1.   Šiame sprendime nustatytos taisyklės dėl to, kokiomis sąlygomis Tarnyba, vykdydama duomenų tvarkymo procedūras, nustatytas 2 dalyje, gali apriboti Reglamento (ES) 2018/1725 4, 14–21, 35 ir 36 straipsniuose nurodytų teisių taikymą, kai taikomas to reglamento 25 straipsnis.

2.   Tarnybai vykdant savo administracines funkcijas, šis sprendimas taikomas asmens duomenų tvarkymui, kurio Tarnyba imasi vykdydama administracinius tyrimus, drausmines procedūras, pranešimų apie pažeidimus procedūras, (oficialias ir neoficialias) procedūras priekabiavimo atvejais, nagrinėdama skundus, tvarkydama medicininius duomenis ir (arba) bylas, vykdydama vidaus auditus ir duomenų apsaugos pareigūno atliekamus tyrimus, kaip nustatyta Reglamento (ES) 2018/1725 45 straipsnio 2 dalyje, ir IT saugumo tyrimus, kurie atliekami organizacijos viduje arba dalyvaujant išorės subjektams (pvz., CERT-EU).

Šis sprendimas taikomas duomenų tvarkymo operacijoms, Tarnybos inicijuojamoms ir atliekamoms prieš pradedant vykdyti pirmiau minėtas procedūras, vykdant tas procedūras ir stebint, kaip buvo atsižvelgta į tų procedūrų rezultatus. Sprendimas taip pat taikomas, kai Tarnyba su savo vykdomomis administracinėmis procedūromis nesusijusią pagalbą teikia Europos kovos su sukčiavimu tarnybai (OLAF), valstybių narių kompetentingoms institucijoms ir (arba) kitoms kompetentingoms institucijoms ir bendradarbiauja su jomis.

3.   Tvarkomų duomenų kategorijos – faktiniai duomenys (objektyvūs duomenys, tokie kaip identifikavimo duomenys, kontaktiniai duomenys, profesiniai duomenys, administraciniai duomenys, iš konkrečių šaltinių gauti duomenys, elektroniniai pranešimai ir srauto duomenys) ir (arba) kokybiniai duomenys (subjektyvūs duomenys, susiję su bylomis, pavyzdžiui, teisiniai motyvai, elgsenos duomenys, vertinimai, veiklos ir poelgių duomenys, duomenys, susiję su procedūros arba veiklos dalyku arba dėl to pateikti duomenys).

4.   Tarnyba, vykdydama savo pareigas duomenų subjektų teisių atžvilgiu pagal Reglamentą (ES) 2018/1725, atsižvelgia į tai, ar taikoma kuri nors tame reglamente nustatyta išimtis.

5.   Laikantis šiame sprendime nustatytų sąlygų gali būti ribojamos šios teisės: teisė į informacijos teikimą duomenų subjektams, teisė susipažinti su duomenimis, reikalauti juos ištaisyti, ištrinti, apriboti jų tvarkymą, teisė į tai, kad apie asmens duomenų saugumo pažeidimą būtų pranešta duomenų subjektui, arba teisė į elektroninių pranešimų konfidencialumą.

1.   Tarnyba turi įgyvendinti šias apsaugos priemones, kad būtų užkirstas kelias piktnaudžiavimui, neteisėtai prieigai prie duomenų arba jų perdavimui:

2.   Duomenų tvarkymo operacijų duomenų valdytoja yra Tarnyba, atstovaujama jos vykdomojo direktoriaus, o šis duomenų valdytojo funkciją gali perduoti. Duomenų subjektai turi būti informuojami apie įgaliotą duomenų valdytoją duomenų apsaugos pranešimais arba įrašais, skelbiamais Tarnybos interneto svetainėje ir (arba) intranete.

3.   Asmens duomenų saugojimo laikotarpis, nurodytas 1 straipsnio 3 dalyje, negali būti ilgesnis už 3 straipsnio 1 dalyje nurodytuose duomenų apsaugos pranešimuose, pranešimuose apie privatumą arba įrašuose nustatytą duomenų saugojimo laikotarpį. Duomenų saugojimo laikotarpio pabaigoje su byla susijusi informacija, įskaitant asmens duomenis, ištrinama, nuasmeninama arba perduodama istoriniams archyvams.

4.   Kai Tarnyba svarsto galimybę taikyti apribojimą, reikia įvertinti riziką duomenų subjektų teisėms ir laisvėms, ypač riziką kitų duomenų subjektų teisėms ir laisvėms bei riziką, kad bus trukdoma siekti tvarkymo operacijos tikslo. Rizika duomenų subjektų teisėms ir laisvėms visų pirma, be kita ko, yra rizika reputacijai, rizika teisei į gynybą ir rizika teisei būti išklausytam, tačiau tuo neapsiribojama.

1.   Tarnyba savo svetainėje ir (arba) intranete turi skelbti duomenų apsaugos pranešimus, pranešimus apie privatumą arba įrašus, kaip nurodyta Reglamento (ES) 2018/1725 31 straipsnyje, kad duomenų subjektai būtų informuoti apie Tarnybos veiklą, susijusią su jų asmens duomenų tvarkymu, ir apie jų teises vykstant tam tikrai procedūrai, įskaitant informaciją apie galimą tų teisių apribojimą. Turi būti nurodoma, kokios teisės gali būti apribotos, apribojimo priežastys ir galima trukmė.

2.   Laikydamasi 3 dalies nuostatų, Tarnyba prireikus turi užtikrinti, kad duomenų subjektai tinkama forma būtų informuoti asmeniškai. Tarnyba taip pat gali juos asmeniškai informuoti apie jų teises, kurioms taikomi arba bus taikomi apribojimai.

3.   Bet kurie apribojimai, kuriuos Tarnyba pradeda taikyti, gali būti taikomi tik tais atvejais, kai to reikia siekiant užtikrinti tai, kas nustatyta Reglamento (ES) 2018/1725 25 straipsnio 1 dalyje, t. y.:

4.   Visų pirma, kai Tarnyba apribojimus taiko:

5.   Bet kuris apribojimas turi būti reikalingas ir proporcingas atsižvelgiant visų pirma į riziką duomenų subjektų teisėms ir laisvėms ir atitikti demokratinėje visuomenėje galiojančių pagrindinių teisių ir laisvių esmę.

Kai svarstoma galimybė taikyti apribojimą, remiantis šiomis taisyklėmis turi būti įvertinamas jo reikalingumas ir proporcingumas. Kiekvienu atveju apribojimas atskaitomybės tikslais turi būti dokumentuojamas vidaus vertinimo rašte. Vertinimas taip pat turi būti atliekamas persvarstant apribojimo taikymą.

Vos tik aplinkybių, dėl kurių taikytas apribojimas, nelieka, apribojimas turi būti kuo greičiau panaikinamas. Ypač tada, kai manoma, kad dėl naudojimosi apribota teise nustatyto apribojimo poveikis neišnyks arba dėl naudojimosi apribota teise nebus pakenkta kitų duomenų subjektų teisėms arba laisvėms.

6.   Be to, gali būti prašoma, kad Tarnyba duomenų subjektų asmens duomenimis keistųsi su Komisijos tarnybomis arba kitomis ES institucijomis, organais, agentūromis ir tarnybomis, valstybių narių arba trečiųjų valstybių kompetentingomis institucijomis arba tarptautinėmis organizacijomis, įskaitant:

Kai keitimąsi asmens duomenimis inicijuoja kita institucija, Tarnyba apribojimų netaiko, o su byla susijusią informaciją, įskaitant asmens duomenis, Tarnyba, tai institucijai perdavusi prašomus duomenis, ištrina arba nuasmenina.

7.   Su apribojimais susiję įrašai ir, jei taikytina, dokumentai, kuriuose išdėstytos pagrindinės faktinės ir teisinės aplinkybės, turi būti pateikiami Europos duomenų apsaugos priežiūros pareigūnui, jam paprašius.

1.   Jeigu duomenų valdytojas pagal šį sprendimą apriboja duomenų subjektų teisių taikymą, panaikina apribojimą arba persvarsto apribojimo taikymo laikotarpį, Tarnyba nepagrįstai nedelsdama informuoja savo duomenų apsaugos pareigūną (toliau – DAP). Duomenų valdytojas turi leisti DAP susipažinti su įrašu, kuriame užfiksuotas apribojimo reikalingumo ir proporcingumo įvertinimas, ir įraše užregistruoti datą, kada informavo DAP.

2.   DAP gali raštu prašyti, kad duomenų valdytojas peržiūrėtų taikomus apribojimus. Duomenų valdytojas DAP turi informuoti apie prašytos peržiūros rezultatus.

3.   DAP dalyvavimas taikant apribojimų nustatymo procedūrą, įskaitant keitimąsi informacija, turi būti tinkama forma įforminamas dokumentais.

1.   Deramai pagrįstais atvejais, šiame sprendime nustatytomis sąlygomis ir jei tai yra reikalinga bei proporcinga, duomenų valdytojas gali apriboti informacijos teikimą vykdant šio sprendimo 1 straipsnio 2 dalyje nurodytas duomenų tvarkymo operacijas. Visų pirma, informacijos teikimas gali būti atidėtas, ji gali būti neteikiama arba ją pateikti gali būti atsisakyta, jei dėl jos pateikimo nebeliktų duomenų tvarkymo operacijos poveikio.

2.   Tarnyba, visiškai arba iš dalies apribojusi informacijos teikimą, kaip nurodyta 1 dalyje, turi vidaus vertinimo rašte dokumentuoti apribojimo priežastis, įskaitant apribojimo reikalingumo, proporcingumo ir trukmės įvertinimą.

3.   1 dalyje nurodytas apribojimas taikomas tol, kol išnyksta priežastys, dėl kurių jis yra taikomas.

Jeigu priežasčių taikyti apribojimą nebėra, Tarnyba turi pateikti informaciją duomenų subjektui apie pagrindines priežastis, dėl kurių taikomas apribojimas. Kartu Tarnyba duomenų subjektą informuoja apie galimybę pateikti skundą Europos duomenų apsaugos priežiūros pareigūnui arba teismine tvarka apskųsti sprendimą Europos Sąjungos Teisingumo Teismui.

4.   Tarnyba peržiūri taikomą apribojimą bent kartą per metus ir užbaigus atitinkamą tyrimą. Vėliau duomenų valdytojas kasmet įvertina, ar reikia apribojimą taikyti toliau.

1.   Deramai pagrįstais atvejais, šiame sprendime nustatytomis sąlygomis ir jei tai yra reikalinga ir proporcinga, duomenų valdytojas gali apriboti teisę susipažinti su duomenimis, teisę reikalauti duomenis ištaisyti, ištrinti ir teisę apriboti duomenų tvarkymą vykdant šio sprendimo 1 straipsnio 2 dalyje nurodytas duomenų tvarkymo operacijas. Šiame 6 straipsnyje pateiktos nuostatos netaikomos teisei susipažinti su medicininiais duomenimis ir (arba) bylomis, nes tiems atvejams taikomos taisyklės aiškiai išdėstytos šio sprendimo 7 straipsnyje.

2.   Jeigu duomenų subjektai prašo pasinaudoti teise susipažinti su savo asmens duomenimis, kurie yra tvarkomi vienoje arba keliose konkrečiose bylose arba vykdant konkrečią duomenų tvarkymo operaciją, teisę reikalauti tokius duomenis ištaisyti, ištrinti ir teisę apriboti tokių duomenų tvarkymą, Tarnyba prašymą vertina tik tų asmens duomenų atžvilgiu.

3.   Jeigu Tarnyba visiškai arba iš dalies apriboja teisę susipažinti su duomenimis, teisę reikalauti duomenis ištaisyti, ištrinti ir teisę apriboti duomenų tvarkymą, ji atlieka šiuos veiksmus:

Pagal Reglamento (ES) 2018/1725 25 straipsnio 8 dalį a punkte nurodytos informacijos pateikimas gali būti atidėtas, ji gali būti neteikiama arba ją pateikti gali būti atsisakyta, jei dėl jos pateikimo nebeveiktų nustatytas apribojimas.

4.   Tarnyba turi peržiūrėti taikomą duomenų subjektų teisių apribojimo taikymą bent kartą per metus ir užbaigus atitinkamą tyrimą. Vėliau, duomenų subjektų prašymu, duomenų valdytojas turi iš naujo įvertinti, ar apribojimas turi būti toliau taikomas.

1.   Kad būtų galima apriboti duomenų subjektų teisę susipažinti su jų medicininiais duomenimis ir (arba) bylomis, turi būti taikomos specialios nuostatos, nustatytos šiame straipsnyje.

2.   Remdamasi toliau išdėstytomis šio straipsnio dalimis Tarnyba gali riboti duomenų subjektų teisę tiesiogiai susipažinti su jų asmeniniais medicininiais psichologinio arba psichiatrinio pobūdžio duomenimis ir (arba) bylomis, kuriuos tvarko Tarnyba, kai susipažinimas su tais duomenimis gali kelti pavojų duomenų subjekto sveikatai. Šis apribojimas turi būti proporcingas tam, kas tikrai būtina duomenų subjektui apsaugoti.

3.   Galimybė susipažinti su 2 dalyje nurodyta informacija turi būti suteikiama duomenų subjekto pasirinktam gydytojui.

4.   Tokiais atvejais duomenų subjektui pateikus prašymą Medicinos tarnyba turi kompensuoti dalį gydytojo, kuriam suteikta teisė susipažinti su medicininiais duomenimis ir (arba) bylomis, medicininių konsultacijų išlaidų, kurios pagal bendrąją sveikatos draudimo sistemą nebuvo kompensuotos. Kompensuojamos išlaidos neturi viršyti Bendrosiose įgyvendinimo nuostatose, susijusiose su sveikatos priežiūros išlaidų kompensavimu (5), nustatytos viršutinės ribos ir pagal tas taisykles duomenų subjektui pagal bendrąją sveikatos draudimo sistemą nustatytos kompensuotinos sumos skirtumo.

5.   Medicinos tarnyba kompensuoja tokias išlaidas su sąlyga, kad dar nebuvo leista susipažinti su tais pačiais duomenimis ir (arba) bylomis.

6.   Laikydamasi tolesnių šio straipsnio nuostatų Tarnyba gali kiekvienu konkrečiu atveju apriboti duomenų subjektų teisę susipažinti su jos turimais jų medicininiais duomenimis ir (arba) bylomis, kai tos teisės įgyvendinimas darytų neigiamą poveikį tų duomenų subjektų ar kitų duomenų subjektų teisėms ir laisvėms.

7.   Kai duomenų subjektai prašo pasinaudoti teise susipažinti su savo asmens duomenimis, kurie yra tvarkomi vienoje arba keliose konkrečiose bylose arba vykdant konkrečią duomenų tvarkymo operaciją, Tarnyba turi vertinti prašymą tik tų asmens duomenų atžvilgiu.

8.   Tarnyba, visiškai arba iš dalies apribojusi teisę susipažinti su duomenų subjektų medicininiais duomenimis ir (arba) bylomis, turi imtis šių veiksmų:

Pagal Reglamento (ES) 2018/1725 25 straipsnio 8 dalį a punkte nurodytos informacijos pateikimas gali būti atidėtas, ji gali būti neteikiama arba ją pateikti gali būti atsisakyta, jei dėl jos pateikimo nebeveiktų nustatytas apribojimas.

9.   2 ir 6 dalyse nurodyti apribojimai turi būti taikomi tol, kol neišnyksta priežastys, dėl kurių jie yra taikomi. Kai apribojimo priežasčių nebelieka, duomenų subjektų prašymu, duomenų valdytojas turi iš naujo įvertinti, ar apribojimas turi būti toliau taikomas.

1.   Deramai pagrįstais atvejais šiame sprendime nustatytomis sąlygomis, kai tai yra reikalinga ir proporcinga, duomenų valdytojas gali apriboti teisę gauti pranešimą apie asmens duomenų saugumo pažeidimą vykdant šio sprendimo 1 straipsnio 2 dalyje nustatytas duomenų tvarkymo operacijas. Tačiau ši teisė neturi būti ribojama, kai vykdomos priekabiavimo prevencijos procedūros.

2.   Deramai pagrįstais atvejais šiame sprendime nustatytomis sąlygomis, kai tai yra reikalinga ir proporcinga, duomenų valdytojas gali apriboti teisę į elektroninių pranešimų konfidencialumą vykdant šio sprendimo 1 straipsnio 2 dalyje nustatytas duomenų tvarkymo operacijas.

3.   Tarnybai apribojus Reglamento (ES) 2018/1725 35 ir 36 straipsniuose nurodytą pranešimą duomenų subjektui apie asmens duomenų saugumo pažeidimą arba elektroninių pranešimų konfidencialumą, taikomos šio sprendimo 5 straipsnio 2, 3 ir 4 dalys.