1.   La présente décision établit les règles relatives aux conditions dans lesquelles la FRA peut, dans le cadre des procédures définies au paragraphe 2, limiter l’application des droits inscrits aux articles 14 à 21, 35 et 36, ainsi qu’à l’article 4 du règlement (UE) 2018/1725, en vertu de son article 25.

2.   La présente décision s’applique, dans le cadre du fonctionnement administratif de la FRA, aux opérations de traitement de données à caractère personnel effectuées par l’Agence aux fins suivantes: mener des enquêtes administratives, des procédures pré-disciplinaires, des procédures disciplinaires, des procédures de suspension au titre de l’Annexe IX du statut, des activités liées à des cas d’irrégularités potentielles signalés à l’OLAF, traiter des cas de dénonciation de dysfonctionnements, des procédures (formelles et informelles) en cas de harcèlement, traiter des plaintes internes et externes, réaliser des audits internes/externes, confier la conduite d’enquêtes au délégué à la protection des données conformément à l’article 45, paragraphe 2, du règlement (UE) 2018/1725, et mener des enquêtes de sécurité (informatique) en interne ou avec une participation externe (p. ex. CERT-UE).

3.   La présente décision s’applique également aux opérations de traitement de données à caractère personnel lorsque la FRA est impliquée dans des affaires portées devant la Cour de justice de l’Union européenne soit pour saisir la Cour, soit pour défendre une décision qu’elle a prise et qui est attaquée devant la Cour ou pour intervenir dans des affaires relatives à ses missions. Dans ce contexte, l’Agence pourrait devoir préserver la confidentialité des données à caractère personnel contenues dans les documents obtenus par les parties ou les parties intervenantes.

4.   Les catégories de données concernées sont les données vérifiées (données «objectives», telles que les données d’identification, coordonnées, données professionnelles, données administratives, données provenant de sources spécifiques, communications électroniques et données relatives au trafic) et/ou les données non vérifiées (les données «subjectives» relatives à l’affaire, telles que le raisonnement, les données comportementales, les évaluations, les données relatives à la performance et à la conduite, ainsi que les données touchant à l’objet de la procédure ou de l’activité, ou soumises en rapport avec celui-ci).

5.   Lorsque la FRA exerce ses fonctions en ce qui concerne les droits des personnes concernées en vertu du règlement (UE) 2018/1725, elle examine si l’une des dérogations établies dans ledit règlement s’applique.

6.   Sous réserve des conditions énoncées dans la présente décision, les limitations peuvent s’appliquer aux droits suivants: la communication d’informations aux personnes concernées, le droit d’accès, de rectification, le droit à l’effacement, à la limitation du traitement, à la communication d’une violation de données à caractère personnel à la personne concernée ou à la confidentialité des communications.

1.   Les garanties mises en place pour éviter les violations, les fuites ou la divulgation non autorisée de données sont les suivantes:

2.   Le responsable du traitement est la FRA, représentée par son directeur, qui peut déléguer la fonction de responsable du traitement. Les personnes concernées sont informées de la délégation de la fonction de responsable du traitement au moyen des avis ou registres relatifs à la protection des données publiés sur le site web et/ou l’intranet de la FRA.

3.   La durée de conservation des données à caractère personnel visées à l’article 1er, paragraphe 3, n’est pas plus longue que ce qui est nécessaire et approprié au regard des finalités pour lesquelles ces données sont traitées. En tout état de cause, elle ne dépasse pas la durée de conservation spécifiée dans les avis relatifs à la protection de données, les déclarations de confidentialité ou les registres mentionnés à l’article 5, paragraphe 1.

4.   Lorsque l’Agence envisage d’appliquer une limitation, le risque pour les droits et libertés de la personne concernée doit être mis en balance, en particulier, avec le risque pour les droits et libertés d’autres personnes concernées et le risque de priver d’effet les enquêtes ou procédures de la FRA, notamment par la destruction de preuves. Les risques pour les droits et libertés de la personne concernée concernent principalement, mais pas seulement, les risques pour la réputation et les risques pour les droits de la défense et le droit d’être entendu.

1.   La FRA n’applique de limitations que dans les cas suivants:

2.   Aux fins spécifiques de l’application des finalités énoncées au paragraphe 1 ci-dessus, la FRA peut appliquer des limitations en ce qui concerne les données à caractère personnel échangées avec les services de la Commission ou d’autres institutions, organes et organismes de l’Union, les autorités compétentes des États membres ou de pays tiers ou les organisations internationales, dans les circonstances suivantes:

Avant d’appliquer des limitations dans les cas visés aux points a) et b) du premier alinéa, la FRA consulte les services compétents de la Commission, les institutions, organes, organismes et agences de l’Union ou les autorités compétentes des États membres à moins qu’il ne soit clair pour la FRA que l’application d’une limitation est prévue par l’un des actes visés à ces points.

3.   Toute limitation est nécessaire et proportionnée au regard des risques pour les droits et libertés des personnes concernées et respecte le contenu essentiel des libertés et droits fondamentaux dans une société démocratique.

4.   Si l’application de limitations est envisagée, une évaluation de la nécessité et de la proportionnalité est effectuée sur la base des règles en vigueur. Le résultat de cette évaluation est consigné dans une note d’évaluation interne, afin de rendre compte, au cas par cas, des limitations considérées.

5.   Les limitations sont levées dès que les circonstances qui les justifient cessent d’exister, en particulier, lorsqu’il est considéré que l’exercice du droit limité ne priverait plus d’effet la limitation imposée ou ne porterait plus atteinte aux droits ou aux libertés d’autres personnes concernées.

1.   La FRA fait participer, sans délai injustifié, le DPD à toutes les procédures pertinentes instituées par la présente décision et veille à ce que sa participation soit consignée. Cela inclut de consigner par écrit toutes les appréciations et avis pertinents rendus par le DPD concernant l’applicabilité d’une limitation à un cas spécifique.

2.   En particulier, l’Agence informe, dans les meilleurs délais, le DPD chaque fois que le responsable du traitement limite l’application des droits des personnes concernées, ou étend la limitation, conformément à la présente décision. Le responsable du traitement accorde au DPD un accès au registre contenant l’évaluation de la nécessité et de la proportionnalité de la limitation, et consigne la date à laquelle le DPD a été informé dans le registre.

3.   Le DPD peut demander au responsable du traitement, par écrit, de réexaminer l’application des limitations. Le responsable du traitement informe le DPD par écrit du résultat du réexamen demandé.

4.   Le responsable du traitement informe le DPD lorsque la limitation a été levée.

1.   Dans des cas dûment justifiés et dans les conditions prévues dans la présente décision, le droit à l’information peut être limité par le responsable du traitement dans le cadre des opérations de traitement suivantes:

La FRA inclut dans les avis relatifs à la protection des données, les déclarations de confidentialité ou les registres, au sens de l’article 31 du règlement (UE) 2018/1725, publiés sur son site web et/ou sur l’intranet pour informer les personnes concernées de leurs droits dans le cadre d’une procédure donnée, des informations relatives à la limitation potentielle de ces droits. Ces informations portent sur les droits susceptibles d’être limités, les motifs de la limitation ainsi que sa durée potentielle.

2.   En outre, sans préjudice des dispositions du paragraphe 3, la FRA informe individuellement, lorsque cela est proportionné, toutes les personnes concernées, qui sont considérées comme des personnes concernées par l’opération de traitement spécifique, de leurs droits au regard des limitations actuelles ou futures, sans retard injustifié et par écrit.

3.   Lorsque la FRA limite, en tout ou en partie, la communication d’informations aux personnes concernées visées au paragraphe 2, elle consigne dans un relevé les motifs de la limitation, le fondement juridique conformément à l’article 3 de la présente décision, accompagnés d’une évaluation de sa nécessité et de sa proportionnalité.

Le relevé et, le cas échéant, les documents contenant des éléments factuels et juridiques sous-jacents sont consignés dans un registre. Ils sont mis à la disposition du Contrôleur européen de la protection des données sur demande.

4.   La limitation visée au paragraphe 3 continue de s’appliquer tant que les raisons la justifiant persistent.

Lorsque les raisons de la limitation ne s’appliquent plus, la FRA fournit des informations à la personne concernée concernant les principales raisons sur lesquelles l’application d’une limitation est fondée. Dans le même temps, la FRA informe la personne concernée du droit de déposer une plainte auprès du Contrôleur européen de la protection des données à tout moment ou de former un recours juridictionnel devant la Cour de justice de l’Union européenne.

La FRA examine l’application de la limitation tous les six mois à compter de son adoption et à la clôture de l’enquête, de la procédure ou de l’instruction en question. Par la suite, le responsable du traitement vérifie la nécessité de maintenir la limitation sur une base annuelle.

1.   Dans des cas dûment justifiés et dans les conditions prévues dans la présente décision, le droit d’accès peut être limité par le responsable du traitement dans le cadre des opérations de traitement suivantes, lorsque cela est nécessaire et proportionné:

Dans les cas où les personnes concernées demandent à accéder à leurs données à caractère personnel traitées dans le cadre d’une ou de plusieurs affaires spécifiques ou d’une opération de traitement particulière, conformément à l’article 17 du règlement (UE) 2018/1725, la FRA limite son examen de la demande à ces seules données à caractère personnel.

2.   Lorsque la FRA limite, en tout ou en partie, le droit d’accès visé à l’article 17 du règlement (UE) 2018/1725, elle prend les mesures suivantes:

La communication des informations visées au point a) peut être différée, omise ou refusée si elle prive d’effet la limitation conformément à l’article 25, paragraphe 8, du règlement (UE) 2018/1725.

La FRA examine l’application de la limitation tous les six mois à compter de son adoption et à la clôture de l’enquête en question. Par la suite, le responsable du traitement vérifie la nécessité de maintenir la limitation sur une base annuelle.

3.   Le relevé et, le cas échéant, les documents contenant des éléments factuels et juridiques sous-jacents sont consignés dans un registre. Ils sont mis à la disposition du Contrôleur européen de la protection des données sur demande.

1.   Dans des cas dûment justifiés et dans les conditions prévues dans la présente décision, le droit de rectification, le droit à l’effacement et le droit à la limitation peuvent être limités par le responsable du traitement dans le cadre des opérations de traitement suivantes, lorsque cela est nécessaire et proportionné:

2.   Dans le cas où la FRA limite, en tout ou en partie, l’application du droit de rectification, du droit à l’effacement ou du droit à la limitation du traitement visés à l’article 18, à l’article 19, paragraphe 1, et à l’article 20, paragraphe 1, du règlement (UE) 2018/1725, elle prend les mesures visées à l’article 6, paragraphe 2, de la présente décision, et enregistre le relevé conformément à son article 6, paragraphe 3.

1.   Dans des cas dûment justifiés et dans les conditions prévues dans la présente décision, le droit à la communication d’une violation de données à caractère personnel peut être limité par le responsable du traitement dans le cadre des opérations de traitement suivantes, lorsque cela est nécessaire et proportionné:

2.   Dans des cas dûment justifiés et dans les conditions prévues dans la présente décision, le droit à la confidentialité des communications électroniques peut être limité par le responsable du traitement dans le cadre des opérations de traitement suivantes, lorsque cela est nécessaire et proportionné:

3.   Dans le cas où la FRA limite la communication d’une violation de données à caractère personnel à la personne concernée ou la confidentialité de communications électroniques visées aux articles 35 et 36 du règlement (UE) 2018/1725, elle consigne et enregistre les motifs de cette limitation conformément à l’article 5, paragraphe 3, de la présente décision. L’article 5, paragraphe 4, de la présente décision s’applique.