1.   Η παρούσα απόφαση θεσπίζει κανόνες σχετικά με τους όρους υπό τους οποίους ο Οργανισμός, στο πλαίσιο των διαδικασιών του που ορίζονται στην παράγραφο 2, μπορεί να περιορίζει την εφαρμογή των δικαιωμάτων που θεσπίζονται στα άρθρα 14 έως 21, 35 και 36, καθώς και στο άρθρο 4 του κανονισμού (ΕΕ) 2018/1725, σύμφωνα με το άρθρο 25.

2.   Στο πλαίσιο της διοικητικής λειτουργίας του Οργανισμού, η παρούσα απόφαση ισχύει για τις πράξεις επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τον Οργανισμό για τους εξής σκοπούς: διεξαγωγή διοικητικών ερευνών, πειθαρχικών διαδικασιών, προκαταρκτικών δραστηριοτήτων που αφορούν περιπτώσεις ενδεχόμενων παρατυπιών οι οποίες αναφέρονται στην Ευρωπαϊκή Υπηρεσία Καταπολέμησης της Απάτης, διεκπεραίωση υποθέσεων καταγγελίας δυσλειτουργιών, (επίσημων και ανεπίσημων) διαδικασιών για υποθέσεις παρενόχλησης, επεξεργασία εσωτερικών και εξωτερικών καταγγελιών, διενέργεια εσωτερικών ελέγχων, ερευνών που διεξάγονται από τον υπεύθυνο προστασίας δεδομένων σύμφωνα με το άρθρο 45 παράγραφος 2 του κανονισμού (ΕΕ) 2018/1725, παρακολούθηση των χονδρικών αγορών ενέργειας και συντονισμός των δραστηριοτήτων των εθνικών ρυθμιστικών αρχών σχετικά με ενδεχόμενες παραβιάσεις του κανονισμού για την ακεραιότητα και τη διαφάνεια στην εσωτερική αγορά, και έρευνες ασφαλείας (ΤΠ) που διεκπεραιώνονται εσωτερικά ή με εξωτερική συμμετοχή (π.χ. CERT-EE).

3.   Οι σχετικές κατηγορίες δεδομένων περιλαμβάνουν τα τεκμηριωμένα δεδομένα («αντικειμενικά» δεδομένα όπως στοιχεία ταυτότητας, στοιχεία επικοινωνίας, επαγγελματικά στοιχεία, διοικητικά στοιχεία, δεδομένα που λαμβάνονται από συγκεκριμένες πηγές, ηλεκτρονικές επικοινωνίες και δεδομένα κίνησης) και/ή μη τεκμηριωμένα δεδομένα («υποκειμενικά» δεδομένα σχετικά με την υπόθεση, όπως σκεπτικό, δεδομένα συμπεριφοράς, εκτιμήσεις, στοιχεία απόδοσης και συμπεριφοράς και δεδομένα που σχετίζονται ή υποβάλλονται σε σχέση με το αντικείμενο της διαδικασίας ή δραστηριότητας).

4.   Ο Οργανισμός, κατά την άσκηση των καθηκόντων του όσον αφορά τα δικαιώματα των υποκειμένων των δεδομένων βάσει του κανονισμού (ΕΕ) 2018/1725, εξετάζει κατά πόσον εφαρμόζονται τυχόν εξαιρέσεις που ορίζονται στον εν λόγω κανονισμό.

5.   Με την επιφύλαξη των όρων που καθορίζονται στην παρούσα απόφαση, οι περιορισμοί μπορεί να ισχύουν για τα ακόλουθα δικαιώματα: παροχή πληροφοριών σε υποκείμενα των δεδομένων, δικαίωμα πρόσβασης, διόρθωσης, διαγραφής, περιορισμού επεξεργασίας, γνωστοποίησης παραβίασης δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων ή απορρήτου επικοινωνιών.

1.   Οι εγγυήσεις που ισχύουν για την αποφυγή παραβιάσεων δεδομένων προσωπικού χαρακτήρα, διαρροών ή μη εξουσιοδοτημένης δημοσιοποίησης είναι οι εξής:

2.   Ο υπεύθυνος επεξεργασίας είναι ο Οργανισμός, εκπροσωπούμενος από τον διευθυντή του, ο οποίος μπορεί να μεταβιβάσει την αρμοδιότητα του υπευθύνου επεξεργασίας. Τα υποκείμενα των δεδομένων ενημερώνονται σχετικά με τον υπεύθυνο επεξεργασίας μέσω ανακοινώσεων για την προστασία των δεδομένων ή αρχείων που δημοσιεύονται στον δικτυακό τόπο και/ή στο εσωτερικό δίκτυο του Οργανισμού.

3.   Η περίοδος διατήρησης των δεδομένων προσωπικού χαρακτήρα που αναφέρεται στο άρθρο 1 παράγραφος 3 της παρούσας απόφασης δεν υπερβαίνει το διάστημα που είναι αναγκαίο και κατάλληλο για τους σκοπούς για τους οποίους τα δεδομένα υποβάλλονται σε επεξεργασία. Σε κάθε περίπτωση δεν υπερβαίνει την περίοδο διατήρησης που ορίζεται στις ανακοινώσεις προστασίας των δεδομένων, στις δηλώσεις προστασίας των δεδομένων προσωπικού χαρακτήρα ή στα αρχεία που αναφέρονται στο άρθρο 5 παράγραφος 1 της παρούσας απόφασης.

4.   Στις περιπτώσεις που ο Οργανισμός προτίθεται να εφαρμόσει έναν περιορισμό, σταθμίζεται ο κίνδυνος για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων, ιδίως ο κίνδυνος για τα δικαιώματα και τις ελευθερίες άλλων υποκειμένων δεδομένων και ο κίνδυνος υπονόμευσης του αποτελέσματος των ερευνών ή διαδικασιών του Οργανισμού, για παράδειγμα μέσω της καταστροφής αποδεικτικών στοιχείων. Οι κίνδυνοι για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων αφορούν κατά κύριο λόγο, αλλά δεν περιορίζονται σε αυτούς, τους κινδύνους φήμης και τους κινδύνους για το δικαίωμα υπεράσπισης και το δικαίωμα ακρόασης.

1.   Οποιοσδήποτε περιορισμός εφαρμόζεται μόνο από τον Οργανισμό για τη διασφάλιση:

2.   Στο πλαίσιο της ειδικής εφαρμογής των σκοπών που περιγράφονται στην παράγραφο 1 ανωτέρω, ο Οργανισμός δύναται να εφαρμόζει περιορισμούς στις ακόλουθες περιπτώσεις:

Προτού εφαρμόσει περιορισμούς στις περιπτώσεις που αναφέρονται στα στοιχεία α) και β) του πρώτου εδαφίου, ο Οργανισμός ζητάει τη γνώμη των οικείων υπηρεσιών της Επιτροπής, των θεσμικών και λοιπών οργάνων και οργανισμών της Ένωσης ή των αρμόδιων αρχών των κρατών μελών, εκτός αν έχει καταστεί σαφές στον Οργανισμό ότι η εφαρμογή ενός περιορισμού προβλέπεται σε κάποια από τις πράξεις που αναφέρονται στα εν λόγω στοιχεία.

3.   Κάθε περιορισμός οφείλει να είναι αναγκαίος και αναλογικός, να λαμβάνει υπόψη τους κινδύνους για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων και να σέβεται την ουσία των θεμελιωδών δικαιωμάτων και ελευθεριών σε μια δημοκρατική κοινωνία.

4.   Εάν εξετάζεται το ενδεχόμενο εφαρμογής περιορισμού, διενεργείται έλεγχος αναγκαιότητας και αναλογικότητας με βάση τους ισχύοντες κανόνες. Ο εν λόγω έλεγχος τεκμηριώνεται με εσωτερικό σημείωμα αξιολόγησης για λόγους λογοδοσίας κατά περίπτωση.

5.   Οι περιορισμοί αίρονται μόλις πάψουν να ισχύουν οι περιστάσεις που τους δικαιολογούν και ειδικότερα, σε περίπτωση που θεωρηθεί ότι η άσκηση του περιορισμένου δικαιώματος δεν αναιρεί πλέον το αποτέλεσμα του επιβαλλόμενου περιορισμού ή δεν θίγει τα δικαιώματα ή τις ελευθερίες άλλων υποκειμένων των δεδομένων.

1.   Ο Οργανισμός, χωρίς αδικαιολόγητη καθυστέρηση, εξασφαλίζει τη συμμετοχή του υπευθύνου προστασίας δεδομένων του Οργανισμού («ΥΠΔ») καθ’ όλη τη διάρκεια όλων των σχετικών διαδικασιών που θεσπίζονται από την παρούσα απόφαση και μεριμνά για την τεκμηρίωση της συμμετοχής του ΥΠΔ. Η εν λόγω τεκμηρίωση περιλαμβάνει την καταγραφή οποιωνδήποτε σχετικών αξιολογήσεων και γνωμοδοτήσεων του ΥΠΔ σχετικά με τη δυνατότητα εφαρμογής ενός περιορισμού σε μια δεδομένη περίπτωση.

2.   Ειδικότερα, ο Οργανισμός ενημερώνει χωρίς αδικαιολόγητη καθυστέρηση τον ΥΠΔ, κάθε φορά που ο υπεύθυνος επεξεργασίας περιορίζει την εφαρμογή των δικαιωμάτων των υποκειμένων των δεδομένων ή επεκτείνει τον περιορισμό, σύμφωνα με την παρούσα απόφαση. Ο υπεύθυνος επεξεργασίας παρέχει στον ΥΠΔ πρόσβαση στο αρχείο που περιέχει την αξιολόγηση της αναγκαιότητας και αναλογικότητας του περιορισμού και καταγράφει την ημερομηνία ενημέρωσης του ΥΠΔ στο αρχείο.

3.   Ο ΥΠΔ μπορεί να ζητήσει γραπτώς από τον υπεύθυνο επεξεργασίας να εξετάσει την εφαρμογή των περιορισμών. Ο υπεύθυνος επεξεργασίας ενημερώνει γραπτώς τον ΥΠΔ σχετικά με το αποτέλεσμα της αιτούμενης επανεξέτασης.

4.   Ο υπεύθυνος επεξεργασίας ενημερώνει τον ΥΠΔ για την άρση του περιορισμού.

1.   Σε δεόντως αιτιολογημένες περιπτώσεις και υπό τους όρους που καθορίζονται στην παρούσα απόφαση, το δικαίωμα πληροφόρησης μπορεί να περιοριστεί από τον υπεύθυνο επεξεργασίας στο πλαίσιο των ακόλουθων περιπτώσεων επεξεργασίας:

Ο Οργανισμός περιλαμβάνει στις ανακοινώσεις προστασίας δεδομένων, στις δηλώσεις προστασίας δεδομένων προσωπικού χαρακτήρα ή στα αρχεία, κατά την έννοια του άρθρου 31 του κανονισμού (ΕΕ) 2018/1725, που δημοσιεύονται στον ιστότοπό του ή/και στο ενδοδίκτυο για την ενημέρωση των υποκειμένων των δεδομένων σχετικά με τα δικαιώματά τους στο πλαίσιο μιας δεδομένης διαδικασίας, πληροφορίες σχετικά με τον δυνητικό περιορισμό των εν λόγω δικαιωμάτων. Οι πληροφορίες προσδιορίζουν τα δικαιώματα που μπορούν να περιοριστούν, τους λόγους, καθώς και τη δυνητική διάρκεια.

2.   Με την επιφύλαξη των διατάξεων της παραγράφου 3 και όπου είναι αναλογικό, ο Οργανισμός ενημερώνει μεμονωμένα όλα τα υποκείμενα των δεδομένων, τα οποία (υποκείμενα) θεωρούνται ότι εμπλέκονται στη συγκεκριμένη επεξεργασία, για τα δικαιώματά τους σχετικά με υφιστάμενους ή μελλοντικούς περιορισμούς, χωρίς αδικαιολόγητη καθυστέρηση και εγγράφως.

3.   Σε περίπτωση που ο Οργανισμός περιορίσει, εν όλω ή εν μέρει, την παροχή πληροφοριών στα υποκείμενα των δεδομένων της παραγράφου 2, καταγράφει τους λόγους του περιορισμού και τον νομικό λόγο σύμφωνα με το άρθρο 3 της παρούσας απόφασης, συμπεριλαμβανομένης αξιολόγησης της αναγκαιότητας και της αναλογικότητας του περιορισμού.

Το αρχείο και, κατά περίπτωση, τα έγγραφα που περιέχουν υποκείμενα πραγματικά και νομικά στοιχεία καταχωρίζονται. Τα ανωτέρω τίθενται, κατόπιν αιτήματος, στη διάθεση του Ευρωπαίου Επόπτη Προστασίας Δεδομένων.

4.   Ο περιορισμός που αναφέρεται στην παράγραφο 3 εξακολουθεί να εφαρμόζεται όσο εξακολουθούν να ισχύουν οι λόγοι που τον αιτιολογούν.

Σε περίπτωση που οι λόγοι του περιορισμού δεν ισχύουν πλέον, ο Οργανισμός παρέχει πληροφορίες στο υποκείμενο των δεδομένων σχετικά με τους κυριότερους λόγους για τους οποίους εφαρμόζεται ο περιορισμός. Ταυτόχρονα, ο Οργανισμός ενημερώνει το υποκείμενο των δεδομένων σχετικά με το δικαίωμα υποβολής καταγγελίας στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων ανά πάσα στιγμή ή άσκησης προσφυγής στο Δικαστήριο της Ευρωπαϊκής Ένωσης.

Ο Οργανισμός επανεξετάζει την εφαρμογή του περιορισμού, προκειμένου να επιβεβαιώσει εάν εξακολουθούν να υφίστανται οι πραγματικοί και νομικοί λόγοι του περιορισμού, ανά έξι μήνες από την εφαρμογή του και κατά την περάτωση της σχετικής έρευνας, διαδικασίας ή διερεύνησης. Στη συνέχεια, ο υπεύθυνος επεξεργασίας παρακολουθεί περιοδικά την ανάγκη διατήρησης οποιουδήποτε περιορισμού σε εξαμηνιαία βάση.

1.   Σε δεόντως αιτιολογημένες περιπτώσεις και υπό τους όρους που καθορίζονται στην παρούσα απόφαση, το δικαίωμα πρόσβασης μπορεί να περιοριστεί από τον υπεύθυνο επεξεργασίας στο πλαίσιο των ακόλουθων πράξεων επεξεργασίας, εφόσον είναι αναγκαίο και αναλογικό:

Σε περίπτωση που τα υποκείμενα των δεδομένων ζητήσουν πρόσβαση στα δεδομένα προσωπικού χαρακτήρα τους που υποβάλλονται σε επεξεργασία στο πλαίσιο μίας ή περισσοτέρων συγκεκριμένων περιπτώσεων ή συγκεκριμένης επεξεργασίας, σύμφωνα με το άρθρο 17 του κανονισμού (ΕΕ) 2018/1725, ο Οργανισμός περιορίζει την αξιολόγηση της αίτησης στα εν λόγω δεδομένα προσωπικού χαρακτήρα και μόνο.

2.   Όταν ο Οργανισμός περιορίζει, εν όλω ή εν μέρει, το δικαίωμα πρόσβασης που αναφέρεται στο άρθρο 17 του κανονισμού (ΕΕ) 2018/1725, ακολουθεί τα εξής στάδια:

Η παροχή πληροφοριών που αναφέρεται στο στοιχείο α) μπορεί να αναβάλλεται, να παραλείπεται ή να απορρίπτεται στο μέτρο που στερεί από τον περιορισμό την ισχύ του σύμφωνα με το άρθρο 25 παράγραφος 8 του κανονισμού (ΕΕ) 2018/1725.

Ο Οργανισμός επανεξετάζει την εφαρμογή του περιορισμού, προκειμένου να επιβεβαιώσει εάν εξακολουθούν να υφίστανται οι πραγματικοί και νομικοί λόγοι του περιορισμού, ανά έξι μήνες από την εφαρμογή του και κατά την περάτωση της σχετικής διερεύνησης. Στη συνέχεια, ο υπεύθυνος επεξεργασίας παρακολουθεί περιοδικά την ανάγκη διατήρησης οποιουδήποτε περιορισμού σε εξαμηνιαία βάση.

3.   Το αρχείο και, κατά περίπτωση, τα έγγραφα που περιέχουν υποκείμενα πραγματικά και νομικά στοιχεία καταχωρίζονται. Τα ανωτέρω τίθενται, κατόπιν αιτήματος, στη διάθεση του Ευρωπαίου Επόπτη Προστασίας Δεδομένων.

1.   Σε δεόντως αιτιολογημένες περιπτώσεις και υπό τους όρους που καθορίζονται στην παρούσα απόφαση, το δικαίωμα διόρθωσης, διαγραφής και περιορισμού μπορεί να περιοριστεί από τον υπεύθυνο επεξεργασίας στο πλαίσιο των ακόλουθων περιπτώσεων επεξεργασίας, όπου είναι αναγκαίο και κατάλληλο:

2.   Όταν ο Οργανισμός περιορίζει, εν όλω ή εν μέρει, την εφαρμογή των δικαιωμάτων διόρθωσης, διαγραφής και περιορισμού της επεξεργασίας, τα οποία αναφέρονται στο άρθρο 18, το άρθρο 19 παράγραφος 1 και το άρθρο 20 παράγραφος 1 του κανονισμού (ΕΕ) 2018/1725, ακολουθεί τα στάδια που περιγράφονται στο άρθρο 6 παράγραφος 2 της παρούσας απόφασης. Το άρθρο 6 παράγραφος 3 της παρούσας απόφασης εφαρμόζεται σε οποιουσδήποτε περιορισμούς που εφαρμόζονται σύμφωνα με το παρόν άρθρο.

1.   Σε δεόντως αιτιολογημένες περιπτώσεις και υπό τους όρους που καθορίζονται στην παρούσα απόφαση, το δικαίωμα γνωστοποίησης παραβίασης δεδομένων προσωπικού χαρακτήρα μπορεί να περιοριστεί από τον υπεύθυνο επεξεργασίας στο πλαίσιο των ακόλουθων περιπτώσεων επεξεργασίας, όπου είναι αναγκαίο και κατάλληλο:

2.   Σε δεόντως αιτιολογημένες περιπτώσεις και υπό τους όρους που καθορίζονται στην παρούσα απόφαση, το δικαίωμα του απορρήτου των ηλεκτρονικών επικοινωνιών μπορεί να περιοριστεί από τον υπεύθυνο επεξεργασίας στο πλαίσιο των ακόλουθων εργασιών επεξεργασίας, όπου είναι αναγκαίο και κατάλληλο:

3.   Όταν ο Οργανισμός περιορίζει την ανακοίνωση της παραβίασης δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων ή το απόρρητο των ηλεκτρονικών επικοινωνιών, όπως αναφέρεται στα άρθρα 35 και 36 του κανονισμού (ΕΕ) 2018/1725, ακολουθεί τα στάδια που περιγράφονται στο άρθρο 5 παράγραφοι 3 και 4 της παρούσας απόφασης. Το άρθρο 6 παράγραφος 3 της παρούσας απόφασης εφαρμόζεται σε οποιουσδήποτε περιορισμούς που εφαρμόζονται σύμφωνα με το παρόν άρθρο.