1.   A presente decisão estabelece as normas relativas às condições em que o ECDC, no âmbito dos seus procedimentos descritos no n.o 2, pode limitar a aplicação dos direitos consagrados nos artigos 14.o a 21.o, 35.o e 36.o do Regulamento (UE) 2018/1725, bem como no artigo 4.o, conforme previsto no artigo 25.o do mesmo regulamento.

2.   No âmbito do funcionamento administrativo do ECDC, a presente decisão aplica-se às operações de tratamento de dados pessoais realizadas pelo ECDC com as seguintes finalidades: realizar inquéritos administrativos, processos disciplinares, atividades preliminares relacionadas com casos de eventuais irregularidades comunicadas ao OLAF, tratar casos de denúncia, procedimentos (formais e informais) de assédio, tratar reclamações internas e externas, realizar auditorias internas, investigações realizadas pelo encarregado da proteção de dados, em conformidade com o artigo 45.o, n.o 2, do Regulamento (UE) 2018/1725, e investigações em matéria de segurança (informática), levadas a cabo internamente ou com participação externa (por exemplo, a CERT-UE), e relacionadas com o manuseamento de ficheiros pessoais de funcionários (quando tais ficheiros possam conter dados de cariz psicológico ou psiquiátrico).

3.   As categorias de dados em questão consistem em dados tangíveis (dados «objetivos», como dados de identificação, dados de contacto, dados profissionais, detalhes administrativos, dados recebidos de fontes específicas, comunicações eletrónicas e dados de tráfego) e/ou dados intangíveis (dados «subjetivos» relacionados com o caso, como fundamentações, dados comportamentais, avaliações, dados de desempenho e conduta e dados relacionados com ou apresentados no âmbito da matéria a que se refere o procedimento ou a atividade).

4.   Nos casos em que o ECDC desempenha as suas funções relativamente a direitos do titular dos dados na aceção do Regulamento (UE) 2018/1725, deve ter em conta se são aplicáveis algumas das derrogações previstas nesse regulamento.

5.   Sob reserva das condições estabelecidas na presente decisão, as limitações podem aplicar-se aos seguintes direitos: comunicação de informações a titulares de dados, direito de acesso, retificação, apagamento, limitação do tratamento, comunicação de uma violação de dados pessoais ao titular dos dados ou confidencialidade da comunicação.

1.   As salvaguardas existentes para evitar violações, fugas ou divulgações não autorizadas de dados são as seguintes:

2.   O responsável pelas operações de tratamento é o ECDC, representado pelo seu Diretor, que pode delegar a função de responsável pelo tratamento. Os titulares dos dados são informados acerca do responsável pelo tratamento delegado por meio dos avisos sobre a proteção de dados ou de registos publicados no sítio Web e/ou na intranet do ECDC.

3.   O período de conservação dos dados pessoais mencionado no artigo 1.o, n.o 3, não deve exceder o necessário e adequado para os fins a que se destina o tratamento dos dados. Em qualquer caso, não deve exceder o período de conservação indicado nos avisos sobre a proteção de dados, nas declarações de privacidade ou nos registos a que se refere o artigo 5.o, n.o 1.

4.   Sempre que o ECDC pondere aplicar uma limitação, os riscos para os direitos e as liberdades do titular dos dados devem ser avaliados, em especial, face aos riscos para os direitos e liberdades de outros titulares dos dados e ao risco de anular o efeito de investigações ou procedimentos do ECDC, nomeadamente através da destruição de provas. Os riscos para os direitos e liberdades do titular dos dados dizem respeito sobretudo, mas não exclusivamente, a riscos para a reputação e a riscos para o direito de defesa e o direito a ser ouvido.

1.   O ECDC apenas aplicará uma limitação a fim de salvaguardar:

2.   Enquanto aplicação específica dos fins descritos no n.o 1 supra, o ECDC pode aplicar limitações em relação a dados pessoais trocados com serviços da Comissão ou com outras instituições, órgãos, agências e serviços da União, autoridades competentes dos Estados-Membros ou de países terceiros ou organizações internacionais, nas seguintes circunstâncias:

Antes de aplicar limitações nas circunstâncias referidas nas alíneas a) e b) do primeiro parágrafo, o ECDC deve consultar os serviços competentes da Comissão, de outras instituições, órgãos, agências e serviços da União ou de autoridades competentes dos Estados-Membros, salvo se para o ECDC for claro que a aplicação de uma limitação está prevista num dos atos referidos nessas alíneas.

3.   Qualquer limitação é necessária e proporcionada, tendo em conta os riscos para os direitos e liberdades dos titulares dos dados, e respeita a essência dos direitos e liberdades fundamentais numa sociedade democrática.

4.   Se for ponderada a aplicação de uma limitação, deve ser realizado um teste de necessidade e de proporcionalidade baseado nas presentes normas. O mesmo é documentado, caso a caso, mediante uma nota de avaliação interna, para efeitos de responsabilização.

5.   As limitações devem ser anuladas assim que cessarem as circunstâncias que as justificam. Em especial, é esse o caso quando se considera que o exercício do direito limitado já não anula o efeito da limitação imposta nem afeta negativamente os direitos ou liberdades de outros titulares dos dados.

1.   O ECDC deve, sem demora injustificada, informar o seu encarregado da proteção de dados (o «EPD») sempre que o responsável pelo tratamento limite a aplicação de direitos dos titulares dos dados, ou prorrogue a limitação, em conformidade com a presente decisão. O responsável pelo tratamento concede ao EPD acesso ao registo que contém a avaliação da necessidade e proporcionalidade da limitação, e documenta, nesse registo, a data em que informou o EPD.

2.   O EPD pode solicitar por escrito, ao responsável pelo tratamento, o reexame da aplicação das limitações. O responsável pelo tratamento informa o EPD, por escrito, acerca do resultado do reexame solicitado.

3.   O responsável pelo tratamento deve informar o EPD aquando da anulação da limitação.

1.   Em casos devidamente fundamentados, e cumprindo as condições definidas na presente decisão, o direito à informação pode ser limitado pelo responsável pelo tratamento no contexto das seguintes operações de tratamento:

Nos avisos sobre a proteção de dados, nas declarações de privacidade ou nos registos, na aceção do artigo 31.o do Regulamento (UE) 2018/1725, publicados no seu sítio Web e/ou na intranet para informar os titulares dos dados acerca dos seus direitos no âmbito de um determinado procedimento, o ECDC inclui informações relacionadas com a eventual limitação desses direitos. As informações abrangem os direitos passíveis de serem limitados, bem como os motivos e a duração da eventual limitação.

2.   Sem prejuízo do disposto no n.o 3, quando tal for proporcionado, o ECDC deve também informar individualmente, por escrito e sem demora injustificada, todos os titulares dos dados que sejam considerados pessoas afetadas pela operação de tratamento em causa acerca dos seus direitos no que diz respeito a limitações presentes e futuras.

3.   Se o ECDC limitar, no todo ou em parte, a comunicação de informações aos titulares dos dados a que se refere o n.o 2, deve documentar os motivos dessa limitação e a base jurídica, em conformidade com o artigo 3.o da presente decisão, incluindo uma avaliação da necessidade e proporcionalidade da limitação.

O registo e, se for caso disso, os documentos que contêm os elementos de facto e de direito subjacentes são inscritos. Estes elementos são disponibilizados à Autoridade Europeia para a Proteção de Dados mediante pedido.

4.   A limitação a que se refere o n.o 3 deve continuar a aplicar-se enquanto se mantiverem aplicáveis as razões que a justificam.

Quando os motivos para a limitação cessarem, o ECDC fornece informações ao titular dos dados sobre os principais motivos em que se baseia a aplicação de uma limitação. O ECDC informa, simultaneamente, o titular dos dados da possibilidade de, a qualquer momento, apresentar uma reclamação à Autoridade Europeia para a Proteção de Dados ou intentar uma ação judicial no Tribunal de Justiça da União Europeia.

O ECDC reexamina a aplicação da limitação semestralmente após a sua adoção e aquando do encerramento do inquérito, procedimento ou investigação pertinentes. Daí em diante, o responsável pelo tratamento deve verificar, de seis em seis meses, a necessidade de manter uma determinada limitação.

1.   Em casos devidamente fundamentados, e nas condições definidas na presente decisão, o direito de acesso pode ser limitado pelo responsável pelo tratamento no contexto das seguintes operações de tratamento, quando necessário e proporcionado:

Sempre que os titulares dos dados solicitarem o acesso aos seus dados pessoais tratados no contexto de um ou mais casos específicos ou de uma determinada operação de tratamento, em conformidade com o artigo 17.o do Regulamento (UE) 2018/1725, o ECDC restringe a sua apreciação do pedido unicamente a esses dados pessoais.

2.   Se o ECDC limitar, no todo ou em parte, o direito de acesso previsto no artigo 17.o do Regulamento (UE) 2018/1725, toma as seguintes medidas:

A comunicação das informações a que se refere a alínea a) pode ser adiada, omitida ou recusada caso se presuma que anule o efeito da limitação, em conformidade com o artigo 25.o, n.o 8, do Regulamento (UE) 2018/1725.

O ECDC reexamina a aplicação da limitação semestralmente após a sua adoção e aquando do encerramento da investigação pertinente. Daí em diante, o responsável pelo tratamento deve verificar, de seis em seis meses, a necessidade de manter uma determinada limitação.

3.   O registo e, se for caso disso, os documentos que contêm os elementos de facto e de direito subjacentes são inscritos. Estes elementos são disponibilizados à Autoridade Europeia para a Proteção de Dados mediante pedido.

1.   Em casos devidamente fundamentados, e cumprindo as condições definidas na presente decisão, o direito à retificação, apagamento e limitação pode ser limitado pelo responsável pelo tratamento no contexto das seguintes operações de tratamento, quando necessário e adequado:

2.   Se o ECDC limitar, no todo ou em parte, a aplicação do direito de retificação, apagamento e limitação do tratamento a que se referem os artigos 18.o, 19.o, n.o 1, e 20.o, n.o 1, do Regulamento (UE) 2018/1725, toma as medidas indicadas no artigo 6.o, n.o 2, da presente decisão e procede à inscrição do registo em conformidade com o artigo 6.o, n.o 3.

1.   Em casos devidamente fundamentados, e cumprindo as condições definidas na presente decisão, o direito à comunicação de uma violação de dados pessoais pode ser limitado pelo responsável pelo tratamento no contexto das seguintes operações de tratamento, quando necessário e adequado:

2.   Em casos devidamente fundamentados, e cumprindo as condições definidas na presente decisão, o direito à confidencialidade das comunicações eletrónicas pode ser limitado pelo responsável pelo tratamento no contexto das seguintes operações de tratamento, quando necessário e adequado:

3.   Se o ECDC limitar a comunicação de uma violação de dados pessoais ao titular de dados ou a confidencialidade das comunicações eletrónicas a que se referem os artigos 35.o e 36.o do Regulamento (UE) 2018/1725, documenta e regista os motivos para a limitação, em conformidade com o artigo 5.o, n.o 3, da presente decisão. Aplica-se o artigo 5.o, n.o 4, da presente decisão.