1.   Remiantis Reglamento (ES) 2018/1725 25 straipsniu, šiame sprendime nustatytos taisyklės dėl to, kokiomis sąlygomis Cedefop vykdydamas 2 dalyje nurodytas procedūras gali apriboti šio reglamento 14–21, 35 ir 36 straipsniuose, taip pat 4 straipsnyje nurodytų teisių taikymą.

2.   Šis sprendimas taikomas Cedefop administracinių funkcijų srityje vykdomoms asmens duomenų tvarkymo operacijoms, kurias Cedefop atlieka vykdydamas administracinius tyrimus, drausmines procedūras, preliminarią veiklą, susijusią su galimų pažeidimų, apie kuriuos pranešta OLAF, nagrinėjimo bylomis, nagrinėdamas pranešimus apie pažeidimus, vykdydamas (oficialias ir neoficialias) procedūras priekabiavimo atvejais, nagrinėdamas vidaus ir išorės skundus, vykdydamas vidaus auditus, duomenų apsaugos pareigūno atliekamus tyrimus, kaip numatyta Reglamento (ES) 2018/1725 45 straipsnio 2 dalyje, ir (IT) saugumo tyrimus, kurie atliekami organizacijos viduje arba dalyvaujant išorės subjektams (pvz., CERT-EU), ir nagrinėdamas darbuotojų prašymus leisti susipažinti su savo medicininiais dokumentais.

3.   Tvarkomi šių kategorijų duomenys: faktiniai duomenys (objektyvūs duomenys, kaip antai identifikavimo duomenys, kontaktiniai duomenys, profesiniai duomenys, administraciniai duomenys, iš konkrečių šaltinių gauti duomenys, elektroniniai pranešimai ir srauto duomenys) ir (arba) kokybiniai duomenys (subjektyvūs duomenys, kaip antai su bylomis susiję duomenys, pavyzdžiui, teisiniai motyvai, elgsenos duomenys, vertinimai, duomenys, susiję su veikla ir poelgiais, duomenys, susiję su procedūros arba veiklos dalyku arba dėl to pateikti duomenys).

4.   Cedefop, vykdydamas savo pareigas duomenų subjekto teisių atžvilgiu pagal Reglamentą (ES) 2018/1725, atsižvelgia į tai, ar taikoma kuri nors tame reglamente numatyta išimtis.

5.   Laikantis šiame sprendime nustatytų sąlygų gali būti apribojamos šios teisės: teisė į informaciją, kuri turi būti pateikta duomenų subjektui, duomenų subjekto teisė susipažinti su duomenimis, reikalauti juos ištaisyti, ištrinti, apriboti jų tvarkymą, teisė į tai, kad apie asmens duomenų saugumo pažeidimą būtų pranešta duomenų subjektui, ir teisė į elektroninių pranešimų konfidencialumą.

1.   Siekdamas užkirsti kelią piktnaudžiavimui arba neteisėtam susipažinimui su duomenimis ar jų perdavimui, Cedefop įdiegia šias apsaugos priemones:

2.   Duomenų tvarkymo operacijų duomenų valdytojas yra Cedefop, kuriam atstovauja vykdomasis direktorius; jis duomenų valdytojo funkciją gali perduoti. Duomenų subjektai informuojami apie įgaliotą duomenų valdytoją duomenų apsaugos pranešimais arba įrašais, skelbiamais Cedefop interneto svetainėje ir intranete.

3.   Šio sprendimo 1 straipsnio 3 dalyje nurodytas asmens duomenų saugojimo laikotarpis neturi būti ilgesnis, negu reikia tiems tikslams, kuriems duomenys yra tvarkomi, pasiekti. Šis laikotarpis jokiu atveju negali būti ilgesnis už šio sprendimo 3 straipsnio 3 dalyje nurodytuose duomenų apsaugos pranešimuose arba įrašuose nustatytą duomenų saugojimo laikotarpį.

4.   Jeigu Cedefop svarsto galimybę taikyti apribojimą, reikia įvertinti riziką duomenų subjektų teisėms ir laisvėms, ypač riziką kitų duomenų subjektų teisėms ir laisvėms bei riziką, kad gali sumažėti Cedefop tyrimų arba procedūrų veiksmingumas, visų pirma, kad gali būti sunaikinti įrodymai. Rizika duomenų subjektų teisėms ir laisvėms, pirmiausia, yra rizika reputacijai ir rizika teisei į gynybą bei teisei būti išklausytam, bet tuo neapsiriboja.

1.    Cedefop visus apribojimus taiko tik remdamasis vienu ar daugiau Reglamento (ES) 2018/1725 25 straipsnio 1 dalies a–i punktuose nurodytų pagrindų. Visų pirma, šio sprendimo 1 straipsnio 2 dalyje nurodytais asmens duomenų tvarkymo tikslais apribojimai gali būti taikomi remiantis šiais pagrindais:

2.   Konkrečiais atvejais siekdamas pirmiau 1 dalyje aprašytų tikslų Cedefop gali taikyti šio sprendimo 1 straipsnio 5 dalyje nustatytų teisių apribojimus, jeigu:

Prieš pradėdamas taikyti apribojimus pirmos pastraipos a ir b punktuose nurodytais atvejais, Cedefop konsultuojasi su atitinkama Sąjungos institucija, organu, tarnyba ar agentūra arba valstybės narės kompetentinga institucija, nebent Cedefop yra aišku, kad galimybė taikyti apribojimą yra numatyta viename iš minėtuose punktuose nurodytų aktų.

3.   Duomenų apsaugos pranešimuose arba įrašuose, kaip nurodyta Reglamento (ES) 2018/1725 31 straipsnyje, kurie yra skelbiami Cedefop interneto svetainėje ir intranete ir kuriuose duomenų subjektai informuojami apie savo teises vykstant tam tikrai procedūrai, Cedefop pateikia informaciją apie galimą tų teisių apribojimą. Nurodoma, kokios teisės gali būti apribotos, apribojimo priežastys ir galima trukmė.

Jeigu tai yra proporcinga, nepažeisdamas 5 straipsnio 2 dalies nuostatų Cedefop taip pat nepagrįstai nedelsdamas raštu informuoja kiekvieną duomenų subjektą, kuris vykdant konkrečią duomenų tvarkymo operaciją yra laikomas suinteresuotuoju subjektu, apie jo teises, susijusias su esamais arba būsimais apribojimais.

4.   Bet kuris apribojimas turi būti reikalingas ir proporcingas atsižvelgiant į riziką duomenų subjektų teisėms ir laisvėms ir atitikti demokratinėje visuomenėje galiojančių pagrindinių teisių ir laisvių esmę.

5.   Jeigu svarstoma galimybė taikyti apribojimą, remiantis šiomis taisyklėmis įvertinamas jo reikalingumas ir proporcingumas. Kiekvienu atveju apribojimas atskaitomybės tikslais yra dokumentuojamas vidaus vertinimo rašte.

6.   Vos tik aplinkybių, dėl kurių taikytas apribojimas, nelieka, apribojimas kuo greičiau panaikinamas.

1.   Jeigu duomenų valdytojas pagal šį sprendimą ketina apriboti duomenų subjektų teisių taikymą arba pratęsia apribojimą, nepagrįstai nedelsiant informuojamas Cedefop duomenų apsaugos pareigūnas (toliau – DAP). Duomenų valdytojas leidžia DAP susipažinti su įrašu, kuriame užfiksuotas apribojimo reikalingumo ir proporcingumo įvertinimas, ir įraše užregistruoja datą, kada informavo DAP. DAP įtraukiamas į visą procedūrą, kol apribojimas bus panaikintas.

2.   DAP gali raštu prašyti, kad duomenų valdytojas peržiūrėtų taikomus apribojimus. Duomenų valdytojas informuoja DAP apie prašytos peržiūros rezultatus.

3.   Duomenų valdytojas informuoja DAP, kai apribojimas panaikinamas.

1.   Deramai pagrįstais atvejais ir šiame sprendime nustatytomis sąlygomis duomenų valdytojas gali apriboti teisę į informaciją, kuri turi būti pateikta duomenų subjektui, vykdant šias duomenų tvarkymo operacijas:

2.   Jeigu Cedefop visiškai arba iš dalies apriboja teisę į informaciją, kuri turi būti teikiama duomenų subjektams pagal Reglamento (ES) 2018/1725 14–16 straipsnius, jis užregistruoja apribojimo priežastis ir teisinį pagrindą (-us) pagal šio sprendimo 3 straipsnį, taip pat užregistruoja apribojimo reikalingumo ir proporcingumo įvertinimą.

Įrašas ir, jei tai taikytina, dokumentai, kuriuose išdėstytos pagrindinės faktinės ir teisinės

aplinkybės, registruojami. Įrašai pateikiami Europos duomenų apsaugos priežiūros pareigūnui, jam paprašius.

3.   2 dalyje nurodytas apribojimas taikomas tol, kol išnyksta priežastys, dėl kurių jis yra taikomas.

Jeigu priežasčių taikyti apribojimą nebelieka, Cedefop pateikia informaciją duomenų subjektui apie pagrindines priežastis, dėl kurių taikomas apribojimas. Kartu Cedefop informuoja duomenų subjektą apie teisę bet kuriuo metu pateikti skundą Europos duomenų apsaugos priežiūros pareigūnui arba teismine tvarka apskųsti sprendimą Europos Sąjungos Teisingumo Teismui (toliau – Teisingumo Teismas).

Cedefop peržiūri apribojimo taikymą kas šešis mėnesius nuo apribojimo taikymo pradžios ir užbaigus atitinkamą apklausą, procedūrą arba tyrimą. Vėliau duomenų valdytojas kas šešis mėnesius peržiūri, ar kurį nors apribojimą reikia taikyti toliau. 3 straipsnio 5 dalyje nurodytas reikalingumo ir proporcingumo įvertinimas taip pat atliekamas per kiekvieną periodinę peržiūrą, įvertinus, ar tebeegzistuoja faktinės ir teisinės apribojimo taikymo priežastys.

1.   Deramai pagrįstais atvejais šiame sprendime nustatytomis sąlygomis, kai tai yra reikalinga ir proporcinga, duomenų valdytojas gali apriboti duomenų subjekto teisę susipažinti su duomenimis vykdant šias duomenų tvarkymo operacijas:

Jeigu duomenų subjektai prašo leisti susipažinti su savo asmens duomenimis, kurie yra tvarkomi vienoje arba keliose konkrečiose bylose arba vykdant konkrečią duomenų tvarkymo operaciją, pagal Reglamento (ES) 2018/1725 17 straipsnį Cedefop vertina prašymą tik tų asmens duomenų atžvilgiu.

2.   Jeigu Cedefop visiškai arba iš dalies apriboja Reglamento (ES) 2018/1725 17 straipsnyje nurodytą teisę susipažinti su duomenimis, jis atlieka šiuos veiksmus:

Darbuotojų teisei susipažinti su savo medicininiais dokumentais nustatyti apribojimai taikomi tik darbuotojų prašymams tiesiogiai susipažinti su psichologinio ir psichiatrinio pobūdžio medicininiais duomenimis, jeigu įvertinus kiekvieną konkretų atvejį paaiškėja, kad netiesioginė prieiga yra būtina siekiant apsaugoti duomenų subjektą. Prieiga prie tokių duomenų suteikiama tarpininkaujant atitinkamo duomenų subjekto paskirtam gydytojui. Duomenų subjekto pasirinktam gydytojui suteikiama prieiga prie visos informacijos ir teisė savo nuožiūra spręsti, kaip ir kokią prieigą suteikti duomenų subjektui.

Pagal Reglamento (ES) 2018/1725 25 straipsnio 8 dalį a punkte nurodytos informacijos pateikimas gali būti atidėtas, ji gali būti neteikiama arba ją pateikti gali būti atsisakyta, jei dėl jos pateikimo nustatytas apribojimas netektų poveikio.

Cedefop peržiūri apribojimo taikymą kas šešis mėnesius nuo apribojimo taikymo pradžios ir užbaigus atitinkamą apklausą, procedūrą arba tyrimą. Vėliau duomenų valdytojas kas šešis mėnesius peržiūri, ar kurį nors apribojimą reikia taikyti toliau. 3 straipsnio 5 dalyje nurodytas reikalingumo ir proporcingumo įvertinimas taip pat atliekamas per kiekvieną periodinę peržiūrą, įvertinus, ar tebeegzistuoja faktinės ir teisinės apribojimo taikymo priežastys.

3.   Įrašas ir, jei tai taikytina, dokumentai, kuriuose nurodomos pagrindinės faktinės ir teisinės aplinkybės, registruojami. Įrašai pateikiami Europos duomenų apsaugos priežiūros pareigūnui, jam paprašius.

1.   Deramai pagrįstais atvejais šiame sprendime nustatytomis sąlygomis, kai tai yra reikalinga ir tinkama, duomenų valdytojas gali apriboti duomenų subjekto teises reikalauti duomenis ištaisyti, ištrinti ir teisę apriboti duomenų tvarkymą vykdant šias duomenų tvarkymo operacijas:

2.   Jeigu Cedefop visiškai arba iš dalies apriboja duomenų subjekto teises reikalauti duomenis ištaisyti, ištrinti ir teisę apriboti duomenų tvarkymą, nurodytas Reglamento (ES) 2018/1725 18 straipsnyje, 19 straipsnio 1 dalyje ir 20 straipsnio 1 dalyje, jis atlieka šio sprendimo 6 straipsnio 2 dalyje nurodytus veiksmus pagal šio sprendimo 6 straipsnio 3 dalį ir užregistruoja įrašą pagal šio sprendimo 6 straipsnio 3 dalį.

1.   Deramai pagrįstais atvejais šiame sprendime nustatytomis sąlygomis, kai tai yra reikalinga ir proporcinga, duomenų valdytojas gali apriboti teisę duomenų subjektui gauti pranešimą apie asmens duomenų saugumo pažeidimą vykdant šias duomenų tvarkymo operacijas:

2.   Deramai pagrįstais atvejais šiame sprendime nustatytomis sąlygomis, kai tai yra reikalinga ir proporcinga, duomenų valdytojas gali apriboti teisę į elektroninių pranešimų konfidencialumą vykdant šias duomenų tvarkymo operacijas:

3.   Jeigu Cedefop apriboja teisę duomenų subjektui gauti pranešimą apie asmens duomenų saugumo pažeidimą arba teisę į elektroninių pranešimų konfidencialumą, kaip nurodyta atitinkamai Reglamento (ES) 2018/1725 35 ir 36 straipsniuose, jis užfiksuoja ir užregistruoja apribojimo priežastis pagal šio sprendimo 5 straipsnio 2 dalį. Taip pat taikoma šio sprendimo 5 straipsnio 3 dalis.