1.   Käesolevas otsuses sätestatakse eeskirjad tingimuste kohta, mille alusel võib amet lõikes 2 sätestatud menetluste raames määruse (EL) 2018/1725 artikli 25 alusel piirata selle määruse artiklites 14–21, 35 ja 36 ning artiklis 4 sätestatud õiguste kohaldamist.

2.   Ameti haldustegevuse raames kohaldatakse käesolevat otsust selliste isikuandmete töötlemise toimingute suhtes, mida amet teeb seoses haldusjuurdluste, distsiplinaarmenetluste ja neile eelnevate menetluste, personalieeskirjade IX lisa kohaste ametist kõrvaldamise juhtumite, OLAF-ile teatatavate võimalike rikkumisjuhtudega seotud eeltoimingute, rikkumisest teatamise juhtumite, (ametlike ja mitteametlike) ahistamisjuhtumite ning ametisiseste ja -väliste kaebuste, sise- ja välisauditite, määruse (EL) 2018/1725 artikli 45 lõike 2 kohaste andmekaitseametniku uurimiste ning ametisiseste või koos ametiväliste asutustega (nt CERT-EU) korraldatavate (IT-) turbekontrollidega.

3.   Seda otsust kohaldatakse töötlemistoimingutele ka juhtudel, kui amet osaleb Euroopa Liidu Kohtu kohtuasjades, kui ta ise pöördub Euroopa Kohtusse, kaitseb oma otsust, mis on Euroopa Kohtusse kaevatud, või sekkub kohtuasjades, mis on tema ülesannete suhtes asjakohased. Sellega seoses võib ametil olla vaja tagada, et osapoolte või menetlusse astujate saadud dokumentides sisalduvad isikuandmed jääksid konfidentsiaalseks.

4.   Asjaomaste andmete liigid on nn kindlad e tõenduspõhised andmed (objektiivsed andmed, näiteks tuvastusandmed, kontaktandmed, kutsetegevuse andmed, haldusandmed, konkreetsetest allikatest pärit andmed, elektroonilise side ja andmeliikluse andmed) ja/või tõenduseta andmed (juhtumiga seotud subjektiivsed andmed, näiteks põhjendused, käitumisandmed, hinnangud, ametialase tulemuslikkuse ja käitumise andmed ning andmed, mis on seotud või esitatud seoses menetluse või tegevuse esemega).

5.   Täites kohustusi seoses andmesubjektide õigustega määruse (EL) 2018/1725 alusel, peab amet arvestama määruses sätestatud erandite kohaldatavust.

6.   Käesolevas otsuses sätestatud tingimustel võidakse piiranguid kohaldada järgmiste õiguste suhtes: andmesubjekti teavitamine, õigus tutvuda andmetega ning õigus andmete parandamisele, kustutamisele, andmete töötlemise piiramisele, andmesubjekti isikuandmetega seotud rikkumisest teavitamisele ning side konfidentsiaalsusele.

1.   Andmetega seotud rikkumiste, andmelekete või andmete loata avalikustamise vältimiseks on kehtestatud järgmised kaitsemeetmed:

2.   Isikuandmete töötlemise toimingutes on vastutav töötleja amet, keda esindab tegevdirektor, kes võib vastutava töötleja funktsiooni delegeerida. Andmesubjekte teavitatakse delegeeritud vastutavast töötlejast ameti veebilehel ja/või sisevõrgus avaldatavates andmekaitseteadetes või registreerimiskannetes.

3.   Artikli 1 lõikes 3 osutatud isikuandmeid ei säilitata kauem, kui see on vajalik ja asjakohane andmete töötlemise eesmärgil. Ühelgi juhul ei ületa säilitamisperiood artikli 5 lõike 1 kohastes andmekaitseteadetes, privaatsusteadetes või registreerimiskannetes nimetatud säilitamisperioodi.

4.   Kui amet kaalub piirangu kohaldamist, arvestatakse riski andmesubjekti õigustele ja vabadustele, eriti riski muude andmesubjektide õigustele ja vabadustele, ning ameti juurdluste või menetluste mõju tühistamise riski, näiteks seoses asitõendite hävitamisega. Riskid andmesubjektide õigustele ja vabadustele on seotud eelkõige maine kahjustamise riskiga ning kaitse ja ärakuulamise õiguse kahjustamise riskiga.

1.   Amet kohaldab piiranguid üksnes järgmistel juhtudel:

2.   Eespool lõikes 1 kirjeldatud eesmärkide kohaldamise erijuhtumina võib amet järgmistel asjaoludel kohaldada piiranguid seoses isikuandmetega, mida vahetatakse komisjoni talituste või liidu teiste institutsioonide, organite ja asutuste, liikmesriikide või kolmandate riikide pädevate asutuste või rahvusvaheliste organisatsioonidega:

Enne piirangute kohaldamist esimese lõigu punktides a ja b kirjeldatud asjaoludel peab amet konsulteerima asjakohaste komisjoni talituste, liidu institutsioonide, organite, asutuste või liikmesriikide pädevate asutustega, välja arvatud juhul, kui ameti jaoks on selge, et piirangu kohaldamine on sätestatud mõnes neis punktides nimetatud õigusaktis.

3.   Kõik piirangud peavad olema vajalikud ja proportsionaalsed, arvestades riske andmesubjektide õigustele ja vabadustele, ning järgima põhiõiguste ja -vabaduste olemust demokraatlikus ühiskonnas.

4.   Piirangu kohaldamise kaalutlemisel hinnatakse piirangu vajalikkust ja proportsionaalsust käesolevate eeskirjade alusel. Kooskõlas vastutuse põhimõttega dokumenteeritakse hindamine ametisiseses hindamisteatises igal üksikjuhul eraldi.

5.   Piirangud tühistatakse kohe, kui nende aluseks olnud tingimused enam ei kehti. Eelkõige tehakse seda siis, kui leitakse, et piiratud õiguse kasutamine ei kaotaks enam kehtestatud piirangu mõju ega kahjustaks teiste andmesubjektide õigusi või vabadusi.

1.   Amet kaasab andmekaitseametniku põhjendamatu viivituseta kõikidesse käesoleva otsusega kehtestatud asjakohastesse menetlustesse ning tagab andmekaitseametniku osalemise dokumenteerimise. See hõlmab kõikide asjakohaste hinnangute ja arvamuste kirjalikku dokumenteerimist, mida andmekaitseametnik on esitanud piirangu kohaldatavuse kohta konkreetsel juhul.

2.   Eelkõige teavitab amet põhjendamatu viivituseta oma andmekaitseametnikku, kui vastutav töötleja piirab kooskõlas käesoleva otsusega andmesubjektide õiguste kohaldamist või pikendab piirangut. Vastutav töötleja tagab andmekaitseametnikule juurdepääsu registreerimiskandele, mis sisaldab piirangu vajalikkuse ja proportsionaalsuse hinnangut, ning märgib registreerimiskandes andmekaitseametniku teavitamise kuupäeva.

3.   Andmekaitseametnik võib vastutavalt töötlejalt kirjalikult taotleda piirangute kohaldamise läbivaatamist. Vastutav töötleja teavitab andmekaitseametnikku kirjalikult läbivaatamise tulemustest.

4.   Vastutav töötleja teavitab andmekaitseametnikku piirangu tühistamisest.

1.   Nõuetekohaselt põhjendatud juhtudel ja käesolevas otsuses sätestatud tingimustel võib vastutav töötleja järgmiste andmetöötlustoimingute kontekstis piirata õigust teabele:

Amet lisab andmekaitseteadetesse, privaatsusteadetesse või määruse (EL) 2018/1725 artikli 31 kohastesse registreerimiskannetesse, mis avaldatakse ameti veebilehel ja/või siseveebis ning millega teavitatakse andmesubjekte nende õigustest ja nende võimalikust piiramisest seoses konkreetse menetlusega, nende õiguste võimaliku piiramise teabe. Teabes kirjeldatakse, mis õigusi võidakse piirata, piirangu põhjusi ja võimalikku kestust.

2.   Ilma et see piiraks lõike 3 sätteid, teavitab amet – kui see on proportsionaalne – põhjendamatu viivituseta ja kirjalikult eraldi kõiki andmesubjekte, keda loetakse konkreetse isikuandmete töötlemise toiminguga seotud asjaomasteks isikuteks, nende õigustest seoses kehtivate või edasiste piirangutega.

3.   Kui amet piirab täielikult või osaliselt andmesubjektide teavitamist lõike 2 alusel, registreerib ta piirangu kehtestamise põhjused ja õigusliku aluse kooskõlas käesoleva otsuse artikliga 3, sealhulgas piirangu vajalikkuse ja proportsionaalsuse hinnangu.

Registreerimiskanne ja (kui asjakohane) ka faktilisi ja õiguslikke asjaolusid sisaldavad tõendavad dokumendid registreeritakse. Taotluse korral tehakse need kättesaadavaks Euroopa Andmekaitseinspektorile.

4.   Lõikes 3 osutatud piirangut kohaldatakse seni, kuni kehtivad selle kohaldamise põhjused.

Kui piirangu põhjused enam ei kehti, teatab amet andmesubjektile piirangu kohaldamise peamised põhjused. Samal ajal teavitab amet andmesubjekti õigusest esitada millal tahes kaebus Euroopa Andmekaitseinspektorile või pöörduda Euroopa Liidu Kohtusse.

Amet vaatab piirangu kohaldamise läbi iga kuue kuu tagant alates selle vastuvõtmisest ning asjaomase juurdluse, menetluse või uurimise lõpetamisel. Pärast seda hindab vastutav töötleja kord aastas piirangu kohaldamise vajalikkust.

1.   Nõuetekohaselt põhjendatud juhtudel ja käesolevas otsuses sätestatud tingimustel võib vastutav töötleja järgmiste andmetöötlustoimingute korral piirata andmesubjekti õigust tutvuda andmetega, kui see on vajalik ja proportsionaalne:

Kui andmesubjektid taotlevad juurdepääsu oma isikuandmetele, mida töödeldakse seoses ühe või mitme konkreetse juhtumiga, või konkreetsele isikuandmete töötlemise toimingule kooskõlas määruse (EL) 2018/1725 artikliga 17, piirdub amet taotluse hindamisel üksnes nende isikuandmetega.

2.   Kui amet piirab täielikult või osaliselt määruse (EL) 2018/1725 artiklis 17 osutatud õigust tutvuda andmetega, võtab ta järgmised meetmed:

Kooskõlas määruse (EL) 2018/1725 artikli 25 lõikega 8 võib punktis a nimetatud teabe esitamist edasi lükata, selle esitamata jätta või selle esitamisest keelduda, kui see kaotaks piirangu mõju.

Amet vaatab piirangu kohaldamise läbi iga kuue kuu tagant alates selle vastuvõtmisest ja asjaomase uurimise lõpetamisel. Pärast seda hindab vastutav töötleja kord aastas piirangu kohaldamise vajalikkust.

3.   Registreerimiskanne ja (kui asjakohane) ka faktilisi ja õiguslikke asjaolusid sisaldavad tõendavad dokumendid registreeritakse. Taotluse korral tehakse need kättesaadavaks Euroopa Andmekaitseinspektorile.

1.   Nõuetekohaselt põhjendatud juhtudel ja käesolevas otsuses sätestatud tingimustel võib vastutav töötleja järgmiste andmetöötlustoimingute korral piirata õigust andmete parandamisele, kustutamisele ja isikuandmete töötlemise piiramisele, kui see on vajalik ja asjakohane:

2.   Kui amet piirab täielikult või osaliselt määruses (EL) 2018/1725 sätestatud õigust andmete parandamisele (artikkel 18), õigust andmete kustutamisele (artikli 19 lõige 1) ja õigust isikuandmete töötlemise piiramisele (artikli 20 lõige 1), võtab ta käesoleva otsuse artikli 6 lõikes 2 kirjeldatud meetmed ning teeb registreerimiskande kooskõlas otsuse artikli 6 lõikega 3.

1.   Nõuetekohaselt põhjendatud juhtudel ja käesolevas otsuses sätestatud tingimustel võib vastutav töötleja järgmiste andmetöötlustoimingute korral piirata õigust isikuandmetega seotud rikkumisest teavitamisele, kui see on vajalik ja asjakohane:

2.   Nõuetekohaselt põhjendatud juhtudel ja käesolevas otsuses sätestatud tingimustel võib vastutav töötleja järgmiste andmetöötlustoimingute korral piirata õigust elektroonilise side konfidentsiaalsusele, kui see on vajalik ja asjakohane:

3.   Kui amet piirab määruse (EL) 2018/1725 kohast andmesubjekti õigust isikuandmetega seotud rikkumisest teavitamisele (artikkel 35) või õigust elektroonilise side konfidentsiaalsusele (artikkel 36), dokumenteerib ja registreerib ta piirangu põhjused kooskõlas käesoleva otsuse artikli 5 lõikega 3. Kohaldatakse käesoleva otsuse artikli 5 lõiget 4.