1.   Ar šo lēmumu paredz noteikumus, kas attiecas uz nosacījumiem, saskaņā ar kuriem ENISA atbilstīgi 2. punktā izklāstītajām tā procedūrām var ierobežot regulas 14.–21., 35. un 36. pantā, kā arī 4. pantā noteikto tiesību piemērošanu, ievērojot Regulas (ES) 2018/1725 25. pantu.

2.   ENISA administratīvās darbības ietvaros šo lēmumu piemēro ENISA veiktajām personas datu apstrādes darbībām šādiem nolūkiem: veicot administratīvas izmeklēšanas, izskatot disciplinārlietas, veicot provizoriskas darbības saistībā ar iespējamiem pārkāpumiem, par ko ziņots OLAF, izskatot trauksmes celšanas gadījumus, veicot (oficiālas un neoficiālas) procedūras aizskaršanas novēršanai, izskatot iekšējas un ārējas sūdzības, veicot iekšējas revīzijas, veicot kiberdrošības incidentu novērtējumus atbilstoši Regulas (ES) 2019/881 7. panta 4. punktam, datu aizsardzības speciālistam veicot izmeklēšanas saskaņā ar Regulas (ES) 2018/1725 45. panta 2. punktu, un (IT) drošības izmeklēšanas, ko veic iekšēji vai ar ārēju iesaisti (piemēram, CERT-EU).

3.   Attiecīgās datu kategorijas ir ticamie dati (“objektīvie” dati, piemēram, identifikācijas dati, kontaktinformācija, profesionālie dati, administratīvie dati, dati, kas saņemti no konkrētiem avotiem, elektronisko sakaru un datu plūsmas dati) un/vai nepārbaudītie dati (“subjektīvie” dati, kas būtiski lietai, piemēram, argumentācija, uzvedības dati, novērtējumi, snieguma un rīcības dati un dati, kas saistīti vai izvirzīti saistībā ar procedūras vai darbības priekšmetu).

4.   Kad ENISA pilda savus pienākumus saistībā ar datu subjekta tiesībām, kā noteikts Regulā (ES) 2018/1725, tā apsver, vai būtu piemērojams kāds no minētajā regulā paredzētajiem izņēmumiem.

5.   Ievērojot šajā lēmumā izklāstītos nosacījumus, ierobežojumus var piemērot šādām tiesībām: informācijas sniegšana datu subjektiem, piekļuves tiesības, labošana, dzēšana, apstrādes ierobežošana, datu subjekta informēšana par personas datu aizsardzības pārkāpumu un saziņas konfidencialitāte.

1.   Aizsardzības pasākumi, kas paredzēti, lai novērstu datu aizsardzības pārkāpumus, noplūdes vai neatļautu izpaušanu, ir šādi:

2.   Apstrādes darbību pārzinis ir ENISA, ko pārstāv tās izpilddirektors, kurš var deleģēt pārziņa funkciju. Datu subjektus informē par deleģēto pārzini, izmantojot datu aizsardzības paziņojumus vai ierakstus, kas publicēti ENISA tīmekļa vietnē un/vai iekštīklā.

3.   Personas datu glabāšanas periods, kas minēts 1. panta 3. punktā, nav ilgāks par nepieciešamo un ir atbilstošs mērķiem, kādiem datus apstrādā. Jebkurā gadījumā tas nedrīkst pārsniegt datu aizsardzības paziņojumos, privātuma paziņojumos vai 5. panta 1. punktā minētajos ierakstos noteikto glabāšanas laiku.

4.   Ja ENISA uzskata, ka ir jāpiemēro ierobežojums, tai ir jāapsver datu subjekta tiesību un brīvību apdraudējuma risks, jo īpaši risks attiecībā uz citu datu subjektu tiesībām un brīvībām, un risks, ka ENISA izmeklēšanas vai procedūru sekas tiek atceltas, piemēram, iznīcinot pierādījumus. Risks datu subjekta tiesībām un brīvībām galvenokārt, bet ne tikai, attiecas uz reputācijas riskiem un tiesībām uz aizstāvību, kā arī uz tiesībām tikt uzklausītam.

1.   Jebkādus ierobežojumus ENISA piemēro tikai, lai garantētu:

2.   Uz kiberdrošības incidentu novērtējumu, ko ENISA veic atbilstoši Regulas (ES) 2019/881 (Kiberdrošības akts) 7. panta 4. punktam, attiecas šā panta 1. punkta b) apakšpunkts.

3.   Konkrēti piemērojot 1. punktā aprakstītos mērķus, ENISA var piemērot ierobežojumus attiecībā uz personas datiem, ar kuriem apmainās ar Komisijas dienestiem vai citām Savienības iestādēm, struktūrām, aģentūrām un birojiem, dalībvalstu vai trešo valstu kompetentajām iestādēm vai starptautiskām organizācijām, jo īpaši šādos apstākļos:

Pirms ierobežojumu piemērošanas pirmās daļas a) un b) apakšpunktā minētajos gadījumos ENISA apspriežas ar attiecīgajiem Komisijas dienestiem, Savienības iestādēm, struktūrām, aģentūrām, birojiem vai dalībvalstu kompetentajām iestādēm, ja vien ENISA nav skaidrs, ka ierobežojuma piemērošana ir paredzēta kādā no šajos apakšpunktos minētajiem aktiem.

4.   Jebkurš ierobežojums ir nepieciešams un samērīgs, ņemot vērā riskus, kas apdraud datu subjektu tiesības un brīvības, un ievērojot pamattiesību un pamatbrīvību būtību demokrātiskā sabiedrībā.

5.   Ja tiek apsvērta ierobežojuma piemērošana, jāveic nepieciešamības un samērīguma tests, pamatojoties uz spēkā esošajiem noteikumiem. To katrā atsevišķā gadījumā dokumentē, izmantojot iekšēju novērtējuma ziņojumu pārskatatbildības nolūkos.

6.   Ierobežojumus atceļ, tiklīdz vairs nepastāv apstākļi, kas tos pamato, jo īpaši ja tiek uzskatīts, ka ierobežoto tiesību īstenošana vairs neatcels piemērotā ierobežojuma sekas vai tam nebūs negatīvas ietekmes uz citu datu subjektu tiesībām vai brīvībām.

1.   ENISA bez nepamatotas kavēšanās informē aģentūras datu aizsardzības speciālistu (“DAS”) ikreiz, kad pārzinis ierobežo datu subjektu tiesību piemērošanu vai pagarina ierobežojuma darbību saskaņā ar šo lēmumu. Pārzinis nodrošina DAS piekļuvi ierakstam, kas satur ierobežojuma nepieciešamības un samērīguma novērtējumu, un dokumentē datumu, kad DAS ticis informēts par ierakstu. ENISA iesaista DAS visās attiecīgajās procedūrās, un DAS iesaisti dokumentē.

2.   DAS var rakstveidā pieprasīt pārzinim pārskatīt ierobežojumu piemērošanu. Pārzinis informē DAS rakstveidā par pieprasītās pārskatīšanas iznākumu.

3.   Pārzinis informē DAS, kad ierobežojums ir atcelts.

1.   Attiecīgi pamatotos gadījumos un saskaņā ar šajā lēmumā paredzētajiem nosacījumiem pārzinis var ierobežot tiesības uz informāciju šādu apstrādes darbību kontekstā:

ENISA datu aizsardzības paziņojumos, privātuma paziņojumos vai ierakstos Regulas (ES) 2018/1725 31. panta nozīmē, kas publicēti tās tīmekļa vietnē un/vai iekštīklā, informējot datu subjektus par viņu tiesībām saistībā ar konkrētu procedūru, iekļauj informāciju par šo tiesību iespējamo ierobežošanu. Informācijā ietver ziņas par to, kādas tiesības var būt ierobežotas, ierobežojuma iemeslus un potenciālo ilgumu.

2.   Neskarot šā panta 3. punkta noteikumus, ENISA, ja tas ir samērīgi, bez nepamatotas kavēšanās un rakstveidā arī informē individuāli visus datu subjektus, kurus uzskata par personām, ko skar konkrētā apstrādes darbība, par esošiem vai paredzamiem to tiesību ierobežojumiem.

3.   Ja ENISA pilnīgi vai daļēji ierobežo informācijas sniegšanu 2. punktā minētajiem datu subjektiem, tā sagatavo ierakstu par ierobežojuma pamatojumu, juridisko pamatojumu saskaņā ar šā lēmuma 3. pantu, tostarp novērtējumu par ierobežojuma nepieciešamību un samērīgumu.

Ierakstu un attiecīgā gadījumā dokumentus, kuros ietverti attiecīgie faktu un juridiskie elementi, reģistrē. Tos pēc pieprasījuma dara pieejamus Eiropas Datu aizsardzības uzraudzītājam.

4.   Šā panta 3. punktā minēto ierobežojumu turpina piemērot tik ilgi, kamēr pastāv to pamatojošie iemesli.

Ja ierobežojumu pamatojošie iemesli vairs nepastāv, ENISA sniedz datu subjektam informāciju par galvenajiem iemesliem, ar kuriem pamatota ierobežojuma piemērošana. Vienlaikus ENISA informē datu subjektu par tiesībām jebkurā laikā iesniegt sūdzību Eiropas Datu aizsardzības uzraudzītājam vai lūgt Eiropas Savienības Tiesu piemērot tiesiskās aizsardzības līdzekli.

ENISA pēc attiecīgā ierobežojuma pieņemšanas ik pēc sešiem mēnešiem pārskata tā piemērošanu un to dara arī attiecīgās lietas izpētes, procedūras vai izmeklēšanas noslēgumā. Pēc tam pārzinis reizi sešos mēnešos pārliecinās, vai ir nepieciešams attiecīgo ierobežojumu uzturēt spēkā.

1.   Pienācīgi pamatotos gadījumos un saskaņā ar šajā lēmumā paredzētajiem nosacījumiem pārzinis var ierobežot tiesības uz piekļuvi šādu apstrādes darbību kontekstā, ja tas ir nepieciešams un samērīgi:

Ja datu subjekti saskaņā ar Regulas (ES) 2018/1725 17. pantu pieprasa piekļuvi saviem personas datiem, kas apstrādāti saistībā ar vienu vai vairākiem konkrētiem gadījumiem vai noteiktu apstrādes darbību, ENISA savu novērtējumu par šo pieprasījumu attiecina tikai uz šādiem personas datiem.

2.   Ja ENISA pilnīgi vai daļēji ierobežo Regulas (ES) 2018/1725 17. pantā minētās piekļuves tiesības, tā veic šādus pasākumus:

Šā punkta a) apakšpunktā minēto informācijas sniegšanu var atlikt, izlaist vai atteikt, ja tādējādi ierobežojums vairs nebūtu iedarbīgs saskaņā ar Regulas (ES) 2018/1725 25. panta 8. punktu.

ENISA pēc attiecīgā ierobežojuma pieņemšanas ik pēc sešiem mēnešiem pārskata tā piemērošanu un to dara arī attiecīgās izmeklēšanas noslēgumā. Pēc tam pārzinis reizi sešos mēnešos pārliecinās, vai ir nepieciešams attiecīgo ierobežojumu uzturēt spēkā.

3.   Ierakstu un attiecīgā gadījumā dokumentus, kuros ietverti attiecīgie faktu un juridiskie elementi, reģistrē. Tos pēc pieprasījuma dara pieejamus Eiropas Datu aizsardzības uzraudzītājam.

1.   Pienācīgi pamatotos gadījumos un saskaņā ar šajā lēmumā paredzētajiem nosacījumiem pārzinis var ierobežot tiesības uz labošanu, dzēšanu un ierobežošanu šādu apstrādes darbību kontekstā, ja tas ir nepieciešams un samērīgi:

2.   Ja ENISA pilnīgi vai daļēji ierobežo Regulas (ES) 2018/1725 18. pantā, 19. panta 1. punktā un 20. panta 1. punktā minēto tiesību uz labošanu, dzēšanu un apstrādes ierobežošanu piemērošanu, tā veic šā lēmuma 6. panta 2. punktā minētos pasākumus saskaņā ar tā 6. panta 3. punktu.

1.   Pienācīgi pamatotos gadījumos un saskaņā ar šajā lēmumā paredzētajiem nosacījumiem pārzinis var ierobežot tiesības tikt informētam par personas datu aizsardzības pārkāpumu šādu apstrādes darbību kontekstā, ja tas ir nepieciešams un samērīgi:

2.   Pienācīgi pamatotos gadījumos un saskaņā ar šajā lēmumā paredzētajiem nosacījumiem pārzinis var ierobežot tiesības uz elektroniskās saziņas konfidencialitāti šādu apstrādes darbību kontekstā, ja tas ir nepieciešams un samērīgi:

3.   Ja ENISA ierobežo Regulas (ES) 2018/1725 35. un 36. pantā minēto datu subjekta informēšanu par personas datu aizsardzības pārkāpumu vai elektroniskās saziņas konfidencialitāti, tā piemēro šā lēmuma 5. panta 3. punkta noteikumus. Piemēro šā lēmuma 5. panta 4. punktu.