1.   La présente décision fixe les conditions dans lesquelles l'Agence, dans le cadre de ses procédures visées au point 2, peut limiter l'application des droits consacrés aux articles 14 à 21, 35 et 36, ainsi qu'à l'article 4 des présentes, conformément à l'article 25 du règlement (UE) 2018/1725.

2.   Dans le cadre du fonctionnement administratif de l'Agence, la présente décision s'applique aux opérations de traitement des données à caractère personnel effectuées par l'Office dans le but de mener des enquêtes administratives, des procédures disciplinaires, des activités préliminaires en lien avec des affaires d'irrégularités potentielles signalées à l'OLAF, de traiter des cas d'alerte éthique, des procédures (formelles et informelles) de prévention du harcèlement ou encore des réclamations internes et externes, et de mener des audits internes, des enquêtes par le délégué à la protection des données conformément à l'article 45, paragraphe 2, du règlement (UE) 2018/1725 ainsi que des enquêtes de sécurité (informatique) conduites en interne ou impliquant une participation externe (CERT-EU, par exemple).

3.   Les catégories de données concernées sont des données vérifiables (les données «objectives» telles que les données d'identification, les coordonnées, les données professionnelles, les données administratives, les données provenant de sources spécifiques, les communications électroniques et les données relatives au trafic) et/ou des données non vérifiées (les données «subjectives» concernant le cas d'espèce, telles que la motivation, les données relatives au comportement, les appréciations, les performances et la conduite, et les données relatives à l'objet de la procédure ou de l'activité ou encore les données présentées dans le cadre de la procédure ou de l'activité).

4.   Lorsque l'Agence exerce ses fonctions en ce qui concerne les droits des personnes concernées en vertu du règlement (UE) 2018/1725, elle examine si l'une des exceptions établies dans ledit règlement s'applique.

5.   Sous réserve des conditions énoncées dans la présente décision, les limitations peuvent s'appliquer aux droits ci-après: la communication d'informations à des personnes concernées, le droit d'accès, de rectification, de suppression, de limitation du traitement, de communication à la personne concernée d'une violation de ses données à caractère personnel ou le droit relatif à la confidentialité des communications.

1.   Les mesures de protection mises en place pour éviter les violations de données, les fuites de données ou encore la divulgation non autorisée des données sont les suivantes:

2.   L'Agence fait office de responsable des opérations de traitement; elle est représentée par son directeur exécutif, qui peut déléguer la fonction de responsable du traitement. Les personnes concernées sont informées de la délégation de la fonction de responsable du traitement au moyen des avis ou registres relatifs à la protection des données publiés sur le site web et/ou l'intranet de l'Agence.

3.   La durée de conservation des données à caractère personnel visées à l'article 1, paragraphe 3, ne doit pas excéder la durée nécessaire et appropriée pour parvenir aux fins pour lesquelles les données sont traitées. En tout état de cause, elle ne dépasse pas la durée de conservation spécifiée dans les avis relatifs à la protection des données, dans les déclarations de confidentialité ou dans les dossiers visés à l'article 5, paragraphe 1.

4.   Lorsque l'Agence envisage d'appliquer une limitation, le risque pour les droits et libertés de la personne concernée est pondéré, notamment au regard du risque pour les droits et libertés d'autres personnes concernées et du risque de nuire à l'efficacité des enquêtes ou des procédures de l'Agence, par exemple par la destruction d'éléments de preuve. Les risques qui pèsent sur les droits et libertés de la personne concernée concernent principalement, mais sans s'y limiter, les risques pour la réputation ainsi que les risques pour les droits à la défense et le droit à être entendu.

1.   Toute limitation ne peut être appliquée que par l'Agence pour garantir:

2.   Au titre de l'application spécifique des objectifs décrits au paragraphe 1 ci-avant, l'Agence peut appliquer des limitations par rapport à des données à caractère personnel échangées avec les services de la Commission ou d'autres institutions, organes et organismes de l'Union, avec des autorités compétentes des États membres ou de pays tiers ou encore avec des organisations internationales, dans les circonstances suivantes:

Avant d'appliquer des limitations dans les cas visés aux points a) et b) du premier alinéa, l'Agence consulte les services compétents de la Commission, les institutions, organes et organismes concernés de l'Union ou les autorités compétentes des États membres, à moins qu'il ne soit manifeste pour elle que l'application d'une limitation est prévue par l'un des actes visés à ces points.

3.   Toute limitation est nécessaire et proportionnée au regard des risques pour les droits et libertés des personnes concernées et respecte le contenu essentiel des libertés et droits fondamentaux dans une société démocratique.

4.   Si l'application d'une limitation est envisagée, une évaluation de la nécessité et de la proportionnalité est effectuée sur la base des présentes règles. Elle est documentée dans chaque cas au moyen d'une note d'évaluation interne dans une optique de responsabilité.

5.   Les limitations sont levées dès que les circonstances qui les justifient ne sont plus d'application. Plus particulièrement, lorsqu'il est considéré que l'exercice du droit limité ne compromettrait plus l'efficacité de la limitation imposée ou ne porterait plus atteinte aux droits ou libertés d'autres personnes concernées.

1.   L'Agence informe, sans retard injustifié, le délégué à la protection des données de l'Agence (le «DPD») chaque fois que le responsable du traitement limite l'application des droits des personnes concernées, ou étend la limitation, conformément à la présente décision. Le responsable du traitement fournit au DPD un accès au dossier contenant l'évaluation de la nécessité et de la proportionnalité de la limitation et consigne dans le dossier la date à laquelle le DPD a été informé.

2.   Le DPD peut demander au responsable du traitement, par écrit, de réexaminer l'application des limitations. Le responsable du traitement informe le DPD par écrit du résultat du réexamen demandé.

3.   Le responsable du traitement informe le DPD de la levée de la limitation.

1.   Dans certains cas dûment justifiés et dans les conditions prévues dans la présente décision, le droit à l'information peut être limité par le responsable du traitement dans le cadre des opérations de traitement suivantes:

Dans les avis relatifs à la protection des données, les déclarations de confidentialité ou les dossiers au sens de l'article 31 du règlement (UE) 2018/1725, publiés sur son site web et/ou sur son intranet, informant les personnes concernées de leurs droits dans le cadre d'une procédure donnée, l'Agence inclut des informations relatives à la limitation potentielle de ces droits. Ces informations portent sur les droits susceptibles d'être limités, les raisons de ces limitations éventuelles et la durée potentielle de ces limitations.

2.   Sans préjudice des dispositions du paragraphe 3, l'Agence informe individuellement, lorsque cela est proportionné, toutes les personnes concernées, qui sont considérées comme des personnes concernées par l'opération de traitement spécifique, de leurs droits au regard des limitations actuelles ou futures, sans retard injustifié et par écrit.

3.   Lorsque l'Agence limite, en tout ou en partie, la communication d'informations aux personnes concernées visées au paragraphe 2, elle consigne les motifs et la base juridique de la limitation conformément à l'article 3 de la présente décision, accompagnés d'une évaluation de la nécessité et de la proportionnalité de la limitation.

Le dossier et, le cas échéant, les documents contenant des éléments factuels et juridiques sous-jacents sont consignés dans un registre. Ils sont mis à la disposition du Contrôleur européen de la protection des données si ce dernier en fait la demande.

4.   Les limitations visées au paragraphe 3 continuent de s'appliquer tant que les raisons les justifiant persistent.

Lorsque les raisons des limitations ne s'appliquent plus, l'Agence informe la personne concernée des principales raisons qui motivent l'application d'une limitation. Dans le même temps, elle informe la personne concernée de son droit de déposer une réclamation auprès du Contrôleur européen de la protection des données à tout moment ou de former un recours juridictionnel devant la Cour de justice de l'Union européenne.

L'Agence examine l'application de la limitation tous les six mois à compter de son adoption et à la clôture de l'enquête ou de la procédure en question. Par la suite, le responsable du traitement vérifie la nécessité de maintenir la limitation tous les six mois.

1.   Dans certains cas dûment justifiés et dans les conditions prévues dans la présente décision, le droit d'accès peut être limité par le responsable du traitement dans le cadre des opérations de traitement suivantes, lorsque cela est nécessaire et proportionné:

Dans les cas où les personnes concernées demandent à accéder à leurs données à caractère personnel traitées dans le cadre d'un ou de plusieurs cas spécifiques ou d'une opération de traitement particulière, conformément à l'article 17 du règlement (UE) 2018/1725, l'Agence limite son examen de la demande à ces seules données à caractère personnel.

2.   Lorsque l'Agence limite, en tout ou en partie, le droit d'accès visé à l'article 17 du règlement (UE) 2018/1725, elle prend les mesures suivantes:

La communication des informations visées au point a) peut être différée, omise ou refusée si elle prive d'effet la limitation conformément à l'article 25, paragraphe 8, du règlement (UE) 2018/1725.

L'Agence examine l'application de la limitation tous les six mois à compter de son adoption et à la clôture de l'enquête en question. Par la suite, le responsable du traitement vérifie la nécessité de maintenir la limitation tous les six mois.

3.   Le dossier et, le cas échéant, les documents contenant des éléments factuels et juridiques sous-jacents sont consignés dans un registre. Ils sont mis à la disposition du Contrôleur européen de la protection des données si ce dernier en fait la demande.

1.   Dans certains cas dûment justifiés et dans les conditions prévues dans la présente décision, le droit de rectification, le droit à l'effacement et le droit à la limitation du traitement peuvent être restreints par le responsable du traitement dans le cadre des opérations de traitement suivantes, lorsque cela est nécessaire et approprié:

2.   Dans le cas où l'Agence limite, en tout ou en partie, l'application du droit de rectification, du droit à l'effacement ou du droit à la limitation du traitement, visés aux articles 18, 19, paragraphe 1, et 20, paragraphe 1, du règlement (UE) 2018/1725, elle prend les mesures visées à l'article 6, paragraphe 2, de la présente décision, et consigne le dossier conformément à l'article 6, paragraphe 3, des présentes.

1.   Dans certains cas dûment justifiés et dans les conditions prévues dans la présente décision, le droit à la communication d'une violation des données à caractère personnel peut être limité par le responsable du traitement dans le cadre des opérations de traitement suivantes, lorsque cela est nécessaire et approprié:

2.   Dans certains cas dûment justifiés et dans les conditions prévues dans la présente décision, le droit à la confidentialité des communications électroniques peut être limité par le responsable du traitement dans le cadre des opérations de traitement suivantes, lorsque cela est nécessaire et approprié:

3.   Lorsque l'Agence limite la communication d'une violation de données à caractère personnel à la personne concernée ou la confidentialité des communications électroniques visées aux articles 35 et 36 du règlement (UE) 2018/1725, elle consigne et enregistre les motifs de la limitation conformément à l'article 5, paragraphe 3, de la présente décision. L'article 5, paragraphe 4, de la présente décision s'applique.