1.   Dit besluit stelt voorschriften vast met betrekking tot de voorwaarden waaronder het Agentschap in het kader van zijn procedures als bedoeld in lid 2, de toepassing van de rechten die zijn neergelegd in de artikelen 14 tot en met 21, 35 en 36, en artikel 4 daarvan, kan beperken overeenkomstig artikel 25 van Verordening (EU) nr. 2018/1725.

2.   In het kader van de administratieve werking van het Agentschap is dit besluit van toepassing op de verwerking van persoonsgegevens met het oog op het verrichten van administratieve onderzoeken, tuchtprocedures, voorbereidende activiteiten in verband met mogelijke onregelmatigheden die aan OLAF zijn gemeld, de verwerking van klokkenluiderszaken, (formele en informele) procedures in verband met intimidatie, de verwerking van interne en externe klachten, het uitvoeren van interne audits, onderzoeken uitgevoerd door de functionaris voor gegevensbescherming overeenkomstig artikel 45, lid 2, van Verordening (EU) 2018/1725, (IT-)veiligheidsonderzoeken die intern of met externe betrokkenheid worden behandeld (bijv. CERT-EU), evenals de behandeling van verzoeken om toegang tot het eigen medisch dossier.

3.   De betreffende gegevenscategorieën zijn harde gegevens (“objectieve” gegevens zoals identificatiegegevens, contactgegevens, professionele gegevens, administratieve gegevens, van specifieke bronnen ontvangen gegevens elektronische communicatie- en verkeersgegevens) en/of zachte gegevens (“subjectieve” gegevens met betrekking tot de zaak zoals redeneringen, gegevens over gedrag, beoordelingen, prestaties en gegevens die verband houden met het voorwerp van de procedure of activiteit).

4.   Wanneer het Agentschap zijn verplichtingen met betrekking tot de rechten van de betrokkenen uit hoofde van Verordening (EU) 2018/1725 nakomt, gaat het na of een van de in die verordening vastgestelde vrijstellingen van toepassing is.

5.   Onder voorbehoud van de voorwaarden van dit besluit kunnen de beperkingen van toepassing zijn op de volgende rechten: verstrekken van informatie aan de betrokkenen, recht van toegang, rectificatie, wissing, beperking van de verwerking, mededeling van een inbreuk in verband met persoonsgegevens aan de betrokkene of vertrouwelijkheid van communicatie.

1.   De waarborgen die zijn ingebouwd om inbreuken, lekken of ongeoorloofde bekendmaking van gegevens te voorkomen, zijn de volgende:

2.   De verantwoordelijke voor de verwerking is het Agentschap, vertegenwoordigd door zijn uitvoerend directeur, die de functie van de verwerkingsverantwoordelijke kan delegeren. De betrokkenen worden door middel van de op de website van het Agentschap gepubliceerde en intern verspreide kennisgevingen of het register inzake gegevensbescherming in kennis gesteld van de gedelegeerde verantwoordelijke voor de verwerking.

3.   De bewaringstermijn van de in artikel 1, lid 3, bedoelde persoonsgegevens is niet langer dan noodzakelijk, en passend voor de doeleinden waarvoor de gegevens worden verwerkt. Deze mag in geen geval langer zijn dan de bewaringstermijn die in de in artikel 5, lid 1, bedoelde mededelingen voor gegevensbescherming, privacyverklaringen of het register is vastgesteld.

4.   Wanneer het Agentschap overweegt een beperking toe te passen wordt het risico voor de rechten en vrijheden van de betrokkene afgewogen, in het bijzonder tegen het risico voor de rechten en vrijheden van andere betrokkenen en het risico dat de effecten van de onderzoeken of procedures van het Agentschap teniet worden gedaan, bijvoorbeeld door bewijsmateriaal te vernietigen. De risico's voor de rechten en vrijheden van de betrokkene betreffen in de eerste plaats, maar zijn niet beperkt tot, reputatierisico's en risico's voor het recht op verdediging en het recht om te worden gehoord.

1.   Beperkingen mogen door het Agentschap alleen worden toegepast ter waarborging van:

2.   Als specifieke toepassing van de in punt 1 beschreven doeleinden kan het Agentschap in de volgende gevallen beperkingen opleggen met betrekking tot persoonsgegevens die worden uitgewisseld met diensten van de Commissie of andere instellingen, organen, agentschappen en bureaus van de Unie, bevoegde autoriteiten van lidstaten of derde landen of internationale organisaties:

3.   Elke beperking is noodzakelijk en evenredig, rekening houdend met de risico's voor de rechten en vrijheden van de betrokkenen en de eerbiediging van de wezenlijke inhoud van de grondrechten en fundamentele vrijheden in een democratische samenleving.

4.   Indien de toepassing van een beperking wordt overwogen, moet op basis van de huidige voorschriften een noodzakelijkheids- en evenredigheidstoets worden uitgevoerd. Het wordt per geval gedocumenteerd door middel van een interne beoordelingsnota met het oog op het afleggen van verantwoording.

5.   De beperkingen worden opgeheven zodra de omstandigheden die deze rechtvaardigen niet meer van toepassing zijn. In het bijzonder wanneer wordt aangenomen dat de uitoefening van het beperkte recht het effect van de opgelegde beperking of de rechten of vrijheden van andere betrokkenen niet langer teniet doet.

1.   Het Agentschap stelt de functionaris voor gegevensbescherming van het Agentschap (“de DPO”) onverwijld op de hoogte van het feit dat de verwerkingsverantwoordelijke de toepassing van de rechten van de betrokkenen beperkt, of de beperking verlengt in overeenstemming met dit besluit. De verwerkingsverantwoordelijke geeft de DPO toegang tot het registratiedossier met de beoordeling van de noodzaak en evenredigheid van de beperking en legt in het registratiedossier de datum vast waarop de DPO is geïnformeerd.

2.   De DPO kan de verwerkingsverantwoordelijke schriftelijk verzoeken de toepassing van de beperkingen te evalueren. De verwerkingsverantwoordelijke stelt de DPO schriftelijk in kennis van de uitkomst van de gevraagde herziening.

3.   De verwerkingsverantwoordelijke stelt de DPO in kennis van de opheffing van de beperking.

1.   In naar behoren gemotiveerde gevallen en onder de voorwaarden die in dit besluit zijn vastgelegd, kan de verwerkingsverantwoordelijke het recht op informatie beperken in het kader van de volgende verwerkingen:

Het Agentschap neemt in de gegevensbeschermingsmededelingen, privacyverklaringen of het register in de zin van artikel 31 van Verordening (EU) 2018/1725, die op zijn website zijn gepubliceerd en/of intern zijn verspreid waarin betrokkenen worden geïnformeerd over hun rechten in het kader van een bepaalde procedure, informatie op over de mogelijke beperking van deze rechten. De informatie heeft betrekking op de rechten die kunnen worden beperkt, de redenen hiervoor en de mogelijke duur ervan.

2.   Onverminderd het bepaalde in lid 3 stelt het Agentschap, indien dit evenredig is, alle betrokkenen bij de specifieke verwerking, onverwijld individueel in kennis van hun rechten met betrekking tot bestaande of toekomstige beperkingen, zonder onnodige vertraging en in schriftelijke vorm.

3.   Indien het Agentschap de verstrekking van informatie aan de in lid 2 bedoelde betrokkenen geheel of gedeeltelijk beperkt, registreert het de redenen voor de beperking, de rechtsgrond overeenkomstig artikel 3 van dit besluit, met inbegrip van een beoordeling van de noodzaak en de evenredigheid van de beperking.

Het registratiedossier en, in voorkomend geval, de documenten met de onderliggende feitelijke en juridische elementen worden geregistreerd. Ze worden op verzoek aan de Europese Toezichthouder voor gegevensbescherming ter beschikking gesteld.

4.   De in lid 3 bedoelde beperking blijft van toepassing zolang de redenen ter rechtvaardiging ervan van toepassing blijven.

Wanneer de redenen voor de beperking niet langer van toepassing zijn, verstrekt het Agentschap de betrokkene informatie over de voornaamste redenen waarop de toepassing van een beperking is gebaseerd. Tegelijkertijd stelt het Agentschap de betrokkene in kennis van het recht om te allen tijde een klacht in te dienen bij de Europese Toezichthouder voor gegevensbescherming of om beroep in te stellen bij het Hof van Justitie van de Europese Unie.

Het Agentschap evalueert de toepassing van de beperking om de zes maanden, na de vaststelling ervan en bij de afsluiting van het desbetreffende onderzoek, de desbetreffende procedure of het desbetreffende onderzoek. Daarna houdt de verwerkingsverantwoordelijke elke zes maanden toezicht op de noodzaak om een beperking te handhaven.

1.   In naar behoren gemotiveerde gevallen en onder de voorwaarden die in dit besluit zijn vastgelegd, kan de verwerkingsverantwoordelijke het recht op toegang waar nodig en redelijk in het kader van de volgende verwerkingsactiviteiten beperken:

Wanneer betrokkenen overeenkomstig artikel 17 van Verordening (EU) 2018/1725 verzoeken om toegang tot hun persoonsgegevens die in het kader van een of meer specifieke gevallen of een specifieke behandeling worden verwerkt, beperkt het Agentschap zijn beoordeling van het verzoek tot die persoonsgegevens.

2.   Indien het Agentschap het in artikel 17 van Verordening (EU) 2018/1725 bedoelde recht van toegang geheel of gedeeltelijk beperkt, onderneemt het de volgende stappen:

Beperkingen die worden opgelegd met betrekking tot de toegang tot het eigen medisch dossier hebben uitsluitend betrekking op verzoeken om directe toegang in verband met persoonlijke medische gegevens van psychologische of psychiatrische aard, waarbij het waarschijnlijk is dat de toegang tot dergelijke gegevens een gevaar vormt voor de gezondheid van de betrokkene. Deze beperking moet evenredig zijn tot wat strikt noodzakelijk is om de betrokkene te beschermen. Toegang tot dergelijke informatie wordt verleend aan een arts naar keuze van de betrokkene.

De onder a) bedoelde informatieverstrekking kan worden uitgesteld, achterwege gelaten of geweigerd indien zij het effect van de beperking overeenkomstig artikel 25, lid 8, van Verordening (EU) 2018/1725 zou opheffen.

Het Agentschap evalueert de toepassing van de beperking om de zes maanden vanaf de vaststelling ervan en ook bij de afsluiting van het betrokken onderzoek. Daarna houdt de verwerkingsverantwoordelijke elke zes maanden toezicht op de noodzaak om een beperking te handhaven.

3.   Het registratiedossier en, in voorkomend geval, de documenten met de onderliggende feitelijke en juridische elementen worden geregistreerd. Ze worden op verzoek aan de Europese Toezichthouder voor gegevensbescherming ter beschikking gesteld.

1.   In naar behoren gemotiveerde gevallen en onder de voorwaarden die in dit besluit zijn vastgelegd, kan de verwerkingsverantwoordelijke het recht op rectificatie, wissing en beperking indien nodig en passend beperken in het kader van de volgende verwerkingen:

2.   Wanneer het Agentschap de toepassing van het recht op rectificatie, wissing en beperking van verwerking als bedoeld in de artikelen 18, 19, lid 1, en 20, lid 1, van Verordening (EU) 2018/1725 geheel of gedeeltelijk beperkt, neemt het de in artikel 6, lid 2, van dit besluit genoemde maatregelen om het dossier te registreren overeenkomstig artikel 6, lid 3, van die verordening.

1.   In naar behoren gemotiveerde gevallen en onder de voorwaarden die in dit besluit zijn vastgelegd, kan de verwerkingsverantwoordelijke het recht op mededeling van een inbreuk in verband met persoonsgegevens waar nodig en passend beperken in het kader van de volgende verwerkingen:

2.   In naar behoren gemotiveerde gevallen en onder de voorwaarden die in dit besluit zijn vastgelegd, kan de verwerkingsverantwoordelijke het recht op vertrouwelijkheid van elektronische communicatie waar nodig en passend beperken in het kader van de volgende verwerkingen:

3.   Wanneer het Agentschap de mededeling van een inbreuk in verband met persoonsgegevens of de vertrouwelijkheid van elektronische communicatie als bedoeld in de artikelen 35 en 36 van Verordening (EU) 2018/1725 beperkt, legt het de redenen voor die beperking vast en registreert het die overeenkomstig artikel 5, lid 3, van dit besluit. Artikel 5, lid 4, van dit besluit is van toepassing.