(1)   Ez a határozat általános szabályokat állapít meg azokra a feltételekre vonatkozóan, amelyek fennállása esetén az EUDPR 25. cikkének (1) bekezdése alapján az adatkezelők korlátozhatják az EUDPR 14., 15., 16., 17., 18., 19., 20., 21., 22., 35. és 36. cikkének, valamint az EUDPR 4. cikkének az alkalmazását, amennyiben rendelkezései megfelelnek az EUDPR 14–22. cikkben meghatározott jogoknak és kötelezettségeknek.

(2)   E határozat alkalmazásában a következő fogalommeghatározásokat kell alkalmazni:

(3)   Ez a határozat az RB által végzett tevékenységek és eljárások céljából történő személyesadat-kezelésre érvényes. Nem érvényes akkor, ha a Szerződések alapján elfogadott valamely jogi aktus az érintettek jogainak korlátozásáról rendelkezik.

(4)   Az RB az EUDPR 3. cikkének (8) bekezdése szerinti adatkezelő, amely delegálhatja a személyesadat-kezelés céljainak és eszközeinek meghatározására irányuló felelősséget.

(5)   Az információk minden egyes feldolgozásához, korlátozásához és halasztásához, kihagyásához vagy megtagadásához minden esetben az RB megfelelő belső határozataival, eljárásaival és végrehajtási szabályaival összhangban kell meghatározni az adatkezelőt.

(1)   Az adatkezelőknek, mielőtt a 3. cikk (1) bekezdése alapján korlátozásokat alkalmaznak, figyelembe kell venniük, hogy érvényesek-e a rendeletben megállapított kivételek vagy eltérések, nevezetesen azok, amelyek az EUDPR 15. cikkének (4) bekezdésén, 16. cikkének (5) bekezdésén, 19. cikkének (3) bekezdésén, 25. cikkének (3) és (4) bekezdésén és 35. cikkének (3) bekezdésén alapulnak.

(2)   Az eltérések az EUDPR 13. cikkével és ennek a határozatnak a 6. cikkével összhangban megfelelő garanciák mellett alkalmazhatók.

(1)   Az adatkezelők korlátozhatják az EUDPR 14., 15., 16., 17., 18., 19., 20., 21., 22., 35. és a 36. cikkének, valamint az EUDPR 4. cikkének az alkalmazását – amennyiben annak rendelkezései megfelelnek az EUDPR 14–22. cikkben meghatározott jogoknak és kötelezettségeknek –, ha az érintettek jogainak gyakorlása károsan befolyásolná az RB által végzett egy vagy több tevékenység vagy eljárás célját vagy eredményét, különösen:

(2)   Az (1) bekezdésben említett korlátozások az objektív („tényszerű adatok”) és a szubjektív („véleményen alapuló adatok”) személyes adatokra egyaránt vonatkozhatnak, különösen, de nem kizárólag a következő kategóriák valamelyikéből:

(3)   Minden korlátozásnak tiszteletben kell tartania az alapvető jogok és szabadságok lényegét, illetve egy demokratikus társadalomban feltétlenül szükséges és arányos intézkedésnek kell lennie, és arra kell korlátozódnia, ami célja eléréséhez szigorúan szükséges.

(4)   Az EUDPR 36. cikkének az alkalmazását érintő bárminemű – teljes vagy részleges – korlátozásnak (az elektronikus hírközlés bizalmas jellege) az (1) bekezdéssel összhangban meg kell felelnie az elektronikus hírközlések bizalmas jellegére vonatkozóan érvényes uniós jogszabálynak (15).

(5)   Az adatkezelők időszakonként felülvizsgálják az (1) bekezdésben említett korlátozások alkalmazását, azoknak az elfogadásától kezdve legalább félévente, de akkor is, ha az eset lényegi és meghatározó elemei megváltoznak, valamint azoknak a tevékenységnek vagy eljárásoknak a befejezésénél vagy megszűnésénél, amelyek a korlátozásokat előidézték. Ezt követően évente felülvizsgálják a korlátozás fenntartásának szükségességét.

(6)   Az (1) bekezdésben említett korlátozások addig maradnak hatályban, amíg az alátámasztásukra szolgáló indokok fennállnak. Ha az (1) bekezdésben említett korlátozások indokai már nem állnak fenn, az adatkezelők megszüntetik őket.

(7)   Az adatkezelőknek, amikor az RB feladatai keretében harmadik személyektől kapott személyes adatokat kezelnek, konzultálniuk kell ezekkel a harmadik felekkel a korlátozások megszabásának lehetséges jogalapjáról és az érintett korlátozások szükségszerűségéről és arányosságáról, kivéve, ha ez veszélyeztetné az RB tevékenységeit és eljárásait.

(1)   Bármilyen korlátozások alkalmazása előtt az adatkezelőknek eseti alapon kell értékelniük, hogy a mérlegelt korlátozások szükségesek és arányosak-e.

(2)   Amikor az adatkezelők értékelik egy korlátozás szükségességét és arányosságát, mérlegelik az érintettek jogait és szabadságait érintő lehetséges kockázatokat.

(3)   Az érintettek jogait és szabadságait érintő, a korlátozások kiszabásából adódó lehetséges kockázatokra, nevezetesen arra a kockázatra vonatkozó értékeléseket, miszerint személyes adataikat a tudtuk nélkül esetleg továbbra is feldolgozzák, és jogaiknak a rendelettel összhangban történő gyakorlása esetleg akadályoztatást szenved, valamint a korlátozásoknak az alkalmazási idejével kapcsolatos adatokat nyilvántartásba kell venni az EUDPR 31. cikkének (1) bekezdése alapján az adatkezelők által vezetett feldolgozásitevékenység-nyilvántartásban. Ezeket az EUDPR 39. cikke alapján a korlátozásokkal kapcsolatban elvégzett adatvédelmi hatásvizsgálatokban is rögzíteni kell.

(1)   Amikor az adatkezelők korlátozásokat alkalmaznak, fel kell jegyezniük:

(2)   Az (1) bekezdésben említett feljegyzések az EUDPR 31. cikkének (5) bekezdésében meghatározott központi nyilvántartás részét képezik, és kérésre az európai adatvédelmi biztos rendelkezésére kell bocsátani őket.

(3)   Amikor az adatkezelők korlátozzák az EUDPR 35. cikkének alkalmazását (Az érintett tájékoztatása az adatvédelmi incidensről), az (1) bekezdésben említett feljegyzést bele kell foglalni az európai adatvédelmi biztos részére küldött értesítésbe, amiről az EUDPR 34. cikkének (1) bekezdése rendelkezik.

(1)   Az adatkezelők a 3. cikk (1) bekezdése alapján esetleges korlátozások alá eső személyes adatokkal való visszaélések, illetve a jogosulatlan hozzáférés vagy továbbítás megakadályozása érdekében garanciákat vezetnek be. Ilyen garanciák közé tartoznak a megfelelő technikai és szervezeti intézkedések, amelyeket szükség esetén az RB lényeges belső határozataiban, eljárásaiban és végrehajtási szabályaiban lehet részletesen meghatározni.

(2)   Az (1) bekezdésben említett garanciák közé tartoznak a következők:

(3)   A személyes adatokat az RB érvényes adatmegőrzési szabályaival (16) összhangban kell megőrizni – ezeket a szabályokat az EUDPR 31. cikkének (1) bekezdése alapján az adatkezelők által vezetett nyilvántartásokban kell megállapítani. A megőrzési időszak végén a személyes adatokat adott esetben törlik, oly módon anonimizálják, hogy az érintett többé ne legyen azonosítható, vagy továbbítják azokat az RB archívumába, összhangban az EUDPR 13. cikkével.

(1)   Az RB nyilvános webhelyén és intranetes honlapján közzétett adatvédelmi értesítések magukban foglalnak egy olyan szakaszt, amely általános tájékoztatást nyújt az érintettek számára jogaiknak az RB olyan tevékenységeinek és eljárásainak keretében történő lehetséges korlátozásáról, amelyek magukban foglalják személyes adataik feldolgozását. Ez a szakasz meghatározza, hogy mely jogok korlátozhatók, hogy milyen jogalapon alkalmazhatók korlátozások, azoknak a korlátozásoknak a lehetséges időtartamát és az érintettek számára rendelkezésre álló közigazgatási és jogorvoslati lehetőségeket.

(2)   Amikor az adatkezelők korlátozásokat alkalmaznak, indokolatlan késedelem nélkül és a legmegfelelőbb formában közvetlenül tájékoztatnak minden érintettet a következőkről:

(3)   A (2) bekezdéstől függetlenül, amikor az adatkezelők kivételes esetekben korlátozzák az EUDPR 35. cikkének alkalmazását (Az érintett tájékoztatása az adatvédelmi incidensről), közölniük kell az adatvédelmi incidenst az érintettel, és meg kell adniuk a (2) bekezdés b), d) és e) pontjaiban említett információt, amint az ilyen közlések korlátozásának az indokai már nem állnak fenn.

(4)   A (2) bekezdéstől függetlenül, amikor az adatkezelők kivételes esetekben korlátozzák az EUDPR 36. cikkének alkalmazását (Az elektronikus hírközlés bizalmas jellege), az érintett kérésére adott válaszukban meg kell adniuk a (2) bekezdésben említett információt.

(5)   Az adatkezelők mindaddig halaszthatják, kihagyhatják vagy megtagadhatják a (2) bekezdésben említett információ megadását („információ halasztása, kihagyása vagy megtagadása”), amíg az ellehetetlenítené a korlátozás hatását. Meg kell adniuk az érintett részére a (2) bekezdésben említett információt, amint ez többé már nem lehetetlenítené el a korlátozást.

(6)   A 4. és az 5. cikk hasonlóképpen érvényes az információ halasztásának, kihagyásának vagy megtagadásának bármely esetére.

(1)   Az adatkezelők indokolatlan késedelem nélkül írásban tájékoztatják az adatvédelmi tisztviselőt, ha korlátozzák egy érintett jogait a 3. cikk (1) bekezdése alapján, elvégzik a 3. cikk (5) bekezdésében említett időszakonkénti felülvizsgálatot, megszüntetik a korlátozásokat, ahogyan arról a 3. cikk (6) bekezdése rendelkezik, vagy elhalasztják, kihagyják vagy megtagadják a 7. cikk (2) bekezdésében említett információ megadását a 7. cikk (5) bekezdése alapján. Kérésre hozzáférést kell biztosítani az adatvédelmi tisztviselő számára a kapcsolódó feljegyzésekhez és a szóban forgó ténybeli vagy jogi elemeket tartalmazó minden dokumentumhoz.

(2)   Az adatvédelmi tisztviselő kérheti az adatkezelőket, hogy vizsgáljanak felül minden fennálló korlátozást, valamint információhalasztást, -kihagyást vagy -megtagadást, és ezek alkalmazását. Az adatvédelmi tisztviselő írásban tájékoztatást kap a felülvizsgálat eredményéről.

(3)   Az adatvédelmi tisztviselő bevonását, amelyről az (1) és (2) bekezdés rendelkezik a korlátozások alkalmazásával, valamint az információk halasztásával, kihagyásával vagy megtagadásával kapcsolatosan, az adatkezelők megfelelő módon dokumentálják, beleértve az adatvédelmi tisztviselővel megosztott információkat is.

(4)   Az adatvédelmi tisztviselő kérésre véleményt ad ki az adatkezelők részére felelősségeik meghatározásáról az EUDPR 28. cikkének (1) bekezdése alapján megvalósuló közös adatkezelési szabályozás keretében.

(1)   A főtitkár szükség szerint utasításokat adhat vagy végrehajtási intézkedéseket fogadhat el e határozattal összhangban a határozat egyes rendelkezéseinek esetlegesen szükséges további pontosítása vagy érvényesítése érdekében.

(2)   Ez a rendelet az Európai Unió Hivatalos Lapjában való kihirdetését követő huszadik napon lép hatályba.