1.   Remiantis Reglamento (ES) 2018/1725 25 straipsniu, šiame sprendime nustatytos taisyklės dėl to, kokiomis sąlygomis Agentūra, vykdydama šio straipsnio 2 dalyje nurodytas procedūras, gali apriboti 14–21, 35 ir 36 straipsniuose, taip pat 4 straipsnyje nurodytų teisių taikymą.

2.   Šis sprendimas taikomas Agentūros administracinių funkcijų srityje vykdomoms asmens duomenų tvarkymo operacijoms, kurias institucija atlieka vykdydama administracinius tyrimus, drausmines procedūras, preliminarią veiklą, susijusią su galimų pažeidimų, apie kuriuos pranešta OLAF, nagrinėjimo bylomis, nagrinėdama pranešimus apie pažeidimus, vykdydama (oficialias ir neoficialias) procedūras priekabiavimo atvejais, nagrinėdama vidaus ir išorės skundus, vykdydama vidaus auditus ir duomenų apsaugos pareigūno atliekamus tyrimus, kaip numatyta Reglamento (ES) 2018/1725 45 straipsnio 2 dalyje, stebėdama didmenines energijos rinkas ir koordinuodama nacionalinių reguliavimo institucijų veiklą dėl galimų REMIT pažeidimų bei vykdydama (IT) saugumo tyrimus organizacijos viduje arba dalyvaujant išorės subjektams (pvz., CERT-EU).

3.   Tvarkomi šių kategorijų duomenys: faktiniai duomenys (objektyvūs duomenys, kaip antai identifikavimo duomenys, kontaktiniai duomenys, profesiniai duomenys, administraciniai duomenys, iš konkrečių šaltinių gauti duomenys, elektroniniai pranešimai ir srauto duomenys) ir (arba) kokybiniai duomenys (subjektyvūs duomenys, kaip antai su bylomis susiję duomenys, pavyzdžiui, teisiniai motyvai, elgsenos duomenys, vertinimai, veiklos ir poelgių duomenys, duomenys, susiję su procedūros arba veiklos dalyku arba dėl to pateikti duomenys).

4.   Agentūra, vykdydama savo pareigas duomenų subjekto teisių atžvilgiu pagal Reglamentą (ES) 2018/1725, atsižvelgia į tai, ar taikoma kuri nors tame reglamente numatyta išimtis.

5.   Laikantis šiame sprendime nustatytų sąlygų gali būti apribojamos šios teisės: teisė į informacijos teikimą duomenų subjektams, teisė susipažinti su duomenimis, reikalauti juos ištaisyti, ištrinti, apriboti jų tvarkymą, teisė į tai, kad apie asmens duomenų saugumo pažeidimą būtų pranešta duomenų subjektui, arba teisė į pranešimų konfidencialumą.

1.   Siekiant užtikrinti, kad duomenų saugumas nebūtų pažeistas, duomenys nenutekėtų ir nebūtų neteisėtai atskleisti, įdiegtos šios apsaugos priemonės:

2.   Duomenų tvarkymo operacijų duomenų valdytoja yra Agentūra, atstovaujama direktoriaus, kuris duomenų valdytojo funkciją gali perduoti. Duomenų subjektai informuojami apie įgaliotą duomenų valdytoją duomenų apsaugos pranešimais arba įrašais, skelbiamais Agentūros interneto svetainėje ir (arba) intranete.

3.   Šio sprendimo 1 straipsnio 3 dalyje nurodytas asmens duomenų saugojimo laikotarpis neturi būti ilgesnis, negu reikia tiems tikslams, kuriems duomenys yra tvarkomi, pasiekti. Šis laikotarpis jokiu atveju negali būti ilgesnis už šio sprendimo 5 straipsnio 1 dalyje nurodytuose duomenų apsaugos pranešimuose, pranešimuose apie privatumą arba įrašuose nustatytą duomenų saugojimo laikotarpį.

4.   Jeigu Agentūra svarsto galimybę taikyti apribojimą, reikia įvertinti riziką duomenų subjektų teisėms ir laisvėms, ypač riziką kitų duomenų subjektų teisėms ir laisvėms bei neigiamo poveikio Agentūros tyrimams arba procedūroms riziką, pavyzdžiui, kad gali būti sunaikinti įrodymai. Rizika duomenų subjektų teisėms ir laisvėms, pirmiausia, yra rizika reputacijai ir rizika teisei į gynybą bei teisei būti išklausytam, bet tuo neapsiriboja.

1.   Agentūra visus apribojimus taiko tik siekdama užtikrinti:

2.   Konkrečiais atvejais siekdama pirmiau 1 dalyje aprašytų tikslų Agentūra gali taikyti apribojimus jeigu:

Prieš pradėdama taikyti apribojimus pirmos pastraipos a ir b punktuose nurodytais atvejais, Agentūra konsultuojasi su atitinkamomis Komisijos tarnybomis, Sąjungos institucijomis, organais, agentūromis, tarnybomis arba valstybių narių kompetentingomis institucijomis, nebent Agentūrai yra aišku, kad galimybė taikyti apribojimą yra numatyta viename iš minėtuose punktuose nurodytų aktų.

3.   Bet kuris apribojimas turi būti reikalingas ir proporcingas atsižvelgiant į riziką duomenų subjektų teisėms ir laisvėms, ir atitikti demokratinėje visuomenėje galiojančių pagrindinių teisių ir laisvių esmę.

4.   Jeigu svarstoma galimybė taikyti apribojimą, remiantis šiomis taisyklėmis įvertinamas jo reikalingumas ir proporcingumas. Kiekvienu atveju apribojimas atskaitomybės tikslais yra dokumentuojamas vidaus vertinimo rašte.

5.   Vos tik aplinkybės, dėl kurių taikyti apribojimai, išnyksta, apribojimai kuo greičiau panaikinami, ypač tada, kai manoma, kad dėl naudojimosi apribota teise nustatyto apribojimo poveikis neišnyks arba dėl naudojimosi apribota teise nebus pakenkta kitų duomenų subjektų teisėms arba laisvėms.

1.   Nepagrįstai nedelsdama Agentūra įtraukia savo duomenų apsaugos pareigūną (toliau – DAP) į visas atitinkamas šiuo sprendimu nustatytas procedūras ir užtikrina, kad DAP dalyvavimas būtų dokumentuojamas. Rašytiniais dokumentais įforminami visi atitinkami DAP pateikti vertinimai ir nuomonės dėl apribojimo pritaikymo konkrečiu atveju.

2.   Visų pirma, jeigu duomenų valdytojas pagal šį sprendimą apriboja duomenų subjektų teisių taikymą arba pratęsia apribojimą, Agentūra nepagrįstai nedelsdama informuoja savo duomenų apsaugos pareigūną. Duomenų valdytojas leidžia DAP susipažinti su įrašu, kuriame užfiksuotas apribojimo reikalingumo ir proporcingumo įvertinimas, ir įraše užregistruoja datą, kada informavo DAP.

3.   DAP gali raštu prašyti, kad duomenų valdytojas peržiūrėtų taikomus apribojimus. Duomenų valdytojas informuoja DAP apie prašytos peržiūros rezultatus.

4.   Duomenų valdytojas informuoja DAP, kai apribojimas panaikinamas.

1.   Deramai pagrįstais atvejais šiame sprendime nustatytomis sąlygomis duomenų valdytojas gali apriboti teisę gauti informaciją vykdant šias duomenų tvarkymo operacijas:

Duomenų apsaugos pranešimuose, pranešimuose apie privatumą arba įrašuose, kaip nurodyta Reglamento (ES) 2018/1725 31 straipsnyje, kurie yra skelbiami Agentūros interneto svetainėje ir (arba) intranete ir kuriuose duomenų subjektai informuojami apie savo teises vykstant tam tikrai procedūrai, Agentūra pateikia informaciją apie galimą tų teisių apribojimą. Nurodoma, kokios teisės gali būti apribotos, apribojimo priežastys ir galima trukmė.

2.   Jeigu tai yra proporcinga, nepažeisdama 3 dalies nuostatų Agentūra taip pat nepagrįstai nedelsdama raštu informuoja kiekvieną duomenų subjektą, kuris vykdant konkrečią duomenų tvarkymo operaciją yra laikomas suinteresuotuoju subjektu, apie jo teises, susijusias su esamais arba būsimais apribojimais.

3.   Jeigu Agentūra visiškai arba iš dalies apriboja informacijos teikimą 2 dalyje nurodytiems duomenų subjektams, ji užregistruoja apribojimo priežastis ir teisinį pagrindą pagal šio sprendimo 3 straipsnį, taip pat užregistruoja apribojimo reikalingumo ir proporcingumo įvertinimą.

Įrašas ir, jei tai taikytina, dokumentai, kuriuose nurodomos pagrindinės faktinės ir teisinės aplinkybės, registruojami. Įrašai pateikiami Europos duomenų apsaugos priežiūros pareigūnui, jam paprašius.

4.   3 dalyje nurodytas apribojimas taikomas tol, kol išnyksta priežastys, dėl kurių jis yra taikomas.

Jeigu priežasčių taikyti apribojimą nebėra, Agentūra pateikia informaciją duomenų subjektui apie pagrindines priežastis, dėl kurių taikomas apribojimas. Kartu Agentūra informuoja duomenų subjektą apie teisę bet kuriuo metu pateikti skundą Europos duomenų apsaugos priežiūros pareigūnui arba teisę į teisminį teisių gynimą Europos Sąjungos Teisingumo Teisme.

Siekdama įvertinti, ar tebeegzistuoja faktiniai ir teisiniai apribojimo taikymo pagrindai, Agentūra peržiūri apribojimo taikymą kas šešis mėnesius nuo jo taikymo pradžios ir užbaigus atitinkamą procedūrą arba tyrimą. Vėliau duomenų valdytojas periodiškai kas šešis mėnesius peržiūri, ar kurį nors apribojimą reikia tikslinti.

1.   Deramai pagrįstais atvejais šiame sprendime nustatytomis sąlygomis, kai tai yra reikalinga ir proporcinga, duomenų valdytojas gali apriboti teisę susipažinti su duomenimis vykdant šias duomenų tvarkymo operacijas:

Jeigu duomenų subjektai prašo leisti susipažinti su savo asmens duomenimis, kurie yra tvarkomi vienoje arba keliose konkrečiose bylose arba vykdant konkrečią duomenų tvarkymo operaciją, pagal Reglamento (ES) 2018/1725 17 straipsnį Agentūra vertina prašymą tik tų asmens duomenų atžvilgiu.

2.   Jeigu Agentūra visiškai arba iš dalies apriboja Reglamento (ES) 2018/1725 17 straipsnyje nurodytą teisę susipažinti su duomenimis, ji atlieka šiuos veiksmus:

Pagal Reglamento (ES) 2018/1725 25 straipsnio 8 dalį a punkte nurodytos informacijos pateikimas gali būti atidėtas, ji gali būti neteikiama arba ją pateikti gali būti atsisakyta, jei dėl jos pateikimo nustatytas apribojimas netektų poveikio.

Siekdama įvertinti, ar tebeegzistuoja faktiniai ir teisiniai apribojimo taikymo pagrindai, Agentūra peržiūri apribojimo taikymą kas šešis mėnesius nuo jo taikymo pradžios ir užbaigus atitinkamą tyrimą. Vėliau duomenų valdytojas periodiškai kas šešis mėnesius peržiūri, ar kurį nors apribojimą reikia tikslinti.

3.   Įrašas ir, jei tai taikytina, dokumentai, kuriuose nurodomos pagrindinės faktinės ir teisinės aplinkybės, registruojami. Įrašai pateikiami Europos duomenų apsaugos priežiūros pareigūnui, jam paprašius.

1.   Deramai pagrįstais atvejais, šiame sprendime nustatytomis sąlygomis ir jei tai yra reikalinga ir proporcinga, duomenų valdytojas gali apriboti teisę reikalauti duomenis ištaisyti, ištrinti ir teisę apriboti duomenų tvarkymą vykdant šias duomenų tvarkymo operacijas:

2.   Jeigu Agentūra visiškai arba iš dalies apriboja teisę reikalauti duomenis ištaisyti, ištrinti ir teisę apriboti duomenų tvarkymą, nurodytas Reglamento (ES) 2018/1725 18 straipsnyje, 19 straipsnio 1 dalyje ir 20 straipsnio 1 dalyje, ji atlieka šio sprendimo 6 straipsnio 2 dalyje nurodytus veiksmus. Šio sprendimo 6 straipsnio 3 dalis taikoma visiems apribojimams, įgyvendinamiems pagal šį straipsnį.

1.   Deramai pagrįstais atvejais šiame sprendime nustatytomis sąlygomis, kai tai yra reikalinga ir proporcinga, duomenų valdytojas gali apriboti teisę gauti pranešimą apie asmens duomenų saugumo pažeidimą vykdant šias duomenų tvarkymo operacijas:

2.   Deramai pagrįstais atvejais šiame sprendime nustatytomis sąlygomis, kai tai yra reikalinga ir proporcinga, duomenų valdytojas gali apriboti teisę į elektroninių pranešimų konfidencialumą vykdant šias duomenų tvarkymo operacijas:

3.   Jeigu Agentūra apriboja Reglamento (ES) 2018/1725 35 ir 36 straipsniuose nurodytą pranešimą duomenų subjektui apie asmens duomenų saugumo pažeidimą arba elektroninių pranešimų konfidencialumą, ji atlieka veiksmus pagal šio sprendimo 5 straipsnio 3 ir 4 dalis. Šio sprendimo 6 straipsnio 3 dalis taikoma visiems pagal šį straipsnį įgyvendinamiems apribojimams.