(1)   Az (EU) 2018/1725 rendelet (a továbbiakban: a rendelet) 25. cikkével összhangban e határozat szabályokat állapít meg azon feltételek tekintetében, amelyek alapján az EKSZ a (2) bekezdésben említett tevékenységei keretében korlátozhatja a rendelet 14–21. cikke, 35. cikke és 36. cikke szerinti jogokat és kötelezettségeket, valamint a rendelet 4. cikkének alkalmazását, amennyiben annak rendelkezései érintik az említett 14–21. cikkben előírt jogokat és kötelezettségeket.

(2)   Ez a határozat az EKSZ alábbi tevékenységek céljából történő személyesadat-kezelésére vonatkozik:

E határozat alkalmazásában a fenti tevékenységek magukban foglalják az ugyanezen tevékenységekhez közvetlenül kapcsolódó előkészítő és nyomonkövetési intézkedéseket is.

(3)   A fenti tevékenységekkel kapcsolatosan kezelt személyes adatok kategóriái tényszerű adatokat és értékelési adatokat tartalmazhatnak A tényszerű adatok személyazonosság megállapítására szolgáló adatokat és más igazgatási adatokat, elektronikus hírközléssel kapcsolatos metaadatokat és forgalmi adatokat ölelnek fel. Az értékelési adatok magukban foglalják helyzetek és körülmények leírását és értékelését, véleményeket, az érintettekkel kapcsolatos észrevételeket, az érintettek magatartásának vagy teljesítményének értékelését, valamint az EKSZ adminisztratív működésével kapcsolatos egyedi határozatokat alátámasztó indokolást.

(1)   Az EKSZ külön biztosítékokat vezet be, hogy megelőzze az adatvédelmi incidenseket, valamint a korlátozás alatt álló adatok kiszivárogtatását vagy jogosulatlan közlését, amelyek magukban foglalják az alábbiakat:

(2)   Az adatkezelési tevékenységek adatkezelője az Európai Külügyi Szolgálat. Az 1. cikk (1) bekezdésében említett jogokat és kötelezettségeket esetlegesen korlátozó szervezeti egységek az 1. cikk (2) bekezdésében leírt tevékenységekért felelős szervezeti egységek.

(3)   A személyes adatokkal kapcsolatos jogokra és kötelezettségekre vonatkozó korlátozások nem tarthatók fenn a korlátozás céljának eléréséhez szükséges időtartamon túl. A korlátozás alá tartozó személyes adatok megőrzési idejét az adatkezelés céljának figyelembevételével kell meghatározni, és annak tartalmaznia kell a közigazgatási és bírósági felülvizsgálathoz szükséges időtartamot.

(1)   Az EKSZ az alábbiak megóvása céljából eseti alapon alkalmazhatja az e határozat szerinti korlátozásokat:

(2)   A 4–8. cikktől függően, az EKSZ az alábbi esetekben korlátozhatja az 1. cikk (1) bekezdésében említett jogokat és kötelezettségeket a más uniós intézményektől, szervektől és hivataloktól, valamely tagállam vagy harmadik ország illetékes hatóságaitól, vagy nemzetközi szervezettől kapott személyes adatokkal kapcsolatban:

Az e bekezdés szerinti korlátozás alkalmazása előtt az EKSZ konzultációt folytat az érintett uniós intézménnyel, szervvel és hivatallal, nemzetközi szervezettel vagy az adott tagállam illetékes hatóságaival, kivéve, ha nyilvánvaló, hogy az e bekezdésben említett jogi aktus által előírt korlátozás vagy a szóban forgó konzultáció veszélyeztetné az EKSZ tevékenységét.

(3)   A korlátozás alkalmazása előtt az EKSZ mérlegeli, hogy a korlátozás szükséges és arányos-e egy demokratikus társadalomban, valamint hogy tiszteletben tartja-e az érintettek alapvető jogainak és szabadságainak lényeges tartalmát.

Az egyes esetek szükségességének és arányosságának értékelése során az EKSZ:

A szükségesség és arányosság említett értékelését, valamint a korlátozás okait dokumentálni kell. E célból minden korlátozást külön fel kell tüntetni az adatkezelő által vezetett nyilvántartásban, és a feljegyzésben szerepeltetni kell, hogy az 1. cikk (1) bekezdésében említett, korlátozott jogok és kötelezettségek gyakorlása milyen módon veszélyeztetné az 1. cikk (2) bekezdésében említett tevékenységek célját, vagy miként érintené hátrányosan mások jogait és szabadságait. A ténybeli és jogi elemeket alátámasztó dokumentumokat szintén rögzíteni kell. Ezeket a feljegyzéseket kérésre az európai adatvédelmi biztos rendelkezésére kell bocsátani.

A nyilvántartásban szereplő feljegyzésekhez – köztük az értékelő feljegyzéshez – való hozzáférést mindaddig korlátozni kell, amíg a (4) és (5) bekezdéssel összhangban az azt indokló korlátozás érvényben marad.

(4)   A korlátozást fel kell oldani, ha az azt indokoló okok már nem állnak fenn.

(5)   A korlátozás elfogadását követően megfelelő időközönként, és legalább hathavonta, de az 1. cikk (2) bekezdésében említett tevékenységekkel összefüggő, releváns eljárás lezárásakor mindenképpen felül kell vizsgálni a korlátozás fenntartásának szükségességét.

(1)   Minden szervezeti egység indokolatlan késedelem nélkül tájékoztatja az adatvédelmi tisztviselőt, ha korlátozza az 1. cikk (1) bekezdésében említett jogok és kötelezettségek gyakorlását, ha felülvizsgálja a korlátozást, valamint ha meghosszabbítja vagy megszünteti a korlátozást. Az adatvédelmi tisztviselő hozzáféréssel rendelkezik a 3. cikk (3) bekezdésének megfelelően létrehozott feljegyzésekhez.

(2)   Az adatvédelmi tisztviselő írásban felkérheti az adatkezelőt a korlátozás alkalmazásának felülvizsgálatára. Az adatkezelő írásban tájékoztatja az adatvédelmi tisztviselőt a kért felülvizsgálat eredményéről.

(3)   Az e cikk szerinti dokumentumokat kérésre az európai adatvédelmi biztos rendelkezésére kell bocsátani.

(1)   Az EKSZ weboldalán vagy az intraneten közzéteszi azon adatvédelmi nyilatkozatait és adatvédelmi feljegyzéseket, amelyekben tájékoztatja az érintetteket a személyes adatok kezelésével járó tevékenységeiről, az érintettek jogairól és azok lehetséges korlátozásairól.

(2)   Az adatkezelő az 1. cikk (2) bekezdésének i), ii), iii), iv), v), vi), viii), xi), xii) és xiii). pontja szerinti tevékenységek tekintetében korlátozhatja a tájékoztatáshoz való jogot. A (4) bekezdés sérelme nélkül, az EKSZ – amennyiben ez arányos – egyenként, haladéktalanul és írásban tájékoztatja az érintetteket a korlátozás alkalmazásáról. Ha valamely érintett kérelmét korlátozás miatt elutasítják, az érintettet tájékoztatni kell a korlátozás fő okairól, valamint arról, hogy jogában áll panaszt benyújtani az európai adatvédelmi biztosnál.

(3)   Az e cikk szerinti korlátozást a 3. és 4. cikkel összhangban kell alkalmazni.

(4)   Az e határozat szerinti korlátozásról szóló tájékoztatást el lehet halasztani, el lehet hagyni vagy meg lehet tagadni, amennyiben az ellehetetlenítené a korlátozás hatását. A szóban forgó elhalasztást, mellőzést vagy megtagadást a 3. és a 4. cikk rendelkezéseivel összhangban kell alkalmazni.

(1)   Az adatkezelő az 1. cikk (2) bekezdésének i), ii), iii), iv), v), vi), vii), viii), x), xi), xii) és (xiii). pontja szerinti tevékenységek tekintetében korlátozhatja a rendelet 17. cikke szerinti hozzáférési jogot.

(2)   Ha az érintettek hozzáférést kérnek az 1. cikk (2) bekezdésében említett konkrét tevékenység keretében kezelt személyes adataikhoz, az EKSZ válaszát az adott tevékenység tekintetében kezelt személyes adatokra korlátozza.

(3)   Ha az EKSZ részben vagy egészben korlátozza az érintetteknek az (EU) 2018/1725 rendelet 17. cikkében említett, a személyes adataihoz való hozzáférési jogát, a hozzáférés iránti kérelemre adott írásbeli válaszában haladéktalanul tájékoztatja az érintettet az alkalmazott korlátozásról és annak fő okairól. A korlátozás okairól szóló tájékoztatás elhalasztható, mellőzhető vagy megtagadható, amennyiben meghiúsítaná a korlátozás célját.

(4)   Az Európai Külügyi Szolgálat eseti alapon korlátozhatja az érintettek pszichológiai vagy pszichiátriai jellegű orvosi adatokhoz való közvetlen hozzáférését, amennyiben az ilyen adatokhoz való hozzáférés valószínűleg kockázatot jelent az érintett egészségére. E korlátozás arányos azzal, amely az érintett védelméhez feltétlenül szükséges. Ilyen esetekben az információhoz való hozzáférést az érintett választása szerinti orvosnak kell biztosítani.

(5)   Az e cikk szerinti korlátozást a 3., 4. és 5. cikkel összhangban kell alkalmazni.

(1)   Az adatkezelő az 1. cikk (2) bekezdésének i), ii), iii), iv), v), vi), vii), viii), ix), x), xi), xii) és (xiii). pontja szerinti tevékenységek tekintetében korlátozhatja a rendelet 18. cikke, 19. cikkének (1) bekezdése és 20. cikkének (1) bekezdése szerinti, a helyesbítéshez, a törléshez és az adatkezelés korlátozásához való jogot.

(2)   Az orvosi adatok tekintetében az érintettek saját észrevételeik vagy általuk választott orvos jelentésének benyújtásával gyakorolhatják az EKSZ orvos tisztviselői és tanácsadói által adott értékelések vagy vélemények helyesbítéséhez való jogot.

(3)   Az e cikk szerinti korlátozást a 3., 4. és 5. cikkel összhangban kell alkalmazni.

(1)   Az adatkezelő az 1. cikk (2) bekezdésének i), ii), iii), iv), v), vi), viii), xi), xii) és (xiii). pontja szerinti tevékenységek tekintetében korlátozhatja a rendelet 35. cikke szerinti, az érintett adatvédelmi incidensről történő tájékoztatásához való jogot.

(2)   Az e cikk szerinti korlátozást a 3., 4. és 5. cikkel összhangban kell alkalmazni.

(1)   Az elektronikus hírközlés bizalmas jellegének biztosítására vonatkozó kötelezettség kizárólag az alábbi kivételes esetekben korlátozható az 1. cikk (2) bekezdésének i), ii), iii), iv), xi), xii) és xiii) pontja szerinti tevékenységek tekintetében:

(2)   Az e cikk szerinti korlátozást a 3., 4. és 5. cikkel összhangban kell alkalmazni.