1.   Tässä päätöksessä vahvistetaan säännöt edellytyksille, joiden nojalla EDA voi 2 kohdassa esitettyjen menettelyjensä yhteydessä rajoittaa 14–21, 35 ja 36 artiklassa sekä 4 artiklassa vahvistettujen oikeuksien soveltamista asetuksen (EU) 2018/1725 25 artiklan mukaisesti.

2.   EDAn hallinnollisen toiminnan yhteydessä tätä päätöstä sovelletaan EDAn seuraavia tarkoituksia varten suorittamiin henkilötietojen käsittelytoimiin: hallinnollisten tutkimusten tekeminen, kurinpitomenettelyt, alustavat toimet, jotka liittyvät Euroopan petostentorjuntavirastolle ilmoitettuihin mahdollisiin säännönvastaisuuksiin, väärinkäytösten paljastamismenettelyjen käsittely, häirintätapauksia koskevat menettelyt, sisäisten ja ulkoisten valitusten käsittely, tietosuojavastaavan asetuksen (EU) 2018/1725 45 artiklan 2 kohdan mukaisesti tekemät tutkimukset ja sisäisesti tai ulkoisella tuella käsiteltävät (tieto)turvatutkimukset.

3.   Kyseessä olevat tietoryhmät ovat kovia tietoja (”objektiivisia” tietoja, kuten tunnistetietoja, yhteystietoja, ammatillisia tietoja, hallinnollisia tietoja, erityisistä lähteistä saatuja tietoja, sähköistä viestintää ja liikennettä koskevia tietoja) ja/tai pehmeitä tietoja (tapaukseen liittyviä ”subjektiivisia” tietoja, kuten perusteluja, käyttäytymistietoja, arviointeja, suorituskykyä ja suoriutumista koskevia tietoja ja menettelyn tai toimen aiheeseen liittyviä tai sen yhteydessä esitettyjä tietoja).

4.   Kun EDA suorittaa rekisteröityjen oikeuksia koskevia velvollisuuksiaan asetuksen (EU) 2018/1725 mukaisesti, sen on otettava huomioon, sovelletaanko jotakin kyseisessä asetuksessa säädettyä poikkeusta.

5.   Rajoitukset voivat koskea seuraavia oikeuksia, jos tässä päätöksessä esitetyistä edellytyksistä ei muuta johdu: tietojen antaminen rekisteröidyille, oikeus tutustua tietoihin, oikaista tiedot, poistaa tiedot, rajoittaa käsittelyä, oikeus henkilötietojen tietoturvaloukkauksesta ilmoittamiseen rekisteröidylle tai oikeus tietojen luottamuksellisuuteen.

1.   Väärinkäytön tai lainvastaisen pääsyn tai siirtämisen estämiseksi käytössä ovat seuraavat suojatoimet:

2.   Edellä 1 artiklan 3 kohdassa tarkoitettuja henkilötietoja on säilytettävä ainoastaan niin kauan kuin on tarpeellista ja asianmukaista tietojenkäsittelyn tarkoitusta varten. Säilytysaika ei missään tapauksessa saa olla pidempi kuin tietosuojaselosteessa tai 5 artiklan 1 kohdassa tarkoitetuissa tiedoissa määritetty säilytysaika.

3.   Jos EDA aikoo soveltaa rajoitusta, rekisteröidyn oikeuksia ja vapauksia koskevia riskejä punnitaan erityisesti muiden rekisteröityjen oikeuksia ja vapauksia koskevan riskin perusteella sekä sen riskin perusteella, että EDAn tutkimusten tai menettelyjen vaikutus poistuu esimerkiksi sen vuoksi, että todisteita tuhotaan. Rekisteröidyn oikeuksia ja vapauksia koskevat riskit liittyvät etupäässä muun muassa maineriskeihin sekä riskeihin, jotka koskevat oikeutta puolustautua ja oikeutta tulla kuulluksi.

1.   Käsittelytoimien rekisterinpitäjä on EDA, jota edustaa sen pääjohtaja, joka voi siirtää rekisterinpitäjän tehtävän eteenpäin.

2.   Rekisteröidyille ilmoitetaan rekisterinpitäjän tehtävän siirtämisestä tietosuojaselosteissa, jotka julkaistaan EDAn verkkosivustolla.

1.   EDA sisällyttää asetuksen (EU) 2018/1725 31 artiklan mukaisiin tietosuojaselosteisiin, joissa kerrotaan rekisteröidylle tämän oikeuksista kyseessä olevan menettelyn yhteydessä ja jotka julkaistaan sen verkkosivustolla, tietoa näiden oikeuksien mahdollisista rajoituksista. Tiedoissa on ilmoitettava, mitä oikeuksia voidaan rajoittaa, rajoittamisen syyt ja mahdollinen kesto.

2.   EDAn on sovellettava rajoituksia vain seuraavien suojaamiseksi:

3.   EDA voi edellä 1 kohdassa kuvatun rajoituksen erityisenä soveltamistapana soveltaa rajoituksia komission yksiköiden tai muiden unionin toimielinten, elinten ja laitosten, jäsenvaltioiden toimivaltaisten viranomaisten tai kolmansien maiden tai kansainvälisten järjestöjen kanssa vaihdettaviin henkilötietoihin seuraavissa olosuhteissa:

Ennen rajoitusten soveltamista edellä kohdissa a ja b tarkoitetuissa olosuhteissa EDAn on kuultava asianomaisia komission yksiköitä, unionin toimielimiä, elimiä, virastoja ja toimistoja tai jäsenvaltioiden toimivaltaisia viranomaisia, paitsi jos EDAlle on selvää, että rajoituksen soveltamisesta säädetään jossakin kyseisissä kohdissa tarkoitetussa säädöksessä.

4.   Kaikkien rajoitusten on oltava tarpeellisia ja oikeasuhteisia, ja niissä on otettava huomioon rekisteröityjen oikeuksiin ja vapauksiin kohdistuvat riskit ja noudatettava olennaisilta osin perusoikeuksia ja -vapauksia demokraattisessa yhteiskunnassa.

5.   Jos rajoituksen soveltamista harkitaan, on tehtävä tarpeellisuuden ja oikeasuhteisuuden testi näiden sääntöjen perusteella. Se on dokumentoitava sisäisessä arviointimuistiossa tapauskohtaisesti vastuuvelvollisuuden vuoksi.

6.   EDAn on tarkasteltava rajoituksen soveltamista uudelleen kuuden kuukauden välein sen käyttöön ottamisesta sekä asiaankuuluvan tutkimuksen tai menettelyn päättämisen yhteydessä. Tämän jälkeen rekisterinpitäjän on seurattava kuuden kuukauden välein, onko rajoitus tarpeen pitää voimassa. Kirjatut tiedot ja tarvittaessa asiakirjat, joista perusteena olevat seikat tai oikeudelliset syyt käyvät ilmi, on rekisteröitävä. Ne on pyynnöstä annettava Euroopan tietosuojavaltuutetun käyttöön.

7.   Rajoitukset on poistettava heti, kun niiden käytön oikeuttavat olosuhteet eivät enää ole voimassa. Tämä pätee etenkin, jos katsotaan, että rajoitetun oikeuden käyttö ei enää poistaisi säädetyn rajoituksen vaikutusta tai että se vaikuttaa haitallisesti muiden rekisteröityjen oikeuksiin tai vapauksiin.

8.   Sanotun rajoittamatta 10 kohdan säännöksiä ja kun se on oikeasuhteista, EDAn on myös ilmoitettava ilman aiheetonta viivytystä kirjallisesti yksittäin kaikille rekisteröidyille, jotka katsotaan tietyssä käsittelytoimessa asianomaisiksi henkilöiksi, näiden oikeuksista, jotka koskevat nykyisiä tai tulevia rajoituksia.

9.   Jos EDA rajoittaa kokonaan tai osittain 9 kohdassa tarkoitettua tietojen antamista rekisteröidyille, sen on kirjattava rajoituksen syyt ja oikeusperusta tämän artiklan mukaisesti sekä rajoituksen tarpeellisuuden ja oikeasuhteisuuden arviointi. Kirjatut tiedot ja tarvittaessa asiakirjat, joista perusteena olevat seikat tai oikeudelliset syyt käyvät ilmi, on rekisteröitävä. Ne on pyynnöstä annettava Euroopan tietosuojavaltuutetun käyttöön.

10.   Edellä 10 kohdassa tarkoitettua rajoitusta sovelletaan niin kauan kuin sen perusteet ovat voimassa.

11.   Kun rajoituksen syyt eivät ole enää voimassa, EDAn on ilmoitettava rekisteröidylle pääasialliset syyt, joihin rajoituksen soveltaminen perustuu. EDAn on samalla ilmoitettava rekisteröidylle mahdollisuudesta tehdä milloin tahansa kantelu Euroopan tietosuojavaltuutetulle tai käyttää muita oikeussuojakeinoja Euroopan unionin tuomioistuimessa.

1.   EDAn on ilmoitettava omalle tietosuojavastaavalleen ilman aiheetonta viivytystä aina, kun rekisterinpitäjä rajoittaa rekisteröityjen oikeuksien soveltamista tai jatkaa rajoitusta tämän päätöksen mukaisesti. Rekisterinpitäjän on annettava tietosuojavastaavalle pääsy kirjattuihin tietoihin, jotka sisältävät rajoituksen tarpeellisuuden ja oikeasuhteisuuden arvioinnin, ja dokumentoitava päivämäärä, jona tietosuojavastaavalle on ilmoitettu kirjatuista tiedoista.

2.   Tietosuojavastaava voi pyytää kirjallisesti rekisterinpitäjää tarkistamaan rajoitusten soveltamista. Rekisterinpitäjän on ilmoitettava tietosuojavastaavalle kirjallisesti pyydetyn tarkistuksen tuloksista.

3.   Rekisterinpitäjän on ilmoitettava tietosuojavastaavalle, kun rajoitus on poistettu.

4.   Tietosuojavastaavan osallistuminen on dokumentoitava asianmukaisesti koko menettelyn ajan.

1.   Asianmukaisesti perustelluissa tapauksissa ja tässä päätöksessä esitetyin edellytyksin rekisterinpitäjä voi rajoittaa oikeutta saada pääsy tietoihin seuraavien käsittelytoimien yhteydessä, kun se on tarpeellista ja oikeasuhteista:

2.   Jos rekisteröidyt pyytävät pääsyä yhden tai useamman erityistapauksen yhteydessä käsiteltäviin henkilötietoihinsa tai tiettyyn käsittelytoimeen asetuksen (EU) 2018/1725 17 artiklan mukaisesti, EDA rajoittaa pyynnön arvioinnin vain kyseisiin henkilötietoihin.

3.   Kun EDA rajoittaa kokonaan tai osittain asetuksen (EU) 2018/1725 17 artiklassa tarkoitettua oikeutta saada pääsy henkilötietoihin, sen on toteutettava seuraavat toimenpiteet:

Edellä a luetelmakohdassa tarkoitettua ilmoitusta voidaan lykätä, se voidaan jättää antamatta tai se voidaan evätä, jos se poistaisi asetuksen (EU) 2018/1725 25 artiklan 8 kohdan nojalla asetetun rajoituksen vaikutuksen.

1.   Asianmukaisesti perustelluissa tapauksissa ja tässä päätöksessä esitetyin edellytyksin rekisterinpitäjä voi rajoittaa oikeutta tietojen oikaisemiseen, poistamiseen ja käsittelyn rajoittamiseen seuraavien käsittelytoimien yhteydessä, kun se on tarpeellista ja asianmukaista:

2.   Kun EDA rajoittaa kokonaan tai osittain asetuksen (EU) 2018/1725 18 artiklassa tarkoitettua oikeutta tietojen oikaisemiseen, 19 artiklan 1 kohdassa tarkoitettua oikeutta tietojen poistamiseen tai 20 artiklan 1 kohdassa tarkoitettua oikeutta käsittelyn rajoittamiseen, sen on toteuttava tämän päätöksen 6 artiklan 2 kohdassa tarkoitetut toimenpiteet ja rekisteröitävä kirjatut tiedot päätöksen 6 artiklan 3 kohdan mukaisesti.

1.   Asianmukaisesti perustelluissa tapauksissa ja tässä päätöksessä esitetyin edellytyksin rekisterinpitäjä voi rajoittaa oikeutta henkilötietojen tietoturvaloukkauksista ilmoittamiseen seuraavien käsittelytoimien yhteydessä, kun se on tarpeellista ja asianmukaista:

2.   Asianmukaisesti perustelluissa tapauksissa ja tässä päätöksessä esitetyin edellytyksin rekisterinpitäjä voi rajoittaa oikeutta sähköisen viestinnän luottamuksellisuuteen seuraavien käsittelytoimien yhteydessä, kun se on tarpeellista ja asianmukaista:

3.   Jos EDA rajoittaa asetuksen (EU) 2018/1725 35 artiklassa tarkoitettua henkilötietojen tietoturvaloukkauksesta ilmoittamista rekisteröidyille tai 36 artiklassa tarkoitettua sähköisen viestinnän luottamuksellisuutta, sen on kirjattava ja rekisteröitävä rajoituksen syyt tämän päätöksen 5 artiklan 3 kohdan mukaisesti. Tämän päätöksen 5 artiklan 4 kohtaa on sovellettava.