1.   Tässä päätöksessä vahvistetaan säännöt edellytyksille, joiden nojalla FCH 2 -yhteisyritys voi 2 kohdassa esitettyjen menettelyjensä yhteydessä rajoittaa asetuksen (EU) 2018/1725 25 artiklan mukaisesti kyseisen asetuksen 14–21, 35 ja 36 artiklassa sekä 4 artiklassa vahvistettujen oikeuksien soveltamista.

2.   FCH 2 -yhteisyrityksen hallinnollisen toiminnan yhteydessä tätä päätöstä sovelletaan FCH 2 ‐yhteisyrityksen ohjelmatoimiston seuraavia tarkoituksia varten suorittamiin henkilötietojen käsittelytoimiin: hallinnollisten tutkimusten tekeminen, kurinpitomenettelyt, alustavat toimet, jotka liittyvät Euroopan petostentorjuntavirastolle ilmoitettuihin mahdollisiin säännönvastaisuuksiin, väärinkäytösten paljastamismenettelyjen käsittely, (viralliset ja epäviralliset) häirintätapauksia koskevat menettelyt, sisäisten ja ulkoisten valitusten käsittely, sisäisten tarkastusten tekeminen, tietosuojavastaavan asetuksen (EU) 2018/1725 45 artiklan 2 kohdan mukaisesti tekemät tutkimukset ja sisäisesti tai ulkoisella tuella (esim. EU:n toimielinten, elinten ja virastojen tietotekniikan kriisiryhmän avulla) käsiteltävät (tieto)turvatutkimukset.

3.   Kyseessä olevat tietoryhmät ovat ”kovia” tietoja (objektiivisia tietoja, kuten tunnistetietoja, yhteystietoja, ammatillisia tietoja, hallinnollisia tietoja, erityisistä lähteistä saatuja tietoja, sähköistä viestintää ja tietojen liikennettä koskevia tietoja) ja ”pehmeitä” tietoja (tapaukseen liittyviä subjektiivisia tietoja, kuten päättelyä, käyttäytymistietoja, arviointeja, suorituskykyä ja käytöstä koskevia tietoja ja menettelyn tai toimen aiheeseen liittyviä tai sen yhteydessä esitettyjä tietoja).

4.   Kun FCH 2 -yhteisyritys suorittaa rekisteröityjen oikeuksia koskevia velvollisuuksiaan asetuksen (EU) 2018/1725 mukaisesti, sen on otettava huomioon, sovelletaanko jotakin kyseisessä asetuksessa säädettyä poikkeusta.

5.   Tässä päätöksessä säädetyin edellytyksin rajoituksia voidaan soveltaa seuraaviin oikeuksiin: tietojen antaminen rekisteröidyille, rekisteröidyn oikeus saada pääsy tietoihin, oikaista tiedot, poistaa tiedot ja rajoittaa käsittelyä sekä rekisteröidyn oikeus saada tieto henkilötietojen tietoturvaloukkauksesta tai oikeus viestinnän luottamuksellisuuteen.

1.   Yhteisyrityksen on otettava käyttöön seuraavat suojatoimet, joiden tarkoituksena on estää henkilötietojen väärinkäyttö tai lainvastainen pääsy henkilötietoihin tai henkilötietojen lainvastainen siirtäminen (4):

2.   Edellä 1 artiklan 3 kohdassa tarkoitettuja henkilötietoja on säilytettävä ainoastaan niin kauan kuin on tarpeellista ja asianmukaista tietojenkäsittelyn tarkoitusta varten. Säilytysaika ei saa missään tapauksessa olla pidempi kuin tietoturvaselosteissa, tietosuojaselosteissa tai 6 artiklassa tarkoitetuissa tiedoissa määritetty säilytysaika.

3.   Jos FCH 2 -yhteisyritys aikoo soveltaa rajoitusta, rekisteröidyn oikeuksia ja vapauksia koskevia riskejä punnitaan erityisesti muiden rekisteröityjen oikeuksia ja vapauksia koskevan riskin perusteella sekä sen riskin perusteella, että yhteisyrityksen tutkimusten tai menettelyjen vaikutus poistuu esimerkiksi todisteiden tuhoutumisen vuoksi. Rekisteröidyn oikeuksia ja vapauksia koskevat riskit liittyvät ensisijaisesti muun muassa maineriskeihin sekä oikeuteen puolustautua ja tulla kuulluksi.

1.   FCH 2 -yhteisyrityksen on sovellettava rajoituksia vain seuraavien takaamiseksi:

2.   Edellä 1 kohdassa kuvattuihin tarkoituksiin FCH 2 -yhteisyritys voi erityisesti soveltaa rajoituksia seuraavissa olosuhteissa:

1.   Asianmukaisesti perustelluissa tapauksissa ja tässä päätöksessä esitetyin edellytyksin rekisterinpitäjä voi rajoittaa seuraavia oikeuksia alla 2 kohdassa lueteltujen käsittelytoimien yhteydessä, kun se on tarpeellista ja oikeasuhteista:

2.   Asetuksen (EU) 2018/1725 25 artiklan 2 kohdan a alakohdan mukaisesti, asianmukaisesti perustelluissa tapauksissa ja tässä päätöksessä esitetyin edellytyksin rekisterinpitäjä voi asettaa rajoituksia seuraavien käsittelytoimien yhteydessä:

Rajoitusta sovelletaan niin kauan kuin sen perusteet ovat voimassa.

3.   Kun yhteisyritys kokonaan tai osittain rajoittaa edellä 1 kohdassa tarkoitettuja oikeuksia, sen on toteutettava tämän päätöksen 6 ja 7 artiklassa säädetyt toimenpiteet.

4.   Jos rekisteröity pyytää pääsyä yhden tai useamman erityistapauksen yhteydessä käsiteltäviin henkilötietoihinsa tai tiettyyn käsittelytoimeen asetuksen (EU) 2018/1725 17 artiklan mukaisesti, FCH 2 -yhteisyritys rajoittaa pyynnön arvioinnin vain kyseisiin henkilötietoihin.

1.   Kaikkien 5 artiklassa tarkoitettujen rajoitusten on oltava tarpeellisia ja oikeasuhteisia, ja niissä on otettava huomioon riskit rekisteröityjen oikeuksille ja vapauksille ja noudatettava olennaisilta osin perusoikeuksia ja -vapauksia demokraattisessa yhteiskunnassa.

2.   Jos rajoituksen soveltamista harkitaan, on tehtävä tarpeellisuuden ja oikeasuhteisuuden testi näiden sääntöjen perusteella. Testi on tehtävä myös kunkin säännöllisen uudelleentarkastelun yhteydessä sen jälkeen, kun on arvioitu, ovatko rajoituksen tosiasialliset ja oikeudelliset syyt edelleen päteviä. Se on dokumentoitava sisäisessä arviointimuistiossa tapauskohtaisesti vastuuvelvollisuutta varten.

3.   Rajoitusten on oltava väliaikaisia ja ne on poistettava heti, kun niihin oikeuttavat olosuhteet eivät enää ole voimassa. Tämä pätee etenkin, jos katsotaan, että rajoitetun oikeuden käyttö ei enää poistaisi säädetyn rajoituksen vaikutusta tai että se ei enää vaikuttaisi epäedullisesti muiden rekisteröityjen oikeuksiin tai velvollisuuksiin.

Yhteisyrityksen on tarkasteltava rajoitusta uudelleen kuuden kuukauden välein sekä kyseisen selvityksen, menettelyn tai tutkinnan päättämisen yhteydessä. Tämän jälkeen rekisterinpitäjän on seurattava kuuden kuukauden välein, onko rajoitus tarpeen pitää voimassa.

4.   Jos FCH 2 -yhteisyritys soveltaa kokonaan tai osittain tämän päätöksen 5 artiklassa esitettyjä rajoituksia, sen on kirjattava rajoituksen syyt ja oikeusperusta edellä olevan 1 kohdan mukaisesti sekä arvio rajoituksen tarpeellisuudesta ja oikeasuhteisuudesta.

Kirjatut tiedot ja tarvittaessa asiakirjat, joista perusteena olevat seikat tai oikeudelliset syyt käyvät ilmi, on rekisteröitävä. Ne on pyynnöstä annettava Euroopan tietosuojavaltuutetun käyttöön.

1.   FCH 2 -yhteisyrityksen on liitettävä tietoturvaselosteisiin, tietosuojaselosteisiin tai muihin asetuksen (EU) 2018/1725 31 artiklassa tarkoitettuihin tietoihin, jotka julkaistaan sen verkkosivustolla ja/tai intranetissä ja joilla ilmoitetaan rekisteröidyille näiden oikeuksista kyseisen menettelyn yhteydessä, tiedot näiden oikeuksien mahdollisesta rajoittamisesta. Tiedoissa on ilmoitettava, mitä oikeuksia voidaan rajoittaa, mistä syystä ja miten pitkäksi aikaa.

Sanotun rajoittamatta 6 artiklan 4 kohdan säännöksiä ja kun se on oikeasuhteista, FCH 2 ‐yhteisyrityksen on myös ilmoitettava ilman aiheetonta viivytystä ja kirjallisesti yksittäin kaikille rekisteröidyille, jotka katsotaan tietyssä käsittelytoimessa asianomaisiksi henkilöiksi, näiden oikeuksista, jotka koskevat nykyisiä tai tulevia rajoituksia.

2.   Kun FCH 2 -yhteisyritys kokonaan tai osittain rajoittaa edellä 5 artiklassa tarkoitettuja oikeuksia, sen on ilmoitettava kyseiselle rekisteröidylle sovelletusta rajoituksesta ja sen pääasiallisista syistä sekä mahdollisuudesta tehdä kantelu Euroopan tietosuojavaltuutetulle tai viedä asia Euroopan unionin tuomioistuimeen.

Edellä 2 kohdassa tarkoitettua ilmoitusta voidaan lykätä, se voidaan jättää antamatta tai se voidaan evätä, jos se poistaisi rajoituksen vaikutuksen asetuksen (EU) 2018/1725 25 artiklan 8 kohdan mukaisesti.

1.   FCH 2 -yhteisyrityksen on ilmoitettava yhteisyrityksen tietosuojavastaavalle viipymättä aina, kun rekisterinpitäjä rajoittaa rekisteröidyn oikeuksia tai jatkaa rajoituksen voimassaoloa tämän päätöksen mukaisesti. Rekisterinpitäjän on annettava tietosuojavastaavalle pääsy kirjattuihin tietoihin, jotka sisältävät rajoituksen tarpeellisuuden ja oikeasuhteisuuden arvioinnin, ja dokumentoitava päivämäärä, jona tietosuojavastaavalle ilmoitettiin kirjatuista tiedoista.

2.   Tietosuojavastaava voi kirjallisesti pyytää rekisterinpitäjää tarkastelemaan uudelleen rajoitusten soveltamista. Rekisterinpitäjän on kirjallisesti ilmoitettava tietosuojavastaavalle pyydetyn uudelleentarkastelun tuloksista.

3.   Tietosuojavastaavan on oltava mukana menettelyn kaikissa vaiheissa. Rekisterinpitäjän on ilmoitettava tietosuojavastaavalle, kun rajoitus on poistettu.