1.   Tässä päätöksessä vahvistetaan säännöt edellytyksille, joiden nojalla BBI-yhteisyritys voi 2 kohdassa esitettyjen menettelyjensä yhteydessä rajoittaa asetuksen (EU) 2018/1725 25 artiklan mukaisesti kyseisen asetuksen 14–21, 35 ja 36 artiklassa sekä 4 artiklassa vahvistettujen oikeuksien soveltamista.

2.   BBI-yhteisyrityksen hallinnollisen toiminnan yhteydessä tätä päätöstä sovelletaan ohjelmatoimiston seuraavia tarkoituksia varten suorittamiin henkilötietojen käsittelytoimiin: hallinnollisten tutkimusten tekeminen, kurinpitomenettelyt, alustavat toimet, jotka liittyvät Euroopan petostentorjuntavirastolle ilmoitettuihin mahdollisiin säännönvastaisuuksiin, väärinkäytösten paljastamismenettelyjen käsittely, häirintätapauksia koskevat (viralliset ja epäviralliset) menettelyt, sisäisten ja ulkoisten valitusten käsittely, sisäisten tarkastusten tekeminen, tietosuojavastaavan asetuksen (EU) 2018/1725 45 artiklan 2 kohdan mukaisesti tekemät tutkimukset ja sisäisesti tai ulkoisella tuella (esim. EU:n toimielinten, elinten ja virastojen tietotekniikan kriisiryhmän avulla) käsiteltävät (tieto)turvatutkimukset..

3.   Kyseessä olevat tietoryhmät ovat ”kovia” tietoja (objektiivisia tietoja, kuten tunnistetietoja, yhteystietoja, ammatillisia tietoja, hallinnollisia tietoja, erityisistä lähteistä saatuja tietoja, sähköistä viestintää ja tietojen liikennettä koskevia tietoja) ja ”pehmeitä” tietoja (tapaukseen liittyviä subjektiivisia tietoja, kuten päättelyä, käyttäytymistietoja, arviointeja, suorituskykyä ja käytöstä koskevia tietoja ja menettelyn tai toimen aiheeseen liittyviä tai sen yhteydessä esitettyjä tietoja).

4.   Kun BBI-yhteisyritys suorittaa rekisteröityjen oikeuksia koskevia velvollisuuksiaan asetuksen (EU) 2018/1725 mukaisesti, sen on otettava huomioon, sovelletaanko jotakin kyseisessä asetuksessa säädettyä poikkeusta.

5.   Tässä päätöksessä säädetyin edellytyksin rajoituksia voidaan soveltaa seuraaviin oikeuksiin: tietojen antaminen rekisteröidyille, rekisteröidyn oikeus saada pääsy tietoihin, oikaista tiedot, poistaa tiedot ja rajoittaa käsittelyä sekä rekisteröidyn oikeus saada tieto henkilötietojen tietoturvaloukkauksesta tai oikeus viestinnän luottamuksellisuuteen.

1.   BBI-yhteisyrityksen on otettava käyttöön seuraavat suojatoimet, joiden tarkoituksena on estää henkilötietojen väärinkäyttö tai lainvastainen pääsy henkilötietoihin tai henkilötietojen lainvastainen siirtäminen (4):

2.   Edellä 1 artiklan 3 kohdassa tarkoitettuja henkilötietoja on säilytettävä ainoastaan niin kauan kuin on tarpeellista ja asianmukaista tietojenkäsittelyn tarkoitusta varten. Säilytysaika ei saa missään tapauksessa olla pidempi kuin tietoturvaselosteissa, tietosuojaselosteissa tai 6 artiklassa tarkoitetuissa tiedoissa määritetty säilytysaika.

3.   Jos BBI-yhteisyritys aikoo soveltaa rajoitusta, rekisteröidyn oikeuksia ja vapauksia koskevia riskejä punnitaan erityisesti muiden rekisteröityjen oikeuksia ja vapauksia koskevan riskin perusteella sekä sen riskin perusteella, että BBI-yhteisyrityksen tutkimusten tai menettelyjen vaikutus poistuu esimerkiksi todisteiden tuhoutumisen vuoksi. Rekisteröidyn oikeuksia ja vapauksia koskevat riskit liittyvät ensisijaisesti muun muassa maineriskeihin sekä riskeihin, jotka koskevat oikeutta puolustautua ja oikeutta tulla kuulluksi.

1.   BBI-yhteisyrityksen on sovellettava rajoituksia vain seuraavien takaamiseksi:

2.   Edellä 1 kohdassa kuvattuihin tarkoituksiin BBI-yhteisyritys voi erityisesti soveltaa rajoituksia seuraavissa olosuhteissa:

Ennen rajoitusten soveltamista ensimmäisen alakohdan a ja b luetelmakohdassa tarkoitetuissa olosuhteissa BBI-yhteisyrityksen on kuultava asianomaisia komission yksiköitä, unionin toimielimiä, elimiä ja virastoja tai jäsenvaltioiden toimivaltaisia viranomaisia paitsi jos BBI-yhteisyritykselle on selvää, että rajoituksen soveltamisesta säädetään jossakin kyseisissä luetelmakohdissa tarkoitetussa säädöksessä.

1.   Asianmukaisesti perustelluissa tapauksissa ja tässä päätöksessä esitetyin edellytyksin rekisterinpitäjä voi rajoittaa seuraavia oikeuksia jäljempänä 2 kohdassa lueteltujen käsittelytoimien yhteydessä, kun se on tarpeellista ja oikeasuhteista:

2.   Asetuksen (EU) 2018/1725 25 artiklan 2 kohdan a alakohdan mukaisesti, asianmukaisesti perustelluissa tapauksissa ja tässä päätöksessä esitetyin edellytyksin rekisterinpitäjä voi asettaa rajoituksia seuraavien käsittelytoimien yhteydessä:

Rajoitusta sovelletaan niin kauan kuin sen perusteet ovat voimassa.

3.   Kun BBI-yhteisyritys kokonaan tai osittain rajoittaa edellä 1 kohdassa tarkoitettuja oikeuksia, sen on toteutettava tämän päätöksen 6 ja 7 artiklassa säädetyt toimenpiteet.

4.   Jos rekisteröidyt pyytävät pääsyä yhden tai useamman erityistapauksen tai tietyn käsittelytoimen yhteydessä käsiteltäviin henkilötietoihinsa asetuksen (EU) 2018/1725 17 artiklan mukaisesti, BBI-yhteisyritys rajoittaa pyynnön arvioinnin vain kyseisiin henkilötietoihin.

1.   Kaikkien 5 artiklassa tarkoitettujen rajoitusten on oltava tarpeellisia ja oikeasuhteisia, ja niissä on otettava huomioon riskit rekisteröityjen oikeuksille ja vapauksille ja noudatettava olennaisilta osin perusoikeuksia ja -vapauksia demokraattisessa yhteiskunnassa.

2.   Jos rajoituksen soveltamista harkitaan, on tehtävä tarpeellisuuden ja oikeasuhteisuuden testi näiden sääntöjen perusteella. Testi on tehtävä myös kunkin säännöllisen uudelleentarkastelun yhteydessä sen jälkeen, kun on arvioitu, ovatko rajoituksen tosiasialliset ja oikeudelliset syyt edelleen päteviä. Rajoitus on dokumentoitava sisäisessä arviointimuistiossa tapauskohtaisesti vastuuvelvollisuutta varten.

3.   Rajoitusten on oltava väliaikaisia ja ne on poistettava heti, kun niihin oikeuttavat olosuhteet eivät enää ole voimassa. Tämä pätee etenkin, jos katsotaan, että rajoitetun oikeuden käyttö ei enää poistaisi säädetyn rajoituksen vaikutusta tai että se ei enää vaikuttaisi epäedullisesti muiden rekisteröityjen oikeuksiin tai vapauksiin.

BBI-yhteisyrityksen on tarkasteltava rajoitusta uudelleen kuuden kuukauden välein sekä kyseisen selvityksen, menettelyn tai tutkinnan päättämisen yhteydessä. Tämän jälkeen rekisterinpitäjän on seurattava kuuden kuukauden välein, onko rajoitus tarpeen pitää voimassa.

4.   Jos BBI-yhteisyritys soveltaa kokonaan tai osittain tämän päätöksen 5 artiklassa esitettyjä rajoituksia, sen on kirjattava rajoituksen syyt ja oikeusperusta edellä olevan 1 kohdan mukaisesti sekä arvio rajoituksen tarpeellisuudesta ja oikeasuhteisuudesta.

Kirjatut tiedot ja tarvittaessa asiakirjat, joista perusteena olevat seikat tai oikeudelliset syyt käyvät ilmi, on rekisteröitävä. Ne on annettava pyynnöstä Euroopan tietosuojavaltuutetun käyttöön.

1.   BBI-yhteisyrityksen on liitettävä tietoturvaselosteisiin, tietosuojaselosteisiin tai asetuksen (EU) 2018/1725 31 artiklassa tarkoitettuihin selosteisiin, jotka julkaistaan sen verkkosivustolla ja/tai intranetissä ja joilla ilmoitetaan rekisteröidyille näiden oikeuksista kyseisen menettelyn yhteydessä, tiedot näiden oikeuksien mahdollisesta rajoittamisesta. Tiedoissa on ilmoitettava, mitä oikeuksia voidaan rajoittaa, mistä syystä ja miten pitkäksi aikaa.

Sanotun rajoittamatta 6 artiklan 4 kohdan säännöksiä ja kun se on oikeasuhteista, BBI-yhteisyrityksen on myös ilmoitettava ilman aiheetonta viivytystä ja kirjallisesti yksittäin kaikille rekisteröidyille, jotka katsotaan tietyssä käsittelytoimessa asianomaisiksi henkilöiksi, näiden oikeuksista, jotka koskevat nykyisiä tai tulevia rajoituksia.

2.   Jos BBI-yhteisyritys rajoittaa, kokonaan tai osittain, 5 artiklassa tarkoitettuja oikeuksia, sen on ilmoitettava asianomaiselle rekisteröidylle sovellettavasta rajoituksesta ja sen pääasiallisista syistä sekä mahdollisuudesta tehdä kantelu Euroopan tietosuojavaltuutetulle tai käyttää muita oikeussuojakeinoja Euroopan unionin tuomioistuimessa.

Edellä 2 kohdassa tarkoitettua ilmoitusta voidaan lykätä, se voidaan jättää antamatta tai se voidaan evätä, jos se poistaisi rajoituksen vaikutuksen asetuksen (EU) 2018/1725 25 artiklan 8 kohdan mukaisesti.

1.   BBI-yhteisyrityksen on ilmoitettava BBI-yhteisyrityksen tietosuojavastaavalle viipymättä aina, kun rekisterinpitäjä rajoittaa rekisteröidyn oikeuksia tai jatkaa rajoituksen voimassaoloa tämän päätöksen mukaisesti. Rekisterinpitäjän on annettava tietosuojavastaavalle pääsy kirjattuihin tietoihin, jotka sisältävät rajoituksen tarpeellisuuden ja oikeasuhteisuuden arvioinnin, ja dokumentoitava päivämäärä, jona tietosuojavastaavalle ilmoitettiin kirjatuista tiedoista.

2.   Tietosuojavastaava voi kirjallisesti pyytää rekisterinpitäjää tarkastelemaan uudelleen rajoitusten soveltamista. Rekisterinpitäjän on kirjallisesti ilmoitettava tietosuojavastaavalle pyydetyn uudelleentarkastelun tuloksista.

3.   Tietosuojavastaavan on oltava mukana menettelyn kaikissa vaiheissa. Rekisterinpitäjän on ilmoitettava tietosuojavastaavalle, kun rajoitus on poistettu.