1.   Nos termos do artigo 25.o do Regulamento (UE) 2018/1725 (a seguir designado por «regulamento»), a presente decisão estabelece as regras relativas às condições em que o SEAE, no âmbito das suas atividades referidas no n.o 2, pode limitar a aplicação dos direitos e obrigações previstos nos artigos 14.o a 21.o, nos artigos 35.o e 36.o, e no artigo 4.o do regulamento, na medida em que as suas disposições correspondam aos direitos e às obrigações previstos nos artigos 14.o a 21.o.

2.   A presente decisão é aplicável ao tratamento de dados pessoais pelo SEAE para efeitos das seguintes atividades:

Para efeitos da presente decisão, as atividades acima referidas incluem as ações preparatórias e de acompanhamento com elas diretamente relacionadas.

3.   As categorias de dados pessoais tratados no âmbito das atividades acima referidas podem conter dados factuais e dados de avaliações. Os dados factuais incluem os dados relacionados com a identificação pessoal e outras informações administrativas, os metadados relativos a comunicações eletrónicas e os dados de tráfego. Os dados decorrentes das avaliações incluem a descrição e a avaliação de situações e de circunstâncias, pareceres, observações relacionadas com os titulares dos dados, a avaliação do comportamento ou do desempenho dos titulares dos dados e os motivos subjacentes às decisões individuais relacionadas com o funcionamento administrativo do SEAE.

1.   O SEAE deve estabelecer garantias específicas para evitar violações, fugas ou a divulgação não autorizada de dados sujeitos a uma limitação, tais como:

2.   O responsável pelas atividades de tratamento de dados é o SEAE. As entidades organizacionais que podem limitar os direitos e as obrigações referidos no artigo 1.o, n.o 1, são os serviços responsáveis pelas atividades descritas no artigo 1.o, n.o 2.

3.   As limitações dos direitos e obrigações em matéria de dados pessoais devem ser mantidas apenas durante o tempo necessário para alcançar o objetivo da limitação. O período de conservação dos dados pessoais sujeitos a uma limitação deve ser definido tendo em conta a finalidade do tratamento e incluir o período necessário para o recurso administrativo e judicial.

1.   O SEAE pode aplicar, caso a caso, uma limitação ao abrigo da presente decisão para salvaguardar:

2.   Sob reserva do disposto nos artigos 4.o a 8.o, o SEAE pode limitar os direitos e as obrigações referidos no artigo 1.o, n.o 1, em relação aos dados pessoais obtidos junto de outra instituição, órgão ou organismo da União, de autoridades competentes de um Estado-Membro ou de um país terceiro ou de uma organização internacional, nos seguintes casos:

Antes de aplicar uma limitação ao abrigo do presente número, o SEAE deve consultar a instituição, órgão ou organismo da União, a organização internacional pertinente ou as autoridades competentes do Estado-Membro em causa, a menos que seja evidente que a limitação está prevista num dos atos jurídicos referidos no presente número ou sempre que tal consulta comprometa as atividades do SEAE.

3.   Antes de aplicar uma limitação, o SEAE deve avaliar se a mesma é necessária e proporcionada numa sociedade democrática e se respeita a essência dos direitos e liberdades fundamentais dos titulares dos dados.

Ao proceder à avaliação da necessidade e da proporcionalidade de cada caso, o SEAE deve:

Esta avaliação da necessidade e da proporcionalidade, bem como os motivos da limitação, deve ser documentada. Para o efeito, qualquer limitação deve ser registada especificamente no inventário gerido pelo responsável pelo tratamento dos dados e indicar de que forma o exercício dos direitos e obrigações limitados referidos no artigo 1.o, n.o 1, comprometeria a finalidade das atividades referidas no artigo 1.o, n.o 2, ou prejudicaria os direitos e as liberdades de terceiros. Os documentos que contenham os elementos de facto e de direito subjacentes à limitação devem também ser registados. Os registos devem ser disponibilizados à Autoridade Europeia para a Proteção de Dados mediante pedido.

O acesso aos registos constantes do inventário, incluindo a nota de avaliação, deve ser restrito enquanto a limitação que o justifica permanecer válida em conformidade com os n.os 4 e 5.

4.   As limitações devem ser revogadas assim que cessarem as razões que as justificam.

5.   A necessidade de manter uma limitação deve ser reexaminada com uma periodicidade adequada, pelo menos de seis em seis meses a contar da sua adoção e, em qualquer caso, aquando do encerramento do procedimento correspondente às atividades referidas no artigo 1.o, n.o 2.

1.   Cada entidade organizacional deve, sem demora injustificada, informar por escrito o encarregado da proteção de dados quando limitar o exercício dos direitos e obrigações referidos no artigo 1.o, n.o 1, quando proceder ao reexame da limitação e quando a prolongar ou revogar. O encarregado da proteção de dados deve ter acesso aos registos nos termos estabelecidos no artigo 3.o, n.o 3.

2.   O encarregado da proteção de dados pode solicitar por escrito ao responsável pelo tratamento de dados que reexamine a aplicação da limitação. O responsável pelo tratamento de dados deve informar por escrito o encarregado da proteção de dados do resultado do reexame solicitado.

3.   Os documentos referidos no presente artigo devem ser disponibilizados à AEPD, mediante pedido.

1.   O SEAE deve publicar no seu sítio Web ou na intranet as suas declarações de privacidade e avisos sobre a proteção de dados que informam os titulares dos dados dos seus direitos e das suas eventuais limitações, bem como das atividades que realiza que envolvem o tratamento de dados pessoais.

2.   O responsável pelo tratamento de dados pode limitar o direito à informação no que diz respeito às atividades abrangidas pelo artigo 1.o, n.o 2, alíneas i), ii), iii), iv), v), vi), viii), xi), xii) e xiii). Sem prejuízo do disposto no n.o 4, o SEAE, quando tal for proporcionado, deve informar individualmente, sem demora injustificada e por escrito, os titulares de dados em causa da aplicação da limitação. Se o pedido de um titular de dados for rejeitado devido a uma limitação, o titular dos dados deve ser informado dos principais motivos subjacentes a essa limitação e do seu direito de apresentar uma reclamação junto da Autoridade Europeia para a Proteção de Dados.

3.   As limitações ao abrigo do presente artigo devem ser aplicadas em conformidade com os artigos 3.o e 4.o.

4.   A comunicação de informações sobre uma limitação ao abrigo da presente decisão pode ser adiada, omitida ou recusada, se for suscetível de anular o efeito da limitação. Este adiamento, omissão ou recusa deve ser aplicado em conformidade com o disposto nos artigos 3.o e 4.o.

1.   O direito de acesso previsto no artigo 17.o do regulamento pode ser limitado no que diz respeito às atividades abrangidas pelo artigo 1.o, n.o 2, alíneas i), ii), iii), iv), v), vi), vii), viii), x), xi), xii) e xiii).

2.   Quando os titulares dos dados solicitarem acesso aos seus dados pessoais tratados no contexto de uma atividade específica referida no artigo 1.o, n.o 2, o SEAE deve limitar a sua resposta aos dados pessoais tratados no âmbito dessa atividade.

3.   Quando o SEAE limitar, total ou parcialmente, o direito de acesso dos titulares dos dados aos seus dados pessoais, em conformidade com o artigo 17.o do Regulamento (UE) 2018/1725, deve informar por escrito e sem demora injustificada o titular dos dados em causa, na sua resposta ao pedido de acesso, da limitação aplicada e dos seus principais motivos. A comunicação de informações sobre os motivos da limitação pode ser adiada, omitida ou recusada, na medida em que prejudique a finalidade da limitação.

4.   O SEAE pode limitar, caso a caso, o direito dos titulares dos dados de terem acesso direto aos dados médicos de natureza psicológica ou psiquiátrica, se o acesso a esses dados for suscetível de representar um risco para a saúde do titular dos dados. Esta limitação deve ser proporcionada ao estritamente necessário para proteger o titular dos dados. Nesses casos, o acesso às informações deve ser facultado ao médico da escolha do titular dos dados.

5.   As limitações ao abrigo do presente artigo devem ser aplicadas em conformidade com os artigos 3.o, 4.o e 5.o.

1.   Os direitos de retificação, apagamento e limitação do tratamento ao abrigo do artigo 18.o, do artigo 19.o, n.o 1, e do artigo 20.o, n.o 1, do regulamento podem ser limitados relativamente às atividades referidas no artigo 1.o, n.o 2, alíneas i), ii), iii), iv), v), vi), vii), viii), ix), x), xi), xii) e xiii).

2.   No que diz respeito aos dados médicos, os seus titulares podem exercer o direito de retificação das avaliações ou dos pareceres dos médicos ou dos conselheiros médicos do SEAE mediante apresentação das suas observações ou de um relatório elaborado por um médico da sua escolha.

3.   As limitações ao abrigo do presente artigo devem ser aplicadas em conformidade com os artigos 3.o, 4.o e 5.o.

1.   O direito de comunicar uma violação de dados pessoais ao titular dos dados nos termos do artigo 35.o do regulamento pode ser limitado em relação às atividades referidas no artigo 1.o, n.o 2, alíneas i), ii), iii), iv), v), vi), viii), xi), xii) e xiii).

2.   As limitações ao abrigo do presente artigo devem ser aplicadas em conformidade com os artigos 3.o, 4.o e 5.o.

1.   A obrigação de garantir a confidencialidade das comunicações eletrónicas só pode ser limitada relativamente às atividades referidas no artigo 1.o, n.o 2, alíneas i), ii), iii), iv), xi), xii) e xiii), nos seguintes casos excecionais:

2.   As limitações ao abrigo do presente artigo devem ser aplicadas em conformidade com os artigos 3.o, 4.o e 5.o.