1.   Η παρούσα απόφαση θεσπίζει κανόνες σχετικά με τους όρους υπό τους οποίους ο FRA, στο πλαίσιο των διαδικασιών του που ορίζονται στην παράγραφο 2, μπορεί να περιορίσει την εφαρμογή των δικαιωμάτων που θεσπίζονται στα άρθρα 14 έως 21, 35 και 36, καθώς και στο άρθρο 4, σύμφωνα με το άρθρο 25 του κανονισμού (ΕΕ) 2018/1725.

2.   Στο πλαίσιο της διοικητικής λειτουργίας του FRA, η παρούσα απόφαση ισχύει για τις πράξεις επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τον Οργανισμό για τους εξής σκοπούς: διενέργεια διοικητικών ερευνών, προκαταρκτικών πειθαρχικών διαδικασιών, πειθαρχικών διαδικασιών, αναστολών άσκησης καθηκόντων σύμφωνα με το παράρτημα IX του κανονισμού υπηρεσιακής κατάστασης, δραστηριοτήτων που αφορούν περιπτώσεις ενδεχόμενων παρατυπιών οι οποίες αναφέρονται στην OLAF, διεκπεραίωση υποθέσεων καταγγελίας δυσλειτουργιών, (επίσημων και ανεπίσημων) διαδικασιών για υποθέσεις παρενόχλησης, επεξεργασία εσωτερικών και εξωτερικών καταγγελιών, διενέργεια εσωτερικών/εξωτερικών ελέγχων, πραγματοποίηση ερευνών από τον υπεύθυνο προστασίας δεδομένων σύμφωνα με το άρθρο 45 παράγραφος 2 του κανονισμού (ΕΕ) 2018/1725 καθώς και ερευνών ασφαλείας (ΤΠ) που διεκπεραιώνονται εσωτερικά ή με εξωτερική συμμετοχή (π.χ. CERT-EE).

3.   Η παρούσα απόφαση ισχύει επίσης για τις πράξεις επεξεργασίας δεδομένων προσωπικού χαρακτήρα όταν ο FRA συμμετέχει σε υποθέσεις ενώπιον του Δικαστηρίου της Ευρωπαϊκής Ένωσης. Στις υποθέσεις αυτές είτε παραπέμπει ένα ζήτημα στο Δικαστήριο είτε υπερασπίζεται μια απόφαση που έχει λάβει και η οποία αμφισβητείται ενώπιον του Δικαστηρίου ή παρεμβαίνει σε υποθέσεις που σχετίζονται με τις αρμοδιότητές του. Στο πλαίσιο αυτό, ο FRA ενδέχεται να χρειαστεί να διαφυλάξει τον εμπιστευτικό χαρακτήρα των δεδομένων προσωπικού χαρακτήρα που περιέχονται στα έγγραφα τα οποία υποβάλλονται από τους διαδίκους ή τους παρεμβαίνοντες.

4.   Οι σχετικές κατηγορίες δεδομένων περιλαμβάνουν τα τεκμηριωμένα δεδομένα («αντικειμενικά» δεδομένα όπως στοιχεία ταυτότητας, στοιχεία επικοινωνίας, επαγγελματικά στοιχεία, διοικητικά στοιχεία, δεδομένα που λαμβάνονται από συγκεκριμένες πηγές, ηλεκτρονικές επικοινωνίες και δεδομένα κίνησης) ή/και μη τεκμηριωμένα δεδομένα («υποκειμενικά» δεδομένα σχετικά με την υπόθεση, όπως σκεπτικό, δεδομένα συμπεριφοράς, εκτιμήσεις, στοιχεία απόδοσης και συμπεριφοράς και δεδομένα που σχετίζονται ή υποβάλλονται σε σχέση με το αντικείμενο της διαδικασίας ή δραστηριότητας).

5.   Ο FRA, κατά την άσκηση των καθηκόντων του όσον αφορά τα δικαιώματα των υποκειμένων των δεδομένων βάσει του κανονισμού (ΕΕ) 2018/1725, εξετάζει κατά πόσον εφαρμόζονται οι εξαιρέσεις που ορίζονται στον εν λόγω κανονισμό.

6.   Με την επιφύλαξη των όρων που καθορίζονται στην παρούσα απόφαση, οι περιορισμοί μπορεί να ισχύουν για τα ακόλουθα δικαιώματα: παροχή πληροφοριών σε υποκείμενα των δεδομένων, δικαίωμα πρόσβασης, διόρθωσης, διαγραφής, περιορισμού επεξεργασίας, γνωστοποίησης παραβίασης δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων ή το απόρρητο των επικοινωνιών.

1.   Οι εγγυήσεις που ισχύουν για την αποφυγή παραβιάσεων δεδομένων προσωπικού χαρακτήρα, διαρροών ή μη εξουσιοδοτημένης δημοσιοποίησης είναι οι εξής:

2.   Υπεύθυνος επεξεργασίας για τις πράξεις επεξεργασίας είναι ο FRA, εκπροσωπούμενος από τον διευθυντή του, ο οποίος μπορεί να μεταβιβάσει την αρμοδιότητα του υπευθύνου επεξεργασίας. Τα υποκείμενα των δεδομένων ενημερώνονται σχετικά με τον εντεταλμένο υπεύθυνο επεξεργασίας μέσω ανακοινώσεων για την προστασία των δεδομένων ή αρχείων που δημοσιεύονται στον δικτυακό τόπο και/ή στο ενδοδίκτυο του FRA.

3.   Η περίοδος διατήρησης των δεδομένων προσωπικού χαρακτήρα που αναφέρεται στο άρθρο 1 παράγραφος 3 δεν υπερβαίνει το διάστημα που είναι αναγκαίο και κατάλληλο για τους σκοπούς για τους οποίους τα δεδομένα υποβάλλονται σε επεξεργασία. Το διάστημα αυτό σε καμία περίπτωση δεν υπερβαίνει την περίοδο διατήρησης που ορίζεται στις ανακοινώσεις προστασίας των δεδομένων, στις δηλώσεις περί ιδιωτικότητας ή στα αρχεία που αναφέρονται στο άρθρο 5 παράγραφος 1.

4.   Στις περιπτώσεις που ο Οργανισμός προτίθεται να εφαρμόσει έναν περιορισμό, σταθμίζεται ο κίνδυνος για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων, ιδίως ο κίνδυνος για τα δικαιώματα και τις ελευθερίες άλλων υποκειμένων δεδομένων και ο κίνδυνος της ακύρωσης του αποτελέσματος των ερευνών ή διαδικασιών του FRA, για παράδειγμα μέσω της καταστροφής αποδεικτικών στοιχείων. Οι κίνδυνοι για τα δικαιώματα και τις ελευθερίες του υποκειμένου των δεδομένων αφορούν κατά κύριο λόγο, μεταξύ άλλων, τους κινδύνους για τη φήμη και τους κινδύνους για το δικαίωμα υπεράσπισης και το δικαίωμα ακρόασης.

1.   Κάθε περιορισμός εφαρμόζεται από τον FRA αποκλειστικά για τους εξής σκοπούς:

2.   Κατά την ειδική εφαρμογή των σκοπών που περιγράφονται στην παράγραφο 1 ανωτέρω, ο FRA μπορεί να εφαρμόζει περιορισμούς σε σχέση με δεδομένα προσωπικού χαρακτήρα που ανταλλάσσονται με τις υπηρεσίες της Επιτροπής ή με άλλα θεσμικά και λοιπά όργανα και οργανισμούς της Ένωσης, με αρμόδιες αρχές των κρατών μελών ή τρίτων χωρών ή με διεθνείς οργανισμούς, στις εξής περιπτώσεις:

Πριν από την εφαρμογή περιορισμών στις περιπτώσεις που αναφέρονται στα σημεία α) και β) του πρώτου εδαφίου, ο FRA διαβουλεύεται με τις αρμόδιες υπηρεσίες της Επιτροπής, τα θεσμικά όργανα, τους οργανισμούς, τις υπηρεσίες, τα γραφεία της Ένωσης ή τις αρμόδιες αρχές των κρατών μελών, εκτός εάν είναι σαφές στον FRA ότι η εφαρμογή περιορισμού προβλέπεται από μία από τις πράξεις που αναφέρονται στα σημεία αυτά.

3.   Οποιοσδήποτε περιορισμός οφείλει να είναι αναγκαίος και αναλογικός, να λαμβάνει υπόψη τους κινδύνους για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων και να τηρεί την ουσία των θεμελιωδών δικαιωμάτων και ελευθεριών σε μια δημοκρατική κοινωνία.

4.   Αν κριθεί απαραίτητη η εφαρμογή περιορισμού, διενεργείται έλεγχος αναγκαιότητας και αναλογικότητας με βάση τους παρόντες κανόνες. Ο έλεγχος αυτός τεκμηριώνεται σε κάθε περίπτωση μέσω εσωτερικού σημειώματος αξιολόγησης για σκοπούς λογοδοσίας.

5.   Οι περιορισμοί αίρονται αμέσως μόλις οι περιστάσεις που τους αιτιολογούν δεν ισχύουν πλέον και ειδικότερα, όταν κρίνεται ότι η άσκηση του περιορισμένου δικαιώματος δεν θα στερεί πλέον από τον περιορισμό που επιβάλλεται την ισχύ του, ούτε θα θίγει τα δικαιώματα ή τις ελευθερίες άλλων υποκειμένων δεδομένων.

1.   Ο FRA, χωρίς αδικαιολόγητη καθυστέρηση, εξασφαλίζει τη συμμετοχή του υπευθύνου προστασίας δεδομένων («ΥΠΔ») του Οργανισμού καθ’ όλη τη διάρκεια όλων των σχετικών διαδικασιών που θεσπίζονται από την παρούσα απόφαση και μεριμνά για την τεκμηρίωση της συμμετοχής του ΥΠΔ. Η εν λόγω τεκμηρίωση περιλαμβάνει την καταγραφή κάθε συναφούς αξιολόγησης και γνωμοδότησης του ΥΠΔ σχετικά με τη δυνατότητα εφαρμογής ενός περιορισμού σε μια δεδομένη περίπτωση.

2.   Ειδικότερα, ο Οργανισμός ενημερώνει χωρίς αδικαιολόγητη καθυστέρηση τον ΥΠΔ, κάθε φορά που ο υπεύθυνος επεξεργασίας περιορίζει την εφαρμογή των δικαιωμάτων των υποκειμένων των δεδομένων ή επεκτείνει τον περιορισμό, σύμφωνα με την παρούσα απόφαση. Ο υπεύθυνος επεξεργασίας παρέχει στον ΥΠΔ πρόσβαση στο αρχείο που περιέχει την αξιολόγηση της αναγκαιότητας και της αναλογικότητας του περιορισμού και τεκμηριώνει την ημερομηνία ενημέρωσης του ΥΠΔ στο αρχείο.

3.   Ο ΥΠΔ μπορεί να ζητήσει γραπτώς από τον υπεύθυνο επεξεργασίας να ελέγξει την εφαρμογή των περιορισμών. Ο υπεύθυνος επεξεργασίας ενημερώνει γραπτώς τον ΥΠΔ σχετικά με το αποτέλεσμα του αιτούμενου ελέγχου.

4.   Ο υπεύθυνος επεξεργασίας ενημερώνει τον ΥΠΔ για την άρση του περιορισμού.

1.   Σε δεόντως αιτιολογημένες περιπτώσεις και υπό τους όρους που καθορίζονται στην παρούσα απόφαση, το δικαίωμα ενημέρωσης μπορεί να περιοριστεί από τον υπεύθυνο επεξεργασίας στο πλαίσιο των ακόλουθων πράξεων επεξεργασίας:

Ο FRA περιλαμβάνει στις ανακοινώσεις προστασίας δεδομένων, στις δηλώσεις προστασίας δεδομένων προσωπικού χαρακτήρα ή στα αρχεία κατά την έννοια του άρθρου 31 του κανονισμού (ΕΕ) 2018/1725, που δημοσιεύονται στον δικτυακό του τόπο και/ή στο ενδοδίκτυο για την ενημέρωση των υποκειμένων δεδομένων σχετικά με τα δικαιώματά τους στο πλαίσιο μιας συγκεκριμένης διαδικασίας, πληροφορίες σχετικά με τον ενδεχόμενο περιορισμό των εν λόγω δικαιωμάτων. Οι πληροφορίες προσδιορίζουν τα δικαιώματα που ενδέχεται να περιοριστούν, τους λόγους, καθώς και την πιθανή διάρκεια του περιορισμού.

2.   Με την επιφύλαξη των διατάξεων της παραγράφου 3 και όπου είναι αναλογικό, ο FRA ενημερώνει επίσης μεμονωμένα όλα τα υποκείμενα των δεδομένων τα οποία θεωρούνται πρόσωπα που τα αφορά η συγκεκριμένη επεξεργασία, για τα δικαιώματά τους σχετικά με υφιστάμενους ή μελλοντικούς περιορισμούς, χωρίς αδικαιολόγητη καθυστέρηση και εγγράφως.

3.   Σε περίπτωση που ο FRA περιορίσει, εν όλω ή εν μέρει, την παροχή πληροφοριών στα υποκείμενα των δεδομένων της παραγράφου 2, καταγράφει τους λόγους του περιορισμού και τον νομικό λόγο σύμφωνα με το άρθρο 3 της παρούσας απόφασης, συμπεριλαμβανομένης της αξιολόγησης της αναγκαιότητας και της αναλογικότητας του περιορισμού.

Το αρχείο καταγραφής και, κατά περίπτωση, τα έγγραφα που περιέχουν υποκείμενα πραγματικά και νομικά στοιχεία καταχωρίζονται. Τα ανωτέρω τίθενται, κατόπιν αιτήματος, στη διάθεση του Ευρωπαίου Επόπτη Προστασίας Δεδομένων.

4.   Ο περιορισμός που αναφέρεται στην παράγραφο 3 εξακολουθεί να εφαρμόζεται για όσο χρονικό διάστημα εξακολουθούν να συντρέχουν οι λόγοι που τον αιτιολογούν.

Όταν οι λόγοι του περιορισμού δεν ισχύουν πλέον, o FRA παρέχει πληροφορίες στο υποκείμενο των δεδομένων σχετικά με τους κυριότερους λόγους για τους οποίους εφαρμόζεται ο περιορισμός. Παράλληλα, o FRA ενημερώνει το υποκείμενο των δεδομένων σχετικά με το δικαίωμα υποβολής καταγγελίας στον Ευρωπαίο Επόπτη Προστασίας Δεδομένων ανά πάσα στιγμή ή άσκησης προσφυγής στο Δικαστήριο της Ευρωπαϊκής Ένωσης.

O FRA επανεξετάζει την εφαρμογή του περιορισμού κάθε έξι μήνες από την έγκρισή του και κατά το κλείσιμο της σχετικής έρευνας, διαδικασίας ή διερεύνησης. Στη συνέχεια, ο υπεύθυνος επεξεργασίας παρακολουθεί την ανάγκη διατήρησης οποιουδήποτε περιορισμού σε ετήσια βάση.

1.   Σε δεόντως αιτιολογημένες περιπτώσεις και υπό τους όρους που καθορίζονται στην παρούσα απόφαση, το δικαίωμα πρόσβασης μπορεί να περιοριστεί από τον υπεύθυνο επεξεργασίας στο πλαίσιο των ακόλουθων πράξεων επεξεργασίας, όπου είναι αναγκαίο και αναλογικό:

Σε περίπτωση που τα υποκείμενα των δεδομένων αιτούνται πρόσβαση στα προσωπικά δεδομένα τους τα οποία υποβάλλονται σε επεξεργασία στο πλαίσιο μίας ή περισσότερων συγκεκριμένων περιπτώσεων ή σε συγκεκριμένη πράξη επεξεργασίας, σύμφωνα με το άρθρο 17 του κανονισμού (ΕΕ) 2018/1725, ο FRA περιορίζεται κατά την αξιολόγηση του αιτήματος μόνο στα εν λόγω δεδομένα προσωπικού χαρακτήρα.

2.   Όταν ο FRA περιορίζει, εν όλω ή εν μέρει, το δικαίωμα πρόσβασης που αναφέρεται στο άρθρο 17 του κανονισμού (ΕΕ) 2018/1725, λαμβάνει τα ακόλουθα μέτρα:

Η παροχή πληροφοριών που αναφέρονται στο στοιχείο α) μπορεί να αναβάλλεται, να παραλείπεται ή να απορρίπτεται στο μέτρο που στερεί από τον περιορισμό την ισχύ του σύμφωνα με το άρθρο 25 παράγραφος 8 του κανονισμού (ΕΕ) 2018/1725.

Ο FRA επανεξετάζει την εφαρμογή του περιορισμού κάθε έξι μήνες από την έγκρισή του και κατά το κλείσιμο της σχετικής έρευνας. Στη συνέχεια, ο υπεύθυνος επεξεργασίας παρακολουθεί την ανάγκη διατήρησης οποιουδήποτε περιορισμού σε ετήσια βάση.

3.   Το αρχείο καταγραφής και, κατά περίπτωση, τα έγγραφα που περιέχουν υποκείμενα πραγματικά και νομικά στοιχεία καταχωρίζονται. Τα ανωτέρω τίθενται, κατόπιν αιτήματος, στη διάθεση του Ευρωπαίου Επόπτη Προστασίας Δεδομένων.

1.   Σε δεόντως αιτιολογημένες περιπτώσεις και υπό τους όρους που καθορίζονται στην παρούσα απόφαση, ο υπεύθυνος επεξεργασίας μπορεί να περιορίσει το δικαίωμα διόρθωσης, διαγραφής και περιορισμού στο πλαίσιο των ακόλουθων πράξεων επεξεργασίας, όπου είναι αναγκαίο και σκόπιμο:

2.   Όταν ο FRA περιορίζει, εν όλω ή εν μέρει, την εφαρμογή των δικαιωμάτων διόρθωσης, διαγραφής και περιορισμού της επεξεργασίας, τα οποία αναφέρονται στο άρθρο 18, στο άρθρο 19 παράγραφος 1 και στο άρθρο 20 παράγραφος 1 του κανονισμού (ΕΕ) 2018/1725, ακολουθεί τα στάδια που περιγράφονται στο άρθρο 6 παράγραφος 2 της παρούσας απόφασης και καταχωρίζει το αρχείο σύμφωνα με το άρθρο 6 παράγραφος 3.

1.   Σε δεόντως αιτιολογημένες περιπτώσεις και υπό τους όρους που καθορίζονται στην παρούσα απόφαση, το δικαίωμα γνωστοποίησης της παραβίασης δεδομένων προσωπικού χαρακτήρα μπορεί να περιοριστεί από τον υπεύθυνο επεξεργασίας στο πλαίσιο των ακόλουθων πράξεων επεξεργασίας, όπου είναι αναγκαίο και σκόπιμο:

2.   Σε δεόντως αιτιολογημένες περιπτώσεις και υπό τους όρους που καθορίζονται στην παρούσα απόφαση, το δικαίωμα του απορρήτου των ηλεκτρονικών επικοινωνιών μπορεί να περιοριστεί από τον υπεύθυνο επεξεργασίας στο πλαίσιο των ακόλουθων πράξεων επεξεργασίας, όπου είναι αναγκαίο και σκόπιμο:

3.   Όταν ο FRA περιορίζει την ανακοίνωση της παραβίασης δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων ή το απόρρητο των ηλεκτρονικών επικοινωνιών, όπως αναφέρεται στα άρθρα 35 και 36 του κανονισμού (ΕΕ) 2018/1725, καταγράφει και καταχωρίζει τους λόγους του περιορισμού σύμφωνα με το άρθρο 5 παράγραφος 3 της παρούσας απόφασης. Εφαρμόζεται το άρθρο 5 παράγραφος 4 της παρούσας απόφασης.