1.   Tässä päätöksessä vahvistetaan säännöt, jotka liittyvät ehtoihin, joilla virasto voi tämän artiklan 2 kohdassa esitettyjen menettelyjensä yhteydessä rajoittaa asetuksen (EU) 2018/1725 14–21, 35 ja 36 artiklassa sekä 4 artiklassa vahvistettujen oikeuksien soveltamista kyseisen asetuksen 25 artiklan mukaisesti.

2.   Viraston hallinnollisen toiminnan yhteydessä tätä päätöstä sovelletaan viraston seuraavia tarkoituksia varten suorittamiin henkilötietojen käsittelytoimiin: hallinnollisten tutkimusten tekeminen, kurinpitomenettelyt, alustavat toimet, jotka liittyvät Euroopan petostentorjuntavirastolle ilmoitettuihin mahdollisiin säännönvastaisuuksiin, väärinkäytösten paljastamismenettelyjen käsittely, (viralliset ja epäviralliset) häirintätapauksia koskevat menettelyt, sisäisten ja ulkoisten valitusten käsittely, sisäisten tarkastusten tekeminen, tietosuojavastaavan asetuksen (EU) 2018/1725 45 artiklan 2 kohdan mukaisesti tekemät tutkimukset, energian tukkumarkkinoiden valvonta ja kansallisten sääntelyviranomaisten toiminnan koordinointi REMIT-asetuksen mahdollisten rikkomusten tapauksessa ja sisäisesti tai ulkoisella tuella (esim. EU:n toimielinten, elinten ja virastojen tietotekniikan kriisiryhmän avulla) käsiteltävät tietoturvatutkimukset.

3.   Kyseessä olevat tietoryhmät ovat kovia tietoja (”objektiivisia” tietoja, kuten tunnistetietoja, yhteystietoja, ammatillisia tietoja, hallinnollisia tietoja, erityisistä lähteistä saatuja tietoja, sähköistä viestintää ja liikennettä koskevia tietoja) ja/tai pehmeitä tietoja (tapaukseen liittyviä ”subjektiivisia” tietoja, kuten päättelyä, käyttäytymistietoja, arviointeja, suorituskykyä ja suoriutumista koskevia tietoja ja menettelyn tai toimen aiheeseen liittyviä tai sen yhteydessä esitettyjä tietoja).

4.   Kun virasto suorittaa rekisteröityjen oikeuksia koskevia velvollisuuksiaan asetuksen (EU) 2018/1725 mukaisesti, sen on otettava huomioon, sovelletaanko jotakin kyseisessä asetuksessa säädettyä poikkeusta.

5.   Rajoitukset voivat koskea seuraavia oikeuksia, jos tässä päätöksessä esitetyistä ehdoista ei muuta johdu: tietojen antaminen rekisteröidyille, oikeus saada pääsy tietoihin, oikaista tiedot, poistaa tiedot, rajoittaa käsittelyä, oikeus henkilötietojen tietoturvaloukkauksesta ilmoittamiseen rekisteröidylle tai oikeus tietojen luottamuksellisuuteen.

1.   Tietoturvaloukkausten, tietovuotojen tai luvattoman luovuttamisen välttämiseksi käytössä ovat seuraavat takeet:

2.   Käsittelytoimissa rekisterinpitäjänä on virasto, jota edustaa sen johtaja, ja tämä voi delegoida rekisterinpitäjän tehtävän eteenpäin. Rekisteröidyille on ilmoitettava valtuutetusta rekisterinpitäjästä tietosuojaselosteissa tai viraston verkkosivuilla ja/tai intranetissä julkaistavissa selosteissa.

3.   Tämän päätöksen 1 artiklan 3 kohdassa tarkoitettuja henkilötietoja on säilytettävä ainoastaan niin kauan kuin on tarpeellista ja asianmukaista tietojenkäsittelyn tarkoitusta varten. Säilytysaika ei missään tapauksessa saa olla pidempi kuin tietoturvaselosteessa, tietosuojaselosteessa tai tämän päätöksen 5 artiklan 1 kohdassa tarkoitetuissa tiedoissa määritetty säilytysaika.

4.   Jos virasto aikoo rajoittaa oikeuksia, rekisteröidyn oikeuksiin ja vapauksiin kohdistuvaa riskiä on verrattava etenkin muiden rekisteröityjen oikeuksiin ja vapauksiin liittyvään riskiin sekä viraston tutkintoihin tai menettelyihin kohdistuvaan kielteiseen vaikutukseen liittyvään riskiin, joka aiheutuu esimerkiksi todisteiden tuhoamisesta. Rekisteröidyn oikeuksia ja vapauksia koskevat riskit liittyvät etupäässä muun muassa maineriskeihin sekä riskeihin, jotka koskevat oikeutta puolustautua ja oikeutta tulla kuulluksi.

1.   Virasto soveltaa rajoituksia vain, jotta voitaisiin taata

2.   Virasto voi edellä 1 kohdassa kuvatun rajoituksen erityisenä soveltamistapana soveltaa rajoituksia seuraavissa olosuhteissa:

Ennen rajoitusten soveltamista ensimmäisen alakohdan a ja b luetelmakohdassa tarkoitetuissa olosuhteissa viraston on kuultava asianomaisia komission yksiköitä, unionin toimielimiä, elimiä ja laitoksia tai jäsenvaltioiden toimivaltaisia viranomaisia paitsi, jos virastolle on selvää, että rajoituksen soveltamisesta säädetään jossakin kyseisissä luetelmakohdissa tarkoitetussa säädöksessä.

3.   Kaikkien rajoitusten on oltava tarpeellisia ja oikeasuhteisia, ja niissä on otettava huomioon riskit rekisteröityjen oikeuksille ja vapauksille ja noudatettava olennaisilta osin perusoikeuksia ja -vapauksia demokraattisessa yhteiskunnassa.

4.   Jos rajoituksen soveltamista harkitaan, on tehtävä tarpeellisuuden ja oikeasuhteisuuden testi näiden sääntöjen perusteella. Se on dokumentoitava sisäisessä arviointimuistiossa tapauskohtaisesti vastuuvelvollisuutta varten.

5.   Rajoitukset on poistettava heti, kun ne oikeuttavat olosuhteet eivät ole enää olemassa, varsinkin kun katsotaan, että rajoitetun oikeuden käyttäminen ei enää poistaisi rajoituksen vaikutusta tai haittaisi muiden rekisteröityjen oikeuksia ja vapauksia.

1.   Viraston on otettava viraston tietosuojavastaava osalliseksi ilman aiheetonta viivytystä kaikkiin tällä päätöksellä vahvistettuihin olennaisiin menettelyihin ja varmistettava, että tietosuojavastaavan osallistuminen dokumentoidaan. Tähän on sisällyttävä kirjallinen dokumentointi kaikista olennaisista tietosuojavastaavan antamista arvioinneista ja lausunnoista, jotka koskevat rajoituksen soveltamista tiettyyn tapaukseen.

2.   Viraston on erityisesti ilmoitettava tietosuojavastaavalle ilman aiheetonta viivytystä aina, kun rekisterinpitäjä rajoittaa rekisteröityjen oikeuksien soveltamista tai jatkaa rajoitusta tämän päätöksen mukaisesti. Rekisterinpitäjän on annettava tietosuojavastaavalle pääsy kirjattuihin tietoihin, jotka sisältävät rajoituksen tarpeellisuuden ja oikeasuhteisuuden arvioinnin, ja dokumentoitava päivämäärä, jona tietosuojavastaavalle ilmoitettiin kirjatuista tiedoista.

3.   Tietosuojavastaava voi pyytää kirjallisesti rekisterinpitäjää tarkastelemaan uudelleen rajoitusten soveltamista. Rekisterinpitäjän on ilmoitettava tietosuojavastaavalle kirjallisesti pyydetyn uudelleentarkastelun tuloksista.

4.   Rekisterinpitäjän on ilmoitettava tietosuojavastaavalle, kun rajoitus on poistettu.

1.   Asianmukaisesti perustelluissa tapauksissa ja tässä päätöksessä esitetyin edellytyksin rekisterinpitäjä voi rajoittaa oikeutta tiedon saamiseen seuraavien käsittelytoimien yhteydessä:

Viraston on sisällytettävä tietosuojaselosteisiin, tietosuojaperiaatteisiin tai asetuksen (EU) 2018/1725 31 artiklassa tarkoitettuun käsittelytoimia koskevaan selosteeseen, jotka julkaistaan sen verkkosivuilla ja/tai intranetissä ja joissa kerrotaan rekisteröidyille näiden oikeuksista tietyssä menettelyssä, myös tietoa näiden oikeuksien mahdollisesta rajoittamisesta. Tiedoissa on ilmoitettava, mitä oikeuksia voidaan rajoittaa, rajoittamisen syyt ja mahdollinen kesto.

2.   Sen estämättä, mitä 3 kohdan määräyksissä määrätään, viraston on, aina kun se on asianmukaista, ilmoitettava erikseen kaikille rekisteröidyille, jotka ovat asianosaisia henkilöitä tietyssä käsittelytoimessa, heidän oikeuksistaan, jotka liittyvät nykyisiin tai tuleviin rajoituksiin, viipymättä ja kirjallisesti.

3.   Jos virasto rajoittaa, kokonaan tai osittain, 2 kohdassa tarkoitettujen rekisteröityjen tiedonsaantia, sen on dokumentoitava rajoituksen syyt ja oikeusperusta tämän päätöksen 3 artiklan mukaisesti sekä arviointi rajoituksen välttämättömyydestä ja oikeasuhteisuudesta.

Kirjatut tiedot ja tarvittaessa asiakirjat, joista perusteena olevat seikat tai oikeudelliset syyt käyvät ilmi, on rekisteröitävä. Ne on annettava pyynnöstä Euroopan tietosuojavaltuutetun käyttöön.

4.   Edellä 3 kohdassa tarkoitettua rajoitusta sovelletaan niin kauan kuin sen perusteet ovat voimassa.

Jos rajoituksen perusteita ei voida enää soveltaa, viraston on annettava rekisteröidylle tietoa tärkeimmistä perusteista, joihin rajoituksen soveltaminen pohjautuu. Viraston on samalla ilmoitettava rekisteröidylle tämän oikeudesta tehdä milloin tahansa kantelu Euroopan tietosuojavaltuutetulle tai oikeudesta käyttää oikeussuojakeinoja Euroopan unionin tuomioistuimessa.

Viraston on tarkasteltava rajoituksen soveltamista ja vahvistettava, onko rajoituksen soveltamisen jatkamiselle tosiseikkoihin liittyviä ja oikeudellisia perusteita, kuuden kuukauden välein rajoituksen soveltamisesta ja asiaankuuluvan tutkimuksen tai menettelyn päättyessä. Tämän jälkeen rekisterinpitäjän on seurattava määräajoin kuuden kuukauden välein, onko rajoitus tarpeen pitää voimassa.

1.   Asianmukaisesti perustelluissa tapauksissa ja tässä päätöksessä esitetyin ehdoin rekisterinpitäjä voi rajoittaa oikeutta saada pääsy tietoihin seuraavien käsittelytoimien yhteydessä, kun se on tarpeellista ja oikeasuhteista:

Jos rekisteröidyt pyytävät pääsyä yhden tai useamman asian yhteydessä tai tietyssä käsittelytoimessa käsiteltäviin henkilötietoihinsa asetuksen (EU) 2018/1725 17 artiklan mukaisesti, viraston on rajattava pyynnön arviointi vain näihin henkilötietoihin.

2.   Kun virasto kokonaan tai osittain rajoittaa asetuksen (EU) 2018/1725 17 artiklassa tarkoitettua rekisteröityjen oikeutta päästä henkilötietoihin, sen on toteutettava seuraavat toimenpiteet:

Edellä a luetelmakohdassa tarkoitettua ilmoitusta voidaan lykätä, se voidaan jättää antamatta tai se voidaan evätä, jos se poistaisi asetuksen (EU) 2018/1725 25 artiklan 8 kohdan nojalla asetetun rajoituksen vaikutuksen.

Viraston on tarkasteltava rajoituksen soveltamista ja vahvistettava, onko rajoituksen soveltamisen jatkamiselle tosiseikkoihin liittyviä ja oikeudellisia perusteita, kuuden kuukauden välein rajoituksen soveltamisesta ja asiaankuuluvan tutkimuksen päättyessä. Tämän jälkeen rekisterinpitäjän on seurattava määräajoin kuuden kuukauden välein, onko rajoitus tarpeen pitää voimassa.

3.   Kirjatut tiedot ja tarvittaessa asiakirjat, joista perusteena olevat seikat tai oikeudelliset syyt käyvät ilmi, on rekisteröitävä. Ne on annettava pyynnöstä Euroopan tietosuojavaltuutetun käyttöön.

1.   Asianmukaisesti perustelluissa tapauksissa ja tässä päätöksessä esitetyin edellytyksin rekisterinpitäjä voi rajoittaa oikeutta tietojen oikaisemiseen, poistamiseen ja käsittelyn rajoittamiseen seuraavien käsittelytoimien yhteydessä, kun se on tarpeellista ja asianmukaista:

2.   Kun virasto kokonaan tai osittain rajoittaa asetuksen (EU) 2018/1725 18 artiklassa tarkoitettua oikeutta tietojen oikaisemiseen, 19 artiklan 1 kohdassa tarkoitettua oikeutta tietojen poistamiseen tai 20 artiklan 1 kohdassa tarkoitettua oikeutta käsittelyn rajoittamiseen, sen on toteuttava tämän päätöksen 6 artiklan 2 kohdassa tarkoitetut toimenpiteet. Tämän päätöksen 6 artiklan 3 kohtaa on sovellettava kaikkiin tämän artiklan nojalla toimeenpantuihin rajoituksiin.

1.   Asianmukaisesti perustelluissa tapauksissa ja tässä päätöksessä esitetyin ehdoin rekisterinpitäjä voi rajoittaa oikeutta henkilötietojen tietoturvaloukkauksista ilmoittamiseen seuraavien käsittelytoimien yhteydessä, kun se on tarpeellista ja asianmukaista:

2.   Asianmukaisesti perustelluissa tapauksissa ja tässä päätöksessä esitetyin ehdoin rekisterinpitäjä voi rajoittaa oikeutta sähköisen viestinnän luottamuksellisuuteen seuraavien käsittelytoimien yhteydessä, kun se on tarpeellista ja asianmukaista:

3.   Jos virasto rajoittaa asetuksen (EU) 2018/1725 35 artiklassa tarkoitettua henkilötietojen tietoturvaloukkauksesta ilmoittamista rekisteröidyille tai 36 artiklassa tarkoitettua sähköisen viestinnän luottamuksellisuutta, sen on toteutettava toimenpiteet tämän päätöksen 5 artiklan 3 kohdan ja 5 artiklan 4 kohdan mukaisesti. Tämän päätöksen 6 artiklan 3 kohtaa on sovellettava kaikkiin tämän artiklan nojalla toimeenpantuihin rajoituksiin.