1.   Remiantis Reglamento (ES) 2018/1725 25 straipsniu, šiame sprendime nustatytos taisyklės dėl to, kokiomis sąlygomis EFSA vykdydama 2 dalyje nurodytas procedūras gali apriboti 14–21, 35 ir 36 straipsniuose, taip pat 4 straipsnyje nurodytų teisių taikymą.

2.   Šis sprendimas taikomas EFSA administracinių funkcijų srityje vykdomoms asmens duomenų tvarkymo operacijoms, kurias institucija atlieka vykdydama administracines apklausas, drausmines procedūras, preliminarią veiklą, susijusią su galimų pažeidimų, apie kuriuos pranešta OLAF, nagrinėjimo bylomis, nagrinėdama pranešimus apie pažeidimus, vykdydama (oficialias ir neoficialias) procedūras priekabiavimo atvejais, nagrinėdama vidaus ir išorės skundus, vykdydama vidaus auditus ir duomenų apsaugos pareigūno atliekamus tyrimus, kaip numatyta Reglamento (ES) 2018/1725 45 straipsnio 2 dalyje, (IT) saugumo tyrimus, kurie atliekami organizacijos viduje arba dalyvaujant išorės subjektams (pvz., CERT-ES).

3.   Tvarkomi šių kategorijų duomenys – faktiniai duomenys (objektyvūs duomenys, tokie kaip identifikavimo duomenys, kontaktiniai duomenys, profesiniai duomenys, administraciniai duomenys, iš konkrečių šaltinių gauti duomenys, elektroniniai pranešimai ir srauto duomenys) ir (arba) kokybiniai duomenys (subjektyvūs duomenys, tokie kaip su bylomis susiję duomenys, pavyzdžiui, teisiniai motyvai, elgsenos duomenys, vertinimai, veiklos ir poelgių duomenys, duomenys, susiję su procedūros arba veiklos dalyku arba dėl to pateikti duomenys).

4.   EFSA, vykdydama savo pareigas duomenų subjekto teisių atžvilgiu pagal Reglamentą (ES) 2018/1725, atsižvelgia į tai, ar taikoma kuri nors tame reglamente numatyta išimtis.

5.   Laikantis šiame sprendime nustatytų sąlygų gali būti apribojamos šios teisės: teisė į informacijos teikimą duomenų subjektams, teisė susipažinti su duomenimis, reikalauti juos ištaisyti, ištrinti, teisė apriboti jų tvarkymą, teisė į tai, kad apie asmens duomenų saugumo pažeidimą būtų pranešta duomenų subjektui, arba teisė į pranešimų konfidencialumą.

1.   Siekiant užtikrinti, kad duomenų saugumas nebūtų pažeistas, duomenys nenutekėtų ir nebūtų neteisėtai atskleisti, įdiegtos šios apsaugos priemonės:

2.   Duomenų tvarkymo operacijų duomenų valdytoja yra EFSA, atstovaujama Vykdomojo direktoriaus, kuris duomenų valdytojo funkciją gali perduoti. Duomenų subjektai informuojami apie įgaliotą duomenų valdytoją duomenų apsaugos pranešimais arba įrašais, skelbiamais EFSA interneto portale ir (arba) veiklos paslaugų kataloge.

3.   1 straipsnio 3 dalyje nurodytas asmens duomenų saugojimo laikotarpis neturi būti ilgesnis, negu reikia tiems tikslams, kuriems duomenys yra tvarkomi. Šis laikotarpis jokiu atveju negali būti ilgesnis už 5 straipsnio 1 dalyje nurodytuose duomenų apsaugos pranešimuose, pranešimuose apie privatumą arba įrašuose nustatytą duomenų saugojimo laikotarpį.

4.   Jeigu EFSA svarsto galimybę taikyti apribojimą, reikia įvertinti riziką duomenų subjektų teisėms ir laisvėms, ypač riziką kitų duomenų subjektų teisėms ir laisvėms bei riziką, kad EFSA tyrimai arba procedūros gali netekti poveikio, pavyzdžiui, kad gali būti sunaikinti įrodymai. Rizika duomenų subjektų teisėms ir laisvėms, pirmiausia, yra rizika reputacijai ir rizika teisei į gynybą bei teisei būti išklausytam, bet tuo neapsiriboja.

1.   EFSA visus apribojimus taiko tik siekdama užtikrinti:

2.   Konkrečiais atvejais siekdama pirmiau 1 dalyje aprašytų tikslų EFSA gali taikyti apribojimus asmens duomenims, kuriais keičiamasi su Komisijos tarnybomis arba kitomis Sąjungos institucijomis, organais, agentūromis ir tarnybomis, valstybių narių arba trečiųjų šalių kompetentingomis institucijomis arba tarptautinėmis organizacijomis, jeigu:

Prieš pradėdama taikyti apribojimus pirmiau nurodytuose a ir b punktuose nurodytais atvejais, EFSA konsultuojasi su atitinkamomis Komisijos tarnybomis, Sąjungos institucijomis, organais, agentūromis, tarnybomis arba valstybių narių kompetentingomis institucijomis, nebent EFSA yra aišku, kad galimybė taikyti apribojimą yra numatyta viename iš minėtuose punktuose nurodytų aktų.

3.   Bet kuris apribojimas turi būti reikalingas ir proporcingas atsižvelgiant į riziką duomenų subjektų teisėms ir laisvėms ir atitikti demokratinėje visuomenėje galiojančių pagrindinių teisių ir laisvių esmę.

4.   Jeigu svarstoma galimybė taikyti apribojimą, remiantis šiomis taisyklėmis įvertinamas jo reikalingumas ir proporcingumas. Kiekvienu atveju apribojimas atskaitomybės tikslais yra dokumentuojamas vidaus vertinimo rašte.

5.   Vos tik aplinkybės, dėl kurių taikytas apribojimas, išnyksta, apribojimas kuo greičiau panaikinamas, ypač tada, kai manoma, kad dėl naudojimosi apribota teise nustatyto apribojimo veiksmingumas nesumažės arba dėl naudojimosi apribota teise nebus pakenkta kitų duomenų subjektų teisėms arba laisvėms. Tokiu atveju apribojimas panaikinamas kuo greičiau, paprastai per penkias darbo dienas nuo teisinių arba faktinių aplinkybių pasikeitimo.

1.   Jeigu duomenų valdytojas pagal šį sprendimą apriboja duomenų subjektų teisių taikymą arba pratęsia apribojimą, EFSA nepagrįstai nedelsdama informuoja savo duomenų apsaugos pareigūną (toliau – DAP). Duomenų valdytojas leidžia DAP susipažinti su įrašu, kuriame užfiksuotas apribojimo reikalingumo ir proporcingumo įvertinimas, ir įraše užregistruoja datą, kada informavo DAP.

2.   DAP gali raštu prašyti, kad duomenų valdytojas peržiūrėtų taikomus apribojimus. Duomenų valdytojas informuoja DAP apie prašytos peržiūros rezultatus.

3.   Duomenų valdytojas informuoja DAP, kai apribojimas panaikinamas.

1.   Deramai pagrįstais atvejais ir šiame sprendime nustatytomis sąlygomis duomenų valdytojas gali apriboti teisę gauti informaciją vykdant šias duomenų tvarkymo operacijas:

Duomenų apsaugos pranešimuose, pranešimuose apie privatumą arba įrašuose, nurodytuose Reglamento (ES) 2018/1725 31 straipsnyje, kurie yra skelbiami EFSA interneto svetainėje arba intranete ir kuriuose duomenų subjektai informuojami apie jų teises vykstant tam tikrai procedūrai, EFSA pateikia informaciją apie galimą tų teisių apribojimą. Nurodoma, kokios teisės gali būti apribotos, apribojimo priežastys ir galima trukmė.

2.   Jeigu tai yra proporcinga, nepažeisdama 3 dalies nuostatų EFSA taip pat nepagrįstai nedelsdama raštu informuoja kiekvieną duomenų subjektą, kuris vykdant konkrečią duomenų tvarkymo operaciją yra laikomas suinteresuotuoju subjektu, apie jo teises, susijusias su esamais arba būsimais apribojimais.

3.   Jeigu EFSA visiškai arba iš dalies apriboja informacijos teikimą 2 dalyje nurodytiems duomenų subjektams, ji užregistruoja apribojimo priežastis ir teisinį pagrindą pagal šio sprendimo 3 straipsnį, taip pat užregistruoja apribojimo reikalingumo ir proporcingumo įvertinimą.

Įrašas ir, jei tai taikytina, dokumentai, kuriuose nurodomos pagrindinės faktinės ir teisinės aplinkybės, registruojami. Paprašius įrašai pateikiami Europos duomenų apsaugos priežiūros pareigūnui.

4.   3 dalyje nurodytas apribojimas taikomas tol, kol priežastys jį taikyti išlieka, ir panaikinamas kuo greičiau, paprastai per penkias darbo dienas nuo teisinių ar faktinių aplinkybių pasikeitimo.

Jeigu priežasčių taikyti apribojimą nebelieka, EFSA pateikia informaciją duomenų subjektui apie pagrindines priežastis, dėl kurių taikomas apribojimas. Kartu EFSA informuoja duomenų subjektą apie teisę bet kuriuo metu pateikti skundą Europos duomenų apsaugos priežiūros pareigūnui arba teisę į teisminį teisių gynimą Europos Sąjungos Teisingumo Teisme.

EFSA peržiūri apribojimo taikymą kas šešis mėnesius nuo jo taikymo pradžios ir užbaigus atitinkamą apklausą, procedūrą arba tyrimą.

1.   Deramai pagrįstais atvejais, šiame sprendime nustatytomis sąlygomis ir jei tai yra reikalinga bei proporcinga, duomenų valdytojas gali apriboti teisę susipažinti su duomenimis vykdant šias duomenų tvarkymo operacijas:

Jeigu duomenų subjektai prašo leisti susipažinti su savo asmens duomenimis, kurie yra tvarkomi vienoje arba keliose konkrečiose bylose arba vykdant konkrečią duomenų tvarkymo operaciją, pagal Reglamento (ES) 2018/1725 17 straipsnį EFSA vertina prašymą tik tų asmens duomenų atžvilgiu.

2.   Jeigu EFSA visiškai arba iš dalies apriboja Reglamento (ES) 2018/1725 17 straipsnyje nurodytą teisę susipažinti su duomenimis, ji atlieka šiuos veiksmus:

Pagal Reglamento (ES) 2018/1725 25 straipsnio 8 dalį a punkte nurodytos informacijos pateikimas gali būti atidėtas, ji gali būti neteikiama arba ją pateikti gali būti atsisakyta, jei dėl jos pateikimo nustatytas apribojimas netektų poveikio.

EFSA peržiūri taikomą apribojimą kas šešis mėnesius nuo jo taikymo pradžios ir užbaigus atitinkamą tyrimą.

3.   Įrašas ir, jei tai taikytina, dokumentai, kuriuose nurodomos pagrindinės faktinės ir teisinės aplinkybės, registruojami. Paprašius įrašai pateikiami Europos duomenų apsaugos priežiūros pareigūnui.

1.   Deramai pagrįstais atvejais, šiame sprendime nustatytomis sąlygomis ir jei tai yra reikalinga ir proporcinga, duomenų valdytojas gali apriboti teisę reikalauti duomenis ištaisyti arba ištrinti ir teisę apriboti duomenų tvarkymą vykdant šias duomenų tvarkymo operacijas:

2.   Jeigu EFSA visiškai arba iš dalies apriboja teisę reikalauti duomenis ištaisyti arba ištrinti ir teisę apriboti duomenų tvarkymą, nurodytas Reglamento (ES) 2018/1725 18 straipsnyje, 19 straipsnio 1 dalyje ir 20 straipsnio 1 dalyje, ji atlieka šio sprendimo 6 straipsnio 2 dalyje nurodytus veiksmus ir užregistruoja įrašą pagal šio sprendimo 6 straipsnio 3 dalį.

1.   Deramai pagrįstais atvejais, šiame sprendime nustatytomis sąlygomis ir jei tai yra reikalinga bei proporcinga, duomenų valdytojas gali apriboti teisę gauti pranešimą apie asmens duomenų saugumo pažeidimą vykdant šias duomenų tvarkymo operacijas:

2.   Deramai pagrįstais atvejais, šiame sprendime nustatytomis sąlygomis ir jei tai yra reikalinga ir proporcinga, duomenų valdytojas gali apriboti teisę į elektroninių pranešimų konfidencialumą vykdant šias duomenų tvarkymo operacijas:

3.   Jeigu EFSA apriboja Reglamento (ES) 2018/1725 35 ir 36 straipsniuose nurodytą pranešimą duomenų subjektui apie asmens duomenų saugumo pažeidimą arba elektroninių pranešimų konfidencialumą, ji užfiksuoja ir užregistruoja apribojimo priežastis pagal šio sprendimo 5 straipsnio 3 dalį. Taikoma šio sprendimo 5 straipsnio 4 dalis.