1.   U ovoj se Odluci utvrđuju pravila koja se odnose na uvjete pod kojima EFSA u okviru svojih postupaka utvrđenih u stavku 2. može ograničiti primjenu prava iz članaka od 14. do 21., 35. i 36. kao i članka 4., u skladu s člankom 25. Uredbe (EU) 2018/1725.

2.   U okviru upravnog djelovanja EFSA-e, ova se Odluka primjenjuje na postupke obrade osobnih podataka koje EFSA provodi u svrhe izvršavanja administrativnih istraga, disciplinskih postupaka, preliminarnih aktivnosti u vezi sa slučajevima potencijalnih nepravilnosti prijavljenih OLAF-u, obrade slučajeva zviždanja, (formalnih i neformalnih) postupaka u slučajevima uznemiravanja, obrade unutarnjih i vanjskih pritužbi, unutarnjih revizija, istraga koje provodi službenik za zaštitu podataka u skladu s člankom 45. stavkom 2. Uredbe (EU) 2018/1725 i internih sigurnosnih istraga (u području informacijskih tehnologija) ili uz angažiranje vanjskih sudionika (npr. CERT-EU).

3.   Predmetne kategorije podataka su pouzdani podatci („objektivni” podatci kao što su identifikacijski podatci, podatci za kontakt, profesionalni podatci, administrativne pojedinosti, podatci primljeni iz određenih izvora, elektronička komunikacija i podatci o prometu) i/ili nepouzdani podatci („subjektivni” podatci koji se odnose na predmet, kao što su obrazloženje, podatci o ponašanju, procjene, podatci o rezultatima i ponašanju i podatci koji se odnose na predmet postupka ili aktivnost ili se u vezi s njima iznose).

4.   Ako EFSA obavlja svoje dužnosti u odnosu na prava ispitanika u skladu s Uredbom (EU) 2018/1725, dužna je razmotriti primjenjuje li se bilo koje izuzeće utvrđeno tom Uredbom.

5.   U skladu s uvjetima navedenima u ovoj Odluci, ograničenja se mogu primjenjivati na sljedeća prava: pružanje informacija ispitanicima, pravo na pristup, ispravak, brisanje, ograničenje obrade, obavješćivanje ispitanika o povredi osobnih podataka ili povjerljivost elektroničke komunikacije.

1.   Zaštitne mjere za izbjegavanje povreda podataka, odavanja ili neovlaštenog objavljivanja podataka su sljedeće:

2.   Voditelj obrade je EFSA, koju predstavlja njezin izvršni direktor koji može delegirati funkciju voditelja obrade. Ispitanici će biti obaviješteni o delegiranom voditelju obrade putem obavijesti o zaštiti podataka ili evidencija objavljenih na mrežnom mjestu EFSA-e, intranetskom portalu i/ili u Katalogu poslovnih usluga EFSA-e.

3.   Razdoblje zadržavanja osobnih podataka iz članka 1. stavka 3. trajat će najdulje onoliko koliko je potrebno i prikladno za svrhu u koju se podatci obrađuju. U svakom slučaju, neće biti dulje od razdoblja zadržavanja navedenog u obavijestima o zaštiti podataka, izjavama o privatnosti ili evidencijama iz članka 5. stavka 1.

4.   Ako EFSA razmatra primjenu ograničenja, ocjenjuje se rizik za prava i slobode ispitanika, posebno u odnosu na rizik za prava i slobode drugih ispitanika i rizik ukidanja učinka istraga ili postupaka EFSA-e, primjerice uništavanjem dokaza. Rizici za prava i slobode ispitanika prvenstveno se odnose, ali nisu ograničeni na rizike ugleda i rizike za pravo na obranu i pravo na saslušanje.

1.   EFSA primjenjuje sva ograničenja isključivo kako bi osigurala:

2.   Kao posebna primjena svrha opisanih u stavku 1., EFSA može primjenjivati ograničenja u vezi s osobnim podatcima razmijenjenima sa službama Komisije ili drugim institucijama, tijelima, agencijama i uredima Unije, nadležnim tijelima država članica ili trećih zemalja ili međunarodnim organizacijama, u sljedećim okolnostima:

Prije primjene ograničenja u okolnostima iz prethodno navedenih točaka (a) i (b), EFSA se savjetuje s odgovarajućim službama Komisije, institucijama, tijelima, agencijama, uredima Unije ili nadležnim tijelima država članica, osim ako je EFSA-i jasno da je primjena ograničenja predviđena jednim od akata navedenih u tim točkama.

3.   Svako ograničenje mora biti nužno i proporcionalno uzimajući u obzir rizike za prava i slobode ispitanika te poštovati suštinu temeljnih prava i sloboda u demokratskom društvu.

4.   Ako se razmatra primjena ograničenja, izvodi se ispitivanje nužnosti i proporcionalnosti na temelju postojećih pravila. Putem interne bilješke o procjeni dokumentira se u svrhu odgovornosti za svaki pojedinačni slučaj.

5.   Ograničenja se ukida čim okolnosti koje ih opravdavaju više nisu primjenjive, a posebno kad se smatra da se ostvarivanjem ograničenog prava više ne bi ugrožavala učinkovitost uvedenog ograničenja ili negativno utjecalo na prava ili slobode drugih ispitanika. U takvom se slučaju ograničenja ukida u najkraćem mogućem roku i u pravilu unutar pet radnih dana od dana promjene pravnih ili činjeničnih okolnosti.

1.   EFSA je dužna bez nepotrebnog odgađanja obavijestiti svojeg službenika za zaštitu podataka svaki put kada voditelj obrade ograniči primjenu prava ispitanika ili proširi ograničenje u skladu s ovom Odlukom. Voditelj obrade osigurava službeniku za zaštitu podataka pristup evidenciji koja sadržava procjenu nužnosti i proporcionalnosti ograničenja i dokumentirati datum obavješćivanja službenika za zaštitu podataka u evidenciji.

2.   Službenik za zaštitu podataka može od voditelja obrade pisanim putem zatražiti preispitivanje primjene ograničenja. Voditelj obrade dužan je pisanim putem obavijestiti službenika za zaštitu podataka o ishodu traženog preispitivanja.

3.   Voditelj obrade dužan je obavijestiti službenika za zaštitu podataka o ukidanju ograničenja.

1.   U propisno opravdanim slučajevima i pod uvjetima propisanima u ovoj odluci, voditelj obrade može ograničiti pravo na informacije u kontekstu sljedećih postupaka obrade:

EFSA u obavijesti o zaštiti podataka, izjavama o privatnosti ili evidenciji u smislu članka 31. Uredbe (EU) 2018/1725, objavljenima na svom mrežnom mjestu i/ili na intranetu, kojima se ispitanike obavještava o njihovim pravima u okviru određenog postupka, objavljuje informacije koje se odnose na moguće ograničenje tih prava. Informacije obuhvaćaju prava koja mogu biti ograničena, razloge i moguće trajanje.

2.   Ne dovodeći u pitanje odredbe stavka 3., EFSA također pojedinačno obavještava, ako je to razmjerno, sve ispitanike koji se smatraju osobama na koje se odnosi određeni postupak obrade, o njihovim pravima u vezi s postojećim ili budućim ograničenjima bez nepotrebnog odgađanja i u pisanom obliku.

3.   Ako EFSA u cijelosti ili djelomično ograniči pružanje informacija ispitanicima iz stavka 2., dužna je evidentirati razloge za ograničenje, pravnu osnovu u skladu s člankom 3. ove Odluke, uključujući procjenu nužnosti i proporcionalnosti ograničenja.

Evidencija i, ako je primjenjivo, dokumenti koji sadrže temeljne činjenične i pravne elemente moraju se registrirati. Daju se na uvid Europskom nadzorniku za zaštitu podataka na njegov zahtjev.

4.   Ograničenje iz stavka 3. i nastavlja se primjenjivati sve dok su primjenjivi i razlozi koji ga opravdavaju, a ukida se u najkraćem mogućem roku i u pravilu u roku od pet radnih dana od dana promjene pravnih ili činjeničnih okolnosti.

Ako se razlozi za ograničenje više ne primjenjuju, EFSA dostavlja ispitaniku informacije o glavnim razlozima na kojima se temelji primjena ograničenja. EFSA je istodobno obvezna obavijestiti ispitanika o mogućnosti podnošenja pritužbe Europskom nadzorniku za zaštitu podataka u bilo kojem trenutku ili traženja pravnog lijeka pred Sudom Europske unije.

EFSA preispituje primjenu ograničenja svakih šest mjeseci od njegovog donošenja i pri zatvaranju relevantnog ispitivanja, postupka ili istrage.

1.   U propisno opravdanim slučajevima i pod uvjetima propisanima u ovoj odluci, voditelj obrade može ograničiti pravo na pristup u kontekstu sljedećih postupaka obrade, ako je to potrebno i razmjerno:

Ako ispitanici zahtijevaju pristup svojim osobnim podatcima koji se obrađuju u kontekstu jednog ili više posebnih slučajeva ili određenom postupku obrade, u skladu s člankom 17. Uredbe (EU) 2018/1725, EFSA ograničava svoju procjenu zahtjeva na samo na takve osobne podatke.

2.   Ako EFSA u cijelosti ili djelomično ograniči pravo na pristup iz članka 17. Uredbe (EU) 2018/1725, dužna je poduzeti sljedeće korake:

Pružanje informacija iz točke (a) može se odgoditi, izostaviti ili odbiti ako bi se time poništio učinak ograničenja u skladu s člankom 25. stavkom 8. Uredbe (EU) 2018/1725.

EFSA preispituje primjenu ograničenja svakih šest mjeseci od njegovog usvajanja i pri zatvaranju relevantne istrage.

3.   Evidencija i, ako je primjenjivo, dokumenti koji sadrže temeljne činjenične i pravne elemente moraju se registrirati. Daju se na uvid Europskom nadzorniku za zaštitu podataka na njegov zahtjev.

1.   U propisno opravdanim slučajevima i pod uvjetima propisanima u ovoj odluci, voditelj obrade može ograničiti pravo na ispravak, brisanje i ograničenje u kontekstu sljedećih postupaka obrade, ako je to potrebno i razmjerno:

2.   Ako EFSA u cijelosti ili djelomično ograniči primjenu prava na ispravak, brisanje i ograničenje obrade iz članka 18., članka 19. stavka 1. i članka 20. stavka 1. Uredbe (EU) 2018/1725, ona poduzima korake utvrđene u članku 6. stavku 2. ove Odluke i registrira evidenciju u skladu s člankom 6. stavkom 3. Uredbe.

1.   U propisno opravdanim slučajevima i pod uvjetima propisanima u ovoj odluci, voditelj obrade može ograničiti pravo na obavješćivanje o povredi osobnih podataka u kontekstu sljedećih postupaka obrade, ako je to potrebno i razmjerno:

2.   U propisno opravdanim slučajevima i pod uvjetima propisanima u ovoj odluci, voditelj obrade može ograničiti pravo na povjerljivost elektroničke komunikacije u kontekstu sljedećih postupaka obrade, ako je to potrebno i razmjerno:

3.   Ako EFSA ograniči obavješćivanje ispitanika o povredi osobnih podataka ili povjerljivost elektroničke komunikacije iz članaka 35. i 36. Uredbe (EU) 2018/1725, dužna je evidentirati i registrirati razloge za ograničenje u skladu s člankom 5 stavkom 3. ove odluke. Primjenjuje se članak 5. stavak 4. ove odluke.