1.   Remiantis Reglamento (ES) 2018/1725 25 straipsniu, šiame sprendime nustatytos taisyklės dėl to, kokiomis sąlygomis ECDC vykdydamas 2 dalyje nurodytas procedūras gali apriboti 14–21, 35 ir 36 straipsniuose, taip pat 4 straipsnyje nurodytų teisių taikymą.

2.   Šis sprendimas taikomas ECDC administracinių funkcijų srityje vykdomoms asmens duomenų tvarkymo operacijoms, kurias institucija atlieka vykdydama administracinius tyrimus, drausmines procedūras, preliminarią veiklą, susijusią su galimų pažeidimų, apie kuriuos pranešta OLAF, nagrinėjimo bylomis, nagrinėdama pranešimus apie pažeidimus, vykdydama (oficialias ir neoficialias) procedūras priekabiavimo atvejais, nagrinėdama vidaus ir išorės skundus, vykdydama vidaus auditus ir duomenų apsaugos pareigūno atliekamus tyrimus, kaip numatyta Reglamento (ES) 2018/1725 45 straipsnio 2 dalyje, (IT) saugumo tyrimus organizacijos viduje arba dalyvaujant išorės subjektams (pvz., CERT-ES), bei tvarkydama darbuotojų asmens bylas (jei jose gali būti psichologinio ar psichiatrinio pobūdžio duomenų).

3.   Tvarkomi šių kategorijų duomenys: faktiniai duomenys (objektyvūs duomenys, kaip antai identifikavimo duomenys, kontaktiniai duomenys, profesiniai duomenys, administraciniai duomenys, iš konkrečių šaltinių gauti duomenys, elektroniniai pranešimai ir srauto duomenys) ir (arba) kokybiniai duomenys (subjektyvūs duomenys, kaip antai su bylomis susiję duomenys, pavyzdžiui, teisiniai motyvai, elgsenos duomenys, vertinimai, veiklos ir poelgių duomenys, duomenys, susiję su procedūros arba veiklos dalyku arba dėl to pateikti duomenys).

4.   ECDC, vykdydamas savo pareigas duomenų subjekto teisių atžvilgiu pagal Reglamentą (ES)2018/1725, atsižvelgia į tai, ar taikoma kuri nors tame reglamente numatyta išimtis.

5.   Laikantis šiame sprendime nustatytų sąlygų gali būti apribojamos šios teisės: teisė į informacijos teikimą duomenų subjektams, teisė susipažinti su duomenimis, reikalauti juos ištaisyti, ištrinti, teisė apriboti jų tvarkymą, teisė į tai, kad apie asmens duomenų saugumo pažeidimą būtų pranešta duomenų subjektui, arba teisė į pranešimų konfidencialumą.

1.   Siekiant užtikrinti, kad duomenų saugumas nebūtų pažeistas, duomenys nenutekėtų ir nebūtų neteisėtai atskleisti, įdiegtos šios apsaugos priemonės:

2.   Duomenų tvarkymo operacijų duomenų valdytojas yra ECDC, atstovaujamas direktoriaus, kuris duomenų valdytojo funkciją gali perduoti. Duomenų subjektai informuojami apie įgaliotą duomenų valdytoją duomenų apsaugos pranešimais arba įrašais, skelbiamais ECDC interneto svetainėje ir (arba) intranete.

3.   1 straipsnio 3 dalyje nurodytas asmens duomenų saugojimo laikotarpis negali būti ilgesnis, negu reikia tiems tikslams, kuriems duomenys yra tvarkomi. Šis laikotarpis jokiu atveju negali būti ilgesnis už 5 straipsnio 1 dalyje nurodytuose duomenų apsaugos pranešimuose, pranešimuose apie privatumą arba įrašuose nustatytą duomenų saugojimo laikotarpį.

4.   Jeigu ECDC svarsto galimybę taikyti apribojimą, reikia įvertinti riziką duomenų subjektų teisėms ir laisvėms, ypač riziką kitų duomenų subjektų teisėms ir laisvėms bei riziką, kad ECDC tyrimai arba procedūros gali netekti poveikio, pavyzdžiui, kad gali būti sunaikinti įrodymai. Rizika duomenų subjektų teisėms ir laisvėms visų pirma, be kita ko, yra rizika reputacijai, rizika teisei į gynybą ir rizika teisei būti išklausytam.

1.   ECDC visus apribojimus taiko tik siekdamas užtikrinti:

2.   Konkrečiais atvejais siekdamas pirmiau 1 dalyje aprašytų tikslų ECDC gali taikyti apribojimus asmens duomenims, kuriais keičiamasi su Komisijos tarnybomis arba kitomis Sąjungos institucijomis, organais, agentūromis ir tarnybomis, valstybių narių arba trečiųjų šalių kompetentingomis institucijomis arba tarptautinėmis organizacijomis, jeigu:

Prieš pradėdamas taikyti apribojimus pirmos pastraipos a ir b punktuose nurodytais atvejais, ECDC konsultuojasi su atitinkamomis Komisijos tarnybomis, Sąjungos institucijomis, organais, agentūromis, tarnybomis arba valstybių narių kompetentingomis institucijomis, nebent ECDC yra aišku, kad galimybė taikyti apribojimą yra numatyta viename iš minėtuose punktuose nurodytų aktų.

3.   Bet kuris apribojimas turi būti reikalingas ir proporcingas atsižvelgiant į riziką duomenų subjektų teisėms ir laisvėms ir atitikti demokratinėje visuomenėje galiojančių pagrindinių teisių ir laisvių esmę.

4.   Jeigu svarstoma galimybė taikyti apribojimą, remiantis šiomis taisyklėmis įvertinamas jo reikalingumas ir proporcingumas. Kiekvienu atveju apribojimas atskaitomybės tikslais yra dokumentuojamas vidaus vertinimo rašte.

5.   Vos tik aplinkybės, dėl kurių taikytas apribojimas, išnyksta, apribojimas kiek galima greičiau panaikinamas. Tai ypač taikytina tada, kai manoma, kad dėl naudojimosi apribota teise nustatyto apribojimo poveikis neišnyks arba dėl naudojimosi apribota teise nebus pakenkta kitų duomenų subjektų teisėms arba laisvėms.

1.   Jeigu duomenų valdytojas pagal šį sprendimą apriboja duomenų subjektų teisių taikymą arba pratęsia apribojimą, ECDC nepagrįstai nedelsdamas informuoja savo duomenų apsaugos pareigūną (toliau – DAP). Duomenų valdytojas leidžia DAP susipažinti su įrašu, kuriame užfiksuotas apribojimo reikalingumo ir proporcingumo įvertinimas, ir įraše užregistruoja datą, kada informavo DAP.

2.   DAP gali raštu prašyti, kad duomenų valdytojas peržiūrėtų taikomus apribojimus. Duomenų valdytojas informuoja DAP apie prašytos peržiūros rezultatus.

3.   Duomenų valdytojas informuoja DAP, kai apribojimas panaikinamas.

1.   Deramai pagrįstais atvejais šiame sprendime nustatytomis sąlygomis duomenų valdytojas gali apriboti teisę gauti informaciją vykdant šias duomenų tvarkymo operacijas:

Duomenų apsaugos pranešimuose, pranešimuose apie privatumą arba įrašuose, kaip nurodyta Reglamento (ES) 2018/1725 31 straipsnyje, kurie yra skelbiami ECDC interneto svetainėje arba intranete ir kuriuose duomenų subjektai informuojami apie savo teises vykstant tam tikrai procedūrai, ECDC pateikia informaciją apie galimą tų teisių apribojimą. Nurodoma, kokios teisės gali būti apribotos, apribojimo priežastys ir galima trukmė.

2.   Jeigu tai yra proporcinga, nepažeisdamas 3 dalies nuostatų ECDC taip pat nepagrįstai nedelsdamas raštu informuoja kiekvieną duomenų subjektą, kuris vykdant konkrečią duomenų tvarkymo operaciją yra laikomas suinteresuotuoju subjektu, apie jo teises, susijusias su esamais arba būsimais apribojimais.

3.   Jeigu ECDC visiškai arba iš dalies apriboja informacijos teikimą 2 dalyje nurodytiems duomenų subjektams, jis užregistruoja apribojimo priežastis ir teisinį pagrindą pagal šio sprendimo 3 straipsnį, taip pat užregistruoja apribojimo reikalingumo ir proporcingumo įvertinimą.

Įrašas ir, jei tai taikytina, dokumentai, kuriuose nurodomos pagrindinės faktinės ir teisinės aplinkybės, registruojami. Įrašai pateikiami Europos duomenų apsaugos priežiūros pareigūnui, jam paprašius.

4.   3 dalyje nurodytas apribojimas taikomas tol, kol išnyksta priežastys, dėl kurių jis yra taikomas.

Jeigu priežasčių taikyti apribojimą nebėra, ECDC pateikia informaciją duomenų subjektui apie pagrindines priežastis, dėl kurių taikomas apribojimas. Kartu ECDC informuoja duomenų subjektą apie teisę bet kuriuo metu pateikti skundą Europos duomenų apsaugos priežiūros pareigūnui arba teisę į teisminį teisių gynimą Europos Sąjungos Teisingumo Teisme.

ECDC peržiūri apribojimo taikymą kas šešis mėnesius nuo apribojimo taikymo pradžios ir užbaigus atitinkamą procedūrą arba tyrimą. Vėliau duomenų valdytojas kas šešis mėnesius peržiūri, ar kurį nors apribojimą reikia tikslinti.

1.   Deramai pagrįstais atvejais šiame sprendime nustatytomis sąlygomis, kai tai yra reikalinga ir proporcinga, duomenų valdytojas gali apriboti teisę susipažinti su duomenimis vykdant šias duomenų tvarkymo operacijas:

Jeigu duomenų subjektai prašo leisti susipažinti su savo asmens duomenimis, kurie yra tvarkomi vienoje arba keliose konkrečiose bylose arba vykdant konkrečią duomenų tvarkymo operaciją, pagal Reglamento (ES) 2018/1725 17 straipsnį ECDC vertina prašymą tik tų asmens duomenų atžvilgiu.

2.   Jeigu ECDC visiškai arba iš dalies apriboja Reglamento (ES) 2018/1725 17 straipsnyje nurodytą teisę susipažinti su duomenimis, jis atlieka šiuos veiksmus:

Pagal Reglamento (ES) 2018/1725 25 straipsnio 8 dalį a punkte nurodytos informacijos pateikimas gali būti atidėtas, ji gali būti neteikiama arba ją pateikti gali būti atsisakyta, jei dėl jos pateikimo nustatytas apribojimas netektų poveikio.

ECDC peržiūri taikomą apribojimą kas šešis mėnesius nuo jo taikymo pradžios ir užbaigus atitinkamą tyrimą. Vėliau duomenų valdytojas kas šešis mėnesius peržiūri, ar kurį nors apribojimą reikia tikslinti.

3.   Įrašas ir, jei tai taikytina, dokumentai, kuriuose nurodomos pagrindinės faktinės ir teisinės aplinkybės, registruojami. Įrašai pateikiami Europos duomenų apsaugos priežiūros pareigūnui, jam paprašius.

1.   Deramai pagrįstais atvejais šiame sprendime nustatytomis sąlygomis, kai tai yra reikalinga ir tinkama, duomenų valdytojas gali apriboti teisę reikalauti duomenis ištaisyti, ištrinti ir apriboti duomenų tvarkymą vykdant šias duomenų tvarkymo operacijas:

2.   Jeigu ECDC visiškai arba iš dalies apriboja teisę reikalauti duomenis ištaisyti, ištrinti ir teisę apriboti duomenų tvarkymą, nurodytas Reglamento (ES) 2018/1725 18 straipsnyje, 19 straipsnio 1 dalyje ir 20 straipsnio 1 dalyje, jis atlieka šio sprendimo 6 straipsnio 2 dalyje nurodytus veiksmus ir užregistruoja įrašą pagal šio sprendimo 6 straipsnio 3 dalį.

1.   Deramai pagrįstais atvejais šiame sprendime nustatytomis sąlygomis, kai yra reikalinga bei tinkama, duomenų valdytojas gali apriboti teisę gauti pranešimą apie asmens duomenų saugumo pažeidimą vykdant šias duomenų tvarkymo operacijas:

2.   Deramai pagrįstais atvejais šiame sprendime nustatytomis sąlygomis, kai tai yra reikalinga ir tinkama, duomenų valdytojas gali apriboti teisę į elektroninių pranešimų konfidencialumą vykdant šias duomenų tvarkymo operacijas:

3.   Jeigu ECDC apriboja Reglamento (ES) 2018/1725 35 ir 36 straipsniuose nurodytą pranešimą duomenų subjektui apie asmens duomenų saugumo pažeidimą arba elektroninių pranešimų konfidencialumą, ji užfiksuoja ir užregistruoja apribojimo priežastis pagal šio sprendimo 5 straipsnio 3 dalį. Taikoma šio sprendimo 5 straipsnio 4 dalis.