την εφαρμογή του περιορισμού κάθε έξι μήνες από την έγκρισή του και κατά το κλείσιμο της σχετικής έρευνας ή διαδικασίας. Στη συνέχεια, κάθε έξι μήνες, ο υπεύθυνος επεξεργασίας παρακολουθεί την ανάγκη διατήρησης κάθε περιορισμού.

1.   Σε δεόντως αιτιολογημένες περιπτώσεις και υπό τους όρους που καθορίζονται στην παρούσα απόφαση, το δικαίωμα πρόσβασης μπορεί να περιοριστεί από τον υπεύθυνο επεξεργασίας στο πλαίσιο των ακόλουθων πράξεων επεξεργασίας, εφόσον είναι αναγκαίο και αναλογικό:

Σε περίπτωση που τα υποκείμενα των δεδομένων ζητήσουν πρόσβαση στα δεδομένα προσωπικού χαρακτήρα τους που υποβάλλονται σε επεξεργασία στο πλαίσιο μίας ή περισσοτέρων συγκεκριμένων περιπτώσεων ή συγκεκριμένης επεξεργασίας, σύμφωνα με το άρθρο 17 του κανονισμού (ΕΕ) 2018/1725, ο Οργανισμός περιορίζει την αξιολόγηση της αίτησης στα εν λόγω δεδομένα προσωπικού χαρακτήρα και μόνο.

2.   Σε περίπτωση που ο Οργανισμός περιορίσει, εν όλω ή εν μέρει, το δικαίωμα πρόσβασης που αναφέρεται στο άρθρο 17 του κανονισμού (ΕΕ) 2018/1725, λαμβάνει τα ακόλουθα μέτρα:

Περιορισμοί που επιβάλλονται σε σχέση με την πρόσβαση στον ατομικό ιατρικό φάκελο αφορούν μόνο αιτήματα άμεσης πρόσβασης σε προσωπικά ιατρικά δεδομένα ψυχολογικής ή ψυχιατρικής φύσης εφόσον πρόσβαση σε τέτοια δεδομένα είναι πιθανόν να συνιστά κίνδυνο για την υγεία του υποκειμένου των δεδομένων. Ο περιορισμός αυτός πρέπει να είναι ανάλογος με το απολύτως απαραίτητο για την προστασία του υποκειμένου των δεδομένων. Η πρόσβαση σε τέτοιες πληροφορίες παρέχεται σε γιατρό που επιλέγει το υποκείμενο των δεδομένων.

Η παροχή των πληροφοριών που αναφέρονται στο στοιχείο α) μπορεί να αναβάλλεται, να παραλείπεται ή να απορρίπτεται εφόσον στερεί από τον περιορισμό την ισχύ του σύμφωνα με το άρθρο 25 παράγραφος 8 του κανονισμού (ΕΕ) 2018/1725.

Ο Οργανισμός επανεξετάζει την εφαρμογή του περιορισμού κάθε έξι μήνες από την έγκρισή του και κατά το κλείσιμο της σχετικής έρευνας. Στη συνέχεια, κάθε έξι μήνες, ο υπεύθυνος επεξεργασίας παρακολουθεί την ανάγκη διατήρησης κάθε περιορισμού.

3.   Καταχωρίζεται το αρχείο και, κατά περίπτωση, τα έγγραφα που περιέχουν τα υποκείμενα πραγματικά και νομικά στοιχεία. Αυτά διατίθενται, κατόπιν αιτήματος, στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων.

1.   Σε δεόντως αιτιολογημένες περιπτώσεις και υπό τους όρους που καθορίζονται στην παρούσα απόφαση, το δικαίωμα διόρθωσης, διαγραφής και περιορισμού μπορεί να περιοριστεί από τον υπεύθυνο επεξεργασίας στο πλαίσιο των ακόλουθων πράξεων επεξεργασίας, εφόσον είναι αναγκαίο και σκόπιμο:

2.   Σε περίπτωση που ο Οργανισμός περιορίζει εν όλω ή εν μέρει την εφαρμογή του δικαιώματος διόρθωσης, διαγραφής και περιορισμού της επεξεργασίας που αναφέρεται στο άρθρο 18, στο άρθρο 19 παράγραφος 1 και στο άρθρο 20 παράγραφος 1 του κανονισμού (ΕΕ) 2018/1725, λαμβάνει τα μέτρα που προβλέπονται στο άρθρο 6 παράγραφος 2 της παρούσας απόφασης και καταχωρίζει το αρχείο σύμφωνα με το άρθρο 6 παράγραφος 3 αυτής.

1.   Σε δεόντως αιτιολογημένες περιπτώσεις και υπό τους όρους που καθορίζονται στην παρούσα απόφαση, το δικαίωμα ανακοίνωσης μιας παραβίασης δεδομένων προσωπικού χαρακτήρα μπορεί να περιοριστεί από τον υπεύθυνο επεξεργασίας στο πλαίσιο των ακόλουθων πράξεων επεξεργασίας, εφόσον είναι αναγκαίο και σκόπιμο:

2.   Σε δεόντως αιτιολογημένες περιπτώσεις και υπό τους όρους που καθορίζονται στην παρούσα απόφαση, το δικαίωμα απορρήτου των ηλεκτρονικών επικοινωνιών μπορεί να περιοριστεί από τον υπεύθυνο επεξεργασίας στο πλαίσιο των ακόλουθων πράξεων επεξεργασίας, εφόσον είναι αναγκαίο και σκόπιμο:

3.   Σε περίπτωση που ο Οργανισμός περιορίζει την ανακοίνωση παραβίασης δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων ή απορρήτου των ηλεκτρονικών επικοινωνιών που αναφέρονται στα άρθρα 35 και 36 του κανονισμού (ΕΕ) 2018/1725, καταγράφει και καταχωρίζει τους λόγους του περιορισμού σύμφωνα με το άρθρο 5 παράγραφος 3 της παρούσας απόφασης. Εφαρμόζεται το άρθρο 5 παράγραφος 4 της παρούσας απόφασης.