1.   A presente decisão estabelece as normas relativas às condições em que a Agência, no âmbito dos seus procedimentos descritos no n.o 2, pode limitar a aplicação dos direitos consagrados nos artigos 14.o a 21.o, 35.o e 36.o do Regulamento (UE) 2018/1725, bem como no artigo 4.o, conforme previsto no artigo 25.o do mesmo regulamento.

2.   No âmbito do funcionamento da Agência, a presente decisão aplica-se às operações de tratamento de dados pessoais realizadas pela Agência com as seguintes finalidades: realizar inquéritos administrativos, processos disciplinares, atividades preliminares relacionadas com casos de eventuais irregularidades comunicadas ao OLAF, tratar casos de denúncia, procedimentos (formais e informais) de assédio, tratar reclamações internas e externas, realizar auditorias internas, investigações realizadas pelo encarregado da proteção de dados, em conformidade com o artigo 45.o, n.o 2, do Regulamento (UE) 2018/1725, e investigações em matéria de segurança (informática), levadas a cabo internamente ou com participação externa (por exemplo, a CERT-UE).

3.   As categorias de dados em questão consistem em dados tangíveis (dados «objetivos», como dados de identificação, dados de contacto, dados profissionais, detalhes administrativos, dados recebidos de fontes específicas, comunicações eletrónicas e dados de tráfego) e/ou dados intangíveis (dados «subjetivos» relacionados com o caso, como fundamentações, dados comportamentais, avaliações, dados de desempenho e conduta e dados relacionados com a matéria a que se refere o procedimento ou a atividade, ou apresentados nesse âmbito).

4.   Sempre que a Agência desempenhe as suas funções relativamente aos direitos do titular dos dados nos termos do Regulamento (UE) 2018/1725, deve ter em conta se são aplicáveis algumas das derrogações previstas nesse regulamento.

5.   Sob reserva das condições estabelecidas na presente decisão, as limitações podem aplicar-se aos seguintes direitos: comunicação de informações a titulares de dados, direito de acesso, retificação, apagamento, limitação do tratamento, comunicação de uma violação de dados pessoais ao titular dos dados ou confidencialidade da comunicação. Em conformidade com o artigo 5.o, n.o 4, do Estatuto dos Funcionários, são aprovadas as tabelas que estabelecem a equivalência entre os tipos de lugares e os títulos das funções dos funcionários e agentes temporários da EMSA, constantes do anexo da presente decisão.

1.   O responsável pelas operações de tratamento é a Agência, representada pelo seu Diretor-executivo, que pode delegar a função de responsável pelo tratamento. Os titulares dos dados são informados acerca do responsável pelo tratamento delegado por meio dos avisos sobre a proteção de dados ou de registos publicados no sítio Web e/ou na intranet da Agência.

2.   O período de conservação dos dados pessoais mencionado no artigo 1.o, n.o 3, não excede o necessário e adequado para os fins a que se destina o tratamento dos dados. Em qualquer caso, não pode exceder o período de conservação indicado nos avisos sobre a proteção de dados, nas declarações de privacidade ou nos registos a que se refere o artigo 5.o, n.o 1.

3.   Sempre que a Agência pondere aplicar uma limitação, os riscos para os direitos e as liberdades do titular dos dados são avaliados, em especial face aos riscos para os direitos e liberdades de outros titulares dos dados e ao risco de anular o efeito de investigações ou procedimentos da Agência, nomeadamente através da destruição de provas. Os riscos para os direitos e liberdades do titular dos dados dizem respeito sobretudo, mas não exclusivamente, a riscos reputacionais e a riscos para o direito de defesa e o direito a ser ouvido.

1.   A Agência apenas aplica uma limitação a fim de salvaguardar:

2.   Enquanto aplicação específica dos objetivos descritos no n.o 1, a Agência pode aplicar limitações nas seguintes circunstâncias:

Antes de aplicar limitações nas circunstâncias referidas nas alíneas a) e b) do primeiro parágrafo, a Agência deve consultar os serviços competentes da Comissão, outras instituições, órgãos, agências e serviços da União ou as autoridades competentes dos Estados-Membros, salvo se para a Agência for claro que a aplicação de uma limitação está prevista num dos atos referidos nessas alíneas;

3.   Qualquer limitação deve ser necessária e proporcionada aos riscos para os direitos e liberdades dos titulares dos dados, devendo ainda respeitar a essência dos direitos e liberdades fundamentais numa sociedade democrática.

4.   Se for ponderada a aplicação de uma limitação, deve ser realizado, de 6 (seis) em 6 meses, um teste de necessidade e de proporcionalidade baseado nas presentes normas. O mesmo será documentado, caso a caso, através de uma nota de avaliação interna para efeitos de responsabilização.

5.   As limitações devem ser anuladas assim que cessarem as circunstâncias que as justificam. Em especial, é esse o caso quando se considera que o exercício do direito limitado já não anula o efeito da limitação imposta nem afeta negativamente os direitos ou liberdades de outros titulares de dados.

1.   A Agência deve, sem demora injustificada, informar o seu encarregado da proteção de dados (o «EPD») sempre que o responsável pelo tratamento limite a aplicação de direitos dos titulares dos dados, ou prorrogue a limitação, em conformidade com a presente decisão. O responsável pelo tratamento concede ao EPD acesso ao registo que contém a avaliação da necessidade e proporcionalidade da limitação, e documenta, nesse registo, a data em que informou o EPD.

2.   O EPD pode pedir por escrito, ao responsável pelo tratamento, o reexame da aplicação das limitações. O responsável pelo tratamento informa o EPD, por escrito, acerca do resultado do reexame solicitado.

3.   O responsável pelo tratamento informa o EPD aquando do levantamento da limitação.

1.   Em casos devidamente fundamentados, e cumprindo as condições definidas na presente decisão, o direito à informação pode ser limitado pelo responsável pelo tratamento no contexto das seguintes operações de tratamento:

Nos avisos sobre a proteção de dados, nas declarações de privacidade ou nos registos, na aceção do artigo 31.o do Regulamento (UE) 2018/1725, publicados no seu sítio Web e/ou na intranet para informar os titulares dos dados acerca dos seus direitos no âmbito de um determinado procedimento, a Agência deve incluir informações relacionadas com a eventual limitação desses direitos. As informações abrangerão os direitos passíveis de ser limitados, bem como os motivos e a potencial duração.

2.   Sem prejuízo do disposto no n.o 3, quando tal for proporcionado, a Agência deve também informar individualmente, por escrito e sem demora injustificada, todos os titulares dos dados que sejam considerados pessoas afetadas pela operação de tratamento em causa acerca dos seus direitos no que diz respeito a limitações atuais e futuras.

3.   Se a Agência limitar, no todo ou em parte, a comunicação de informações aos titulares dos dados a que se refere o n.o 2, deve documentar os motivos dessa limitação e a base jurídica, em conformidade com o artigo 3.o da presente decisão, incluindo uma avaliação da necessidade e proporcionalidade da limitação.

O registo e, se for caso disso, os documentos que contêm os elementos factuais e jurídicos subjacentes devem ser registados. Estes elementos são colocados à disposição da Autoridade Europeia para a Proteção de Dados, a pedido desta.

4.   A limitação a que se refere o n.o 3 continua a aplicar-se enquanto se mantiverem aplicáveis as razões que a justificam.

Quando as razões para a limitação deixarem de ser aplicáveis, a Agência informa o titular dos dados sobre os principais motivos em que se baseia a aplicação de uma limitação. Simultaneamente, a Agência informa o titular dos dados da possibilidade de, a qualquer momento, apresentar uma reclamação à Autoridade Europeia para a Proteção de Dados ou intentar uma ação judicial no Tribunal de Justiça da União Europeia.

A Agência deve reexaminar a aplicação da limitação semestralmente após a sua adoção e aquando do encerramento do inquérito, procedimento ou investigação pertinentes. Daí em diante, o responsável pelo tratamento deve verificar, de seis em seis meses, a necessidade de manter uma determinada limitação.

1.   Em casos devidamente fundamentados e nas condições definidas na presente decisão, o direito de acesso pode ser limitado pelo responsável pelo tratamento no contexto das seguintes operações de tratamento, quando necessário e proporcionado:

Sempre que os titulares dos dados solicitarem o acesso aos seus dados pessoais tratados no contexto de um ou mais casos específicos ou de uma determinada operação de tratamento, em conformidade com o artigo 17.o do Regulamento (UE) 2018/1725, a Agência deve restringir a sua apreciação do pedido exclusivamente a esses dados pessoais.

2.   Se a Agência limitar, no todo ou em parte, o direito de acesso previsto no artigo 17.o do Regulamento (UE) 2018/1725, deve tomar as seguintes medidas:

A comunicação das informações a que se refere a alínea a) pode ser adiada, omitida ou recusada caso se presuma que anule o efeito da limitação, em conformidade com o artigo 25.o, n.o 8, do Regulamento (UE) 2018/1725.

A Agência deve reexaminar a aplicação da limitação semestralmente após a sua adoção e aquando do encerramento da investigação pertinente. Daí em diante, o responsável pelo tratamento deve verificar, de seis em seis meses, a necessidade de manter uma determinada limitação.

3.   O registo e, se for caso disso, os documentos que contêm os elementos factuais e jurídicos subjacentes devem ser registados. Estes elementos são colocados à disposição da Autoridade Europeia para a Proteção de Dados, a pedido desta.

1.   Em casos devidamente fundamentados e nas condições definidas na presente decisão, o direito à retificação, apagamento e limitação pode ser limitado pelo responsável pelo tratamento no contexto das seguintes operações de tratamento, quando necessário e adequado:

2.   Se a Agência limitar, no todo ou em parte, a aplicação do direito de retificação, apagamento e limitação do tratamento a que se referem os artigos 18.o, 19.o, n.o 1, e 20.o, n.o 1, do Regulamento (UE) 2018/1725, deve tomar as medidas indicadas no artigo 6.o, n.o 2, da presente decisão e proceder à inscrição do registo em conformidade com o artigo 6.o, n.o 3. Sem prejuízo das medidas acima referidas, qualquer limitação será sujeita a avaliação, em conformidade com as condições previstas no artigo 3.o, n.o 4, da presente Decisão.

1.   Em casos devidamente fundamentados e nas condições definidas na presente decisão, o direito à comunicação de uma violação de dados pessoais pode ser limitado pelo responsável pelo tratamento no contexto das seguintes operações de tratamento, quando necessário e adequado:

2.   Em casos devidamente fundamentados, e cumprindo as condições definidas na presente decisão, o direito à confidencialidade das comunicações eletrónicas pode ser limitado pelo responsável pelo tratamento no contexto das seguintes operações de tratamento, quando necessário e adequado:

3.   Se a Agência limitar a comunicação de uma violação de dados pessoais ao titular de dados ou a confidencialidade das comunicações eletrónicas a que se referem os artigos 35.o e 36.° do Regulamento (UE) 2018/1725, deve documentar e registar os motivos para a limitação, em conformidade com o artigo 5.o, n.o 3, da presente decisão. Aplica-se o artigo 5.o, n.o 4, da presente decisão. Sem prejuízo das medidas acima referidas, qualquer limitação será sujeita a avaliação, em conformidade com as condições previstas no artigo 3.o, n.o 4, da presente decisão.