1.   A presente decisão estabelece as regras relativas às condições em que a Agência, no âmbito dos seus procedimentos descritos no n.o 2 do presente artigo, pode limitar a aplicação dos direitos consagrados nos artigos 14.o a 21.o, 35.o e 36.o do Regulamento (UE) 2018/1725, bem como no seu artigo 4.o, conforme previsto no artigo 25.o do mesmo regulamento.

2.   No âmbito do funcionamento administrativo da Agência, a presente decisão aplica-se às operações de tratamento de dados pessoais realizadas pela Agência com as seguintes finalidades: realização de inquéritos administrativos e processos disciplinares, realização de atividades preliminares relacionadas com casos de eventuais irregularidades comunicadas ao OLAF, tratamento de casos de denúncias, tratamento de procedimentos (formais e informais) relativos a casos de assédio, tratamento de reclamações internas e externas, realização de auditorias internas, condução de investigações, através do encarregado da proteção de dados, em conformidade com o artigo 45.o, n.o 2, do Regulamento (UE) 2018/1725, fiscalização dos mercados grossistas de energia e coordenação das atividades das autoridades reguladoras nacionais no tocante a potenciais violações do REMIT e realização de investigações em matéria de segurança informática, efetuadas internamente ou com participação externa (por exemplo, da CERT-UE).

3.   As categorias de dados em questão consistem em dados tangíveis (dados «objetivos», como dados de identificação, dados de contacto, dados profissionais, detalhes administrativos, dados recebidos de fontes específicas, comunicações eletrónicas e dados de tráfego) e/ou dados intangíveis (dados «subjetivos» relacionados com o caso, como fundamentações, dados comportamentais, avaliações, dados de desempenho e conduta e dados relacionados com a matéria a que se refere o procedimento ou a atividade, ou apresentados nesse âmbito).

4.   Sempre que a Agência desempenhe as suas funções relativamente aos direitos do titular dos dados nos termos do Regulamento (UE) 2018/1725, deve ter em conta se são aplicáveis algumas das derrogações previstas nesse regulamento.

5.   Sob reserva das condições estabelecidas na presente decisão, as limitações podem aplicar-se aos seguintes direitos: comunicação de informações a titulares de dados, direito de acesso, retificação, apagamento, limitação do tratamento, comunicação de uma violação de dados pessoais ao titular dos dados ou confidencialidade da comunicação.

1.   As salvaguardas existentes para evitar violações, fugas ou divulgações não autorizadas de dados são as seguintes:

2.   O responsável pelas operações de tratamento é a Agência, representada pelo seu diretor, que pode delegar a função de responsável pelo tratamento. Os titulares dos dados são informados acerca do responsável pelo tratamento delegado por meio dos avisos sobre a proteção de dados ou de registos publicados no sítio Web e/ou na intranet da Agência.

3.   O período de conservação dos dados pessoais mencionado no artigo 1.o, n.o 3, da presente decisão não excede o necessário e adequado para os fins a que se destina o tratamento dos dados. Em qualquer caso, não pode exceder o período de conservação indicado nos avisos sobre a proteção de dados, nas declarações de privacidade ou nos registos a que se refere o artigo 5.o, n.o 1, da presente decisão.

4.   Sempre que a Agência pondere aplicar uma limitação, os riscos para os direitos e as liberdades do titular dos dados são avaliados, em especial, face aos riscos para os direitos e liberdades de outros titulares dos dados e ao risco de afetar negativamente as investigações ou procedimentos da Agência, nomeadamente através da destruição de provas. Os riscos para os direitos e liberdades do titular dos dados dizem respeito sobretudo, mas não exclusivamente, a riscos para a reputação e a riscos para o direito de defesa e para o direito a ser ouvido.

1.   A Agência apenas aplica uma limitação a fim de salvaguardar:

2.   Enquanto aplicação específica dos objetivos descritos no n.o 1, a Agência pode aplicar limitações nas seguintes circunstâncias:

Antes de aplicar limitações nas circunstâncias referidas nas alíneas a) e b) do primeiro parágrafo, a Agência deve consultar os serviços competentes da Comissão, outras instituições, órgãos, agências e serviços da União ou as autoridades competentes dos Estados-Membros, salvo se para a Agência for claro que a aplicação de uma limitação está prevista num dos atos referidos nessas alíneas.

3.   Qualquer limitação deve ser necessária e proporcionada, tendo em conta os riscos para os direitos e liberdades dos titulares dos dados, e deve respeitar a essência dos direitos e liberdades fundamentais numa sociedade democrática.

4.   Se for ponderada a aplicação de uma limitação, deve ser realizado um teste de necessidade e de proporcionalidade baseado nas presentes regras. Esse teste deve ser documentado, caso a caso, mediante uma nota de avaliação interna, para efeitos de responsabilização.

5.   As limitações devem ser levantadas assim que as circunstâncias que as justificam deixarem de se verificar, em especial se se considerar que o exercício do direito limitado já não anula o efeito da limitação imposta nem afeta negativamente os direitos ou liberdades de outros titulares de dados.

1.   A Agência deve, sem demora injustificada, envolver o encarregado da proteção de dados («EPD») em todos os procedimentos pertinentes estabelecidos na presente decisão e assegurar que a participação do EPD seja documentada. Isso inclui a documentação escrita de quaisquer avaliações e opiniões relevantes apresentadas pelo EPD no que se refere à aplicabilidade de uma limitação a um determinado caso.

2.   A Agência deve informar o seu EPD, sem demora injustificada, sempre que o responsável pelo tratamento limite a aplicação de direitos dos titulares dos dados ou prorrogue a limitação, nos termos da presente decisão. O responsável pelo tratamento concede ao EPD acesso ao registo que contém a avaliação da necessidade e proporcionalidade da limitação, e documenta nesse registo a data em que informou o EPD.

3.   O EPD pode solicitar, por escrito, ao responsável pelo tratamento o reexame da aplicação das limitações. O responsável pelo tratamento informa o EPD, por escrito, acerca do resultado do reexame solicitado.

4.   O responsável pelo tratamento informa o EPD quando a limitação for levantada.

1.   Em casos devidamente fundamentados, e cumprindo as condições definidas na presente decisão, o direito à informação pode ser limitado pelo responsável pelo tratamento no contexto das seguintes operações de tratamento:

Nos avisos sobre a proteção de dados, nas declarações de privacidade ou nos registos, na aceção do artigo 31.o do Regulamento (UE) 2018/1725, publicados no seu sítio Web e/ou na intranet para informar os titulares dos dados acerca dos seus direitos no âmbito de um determinado procedimento, a Agência inclui informações relacionadas com a eventual limitação desses direitos. As informações abrangem os direitos passíveis de serem limitados, bem como os motivos e a duração da eventual limitação.

2.   Sem prejuízo do disposto no n.o 3, quando tal for proporcionado, a Agência deve também informar individualmente, por escrito e sem demora injustificada, todos os titulares dos dados que sejam considerados pessoas afetadas pela operação de tratamento em causa acerca dos seus direitos no que diz respeito a limitações atuais e futuras.

3.   Se a Agência limitar, no todo ou em parte, a comunicação de informações aos titulares dos dados a que se refere o n.o 2, deve documentar os motivos dessa limitação e a base jurídica, em conformidade com o artigo 3.o da presente decisão, incluindo uma avaliação da necessidade e proporcionalidade da limitação.

O registo e, se for caso disso, os documentos que contêm os elementos factuais e jurídicos subjacentes devem ser registados. Estes elementos são colocados à disposição da Autoridade Europeia para a Proteção de Dados, a pedido desta.

4.   A limitação a que se refere o n.o 3 continua a aplicar-se enquanto se mantiverem aplicáveis as razões que a justificam.

Quando as razões para a limitação deixarem de ser aplicáveis, a Agência informa o titular dos dados sobre os principais motivos em que se baseia a aplicação de uma limitação. Simultaneamente, a Agência informa o titular dos dados da possibilidade de, a qualquer momento, apresentar uma reclamação à Autoridade Europeia para a Proteção de Dados ou de intentar uma ação judicial no Tribunal de Justiça da União Europeia.

De seis em seis meses a contar da aplicação da limitação e aquando do encerramento do inquérito, procedimento ou investigação pertinente, a Agência revê a aplicação da limitação, a fim de confirmar se os seus fundamentos factuais e jurídicos continuam a aplicar-se. Posteriormente, o responsável pelo tratamento deve verificar, de seis em seis meses, a necessidade de manter uma determinada limitação.

1.   Em casos devidamente fundamentados e nas condições definidas na presente decisão, o direito de acesso pode ser limitado pelo responsável pelo tratamento no contexto das seguintes operações de tratamento, quando necessário e proporcionado:

Sempre que os titulares dos dados solicitarem o acesso aos seus dados pessoais tratados no contexto de um ou mais casos específicos ou de uma determinada operação de tratamento, em conformidade com o artigo 17.o do Regulamento (UE) 2018/1725, a Agência deve restringir a sua apreciação do pedido exclusivamente a esses dados pessoais.

2.   Se a Agência limitar, no todo ou em parte, o direito de acesso previsto no artigo 17.o do Regulamento (UE) 2018/1725, deve tomar as seguintes medidas:

A comunicação das informações a que se refere a alínea a) pode ser adiada, omitida ou recusada caso anule o efeito da limitação, em conformidade com o artigo 25.o, n.o 8, do Regulamento (UE) 2018/1725.

De seis em seis meses a contar da aplicação da limitação e aquando do encerramento da investigação pertinente, a Agência revê a aplicação da limitação, a fim de confirmar se os seus fundamentos factuais e jurídicos continuam a aplicar-se. Posteriormente, o responsável pelo tratamento deve verificar, de seis em seis meses, a necessidade de manter uma determinada limitação.

3.   O registo e, se for caso disso, os documentos que contêm os elementos factuais e jurídicos subjacentes devem ser registados. Estes elementos são colocados à disposição da Autoridade Europeia para a Proteção de Dados, a pedido desta.

1.   Em casos devidamente fundamentados e nas condições definidas na presente decisão, o direito à retificação, apagamento e limitação pode ser limitado pelo responsável pelo tratamento no contexto das seguintes operações de tratamento, quando necessário e adequado:

2.   Se a Agência limitar, no todo ou em parte, a aplicação do direito de retificação, apagamento e limitação do tratamento a que se referem os artigos 18.o, 19.o, n.o 1, e 20.o, n.o 1, do Regulamento (UE) 2018/1725, deve tomar as medidas indicadas no artigo 6.o, n.o 2, da presente decisão. O artigo 6.o, n.o 3, da presente decisão é aplicável a quaisquer limitações impostas nos termos do presente artigo.

1.   Em casos devidamente fundamentados e nas condições definidas na presente decisão, o direito à comunicação de uma violação de dados pessoais pode ser limitado pelo responsável pelo tratamento no contexto das seguintes operações de tratamento, quando necessário e adequado:

2.   Em casos devidamente fundamentados e nas condições definidas na presente decisão, o direito à confidencialidade das comunicações eletrónicas pode ser limitado pelo responsável pelo tratamento no contexto das seguintes operações de tratamento, quando necessário e adequado:

3.   Se a Agência limitar a comunicação de uma violação de dados pessoais ao titular de dados ou a confidencialidade das comunicações eletrónicas a que se referem os artigos 35.o e 36.o do Regulamento (UE) 2018/1725, deve tomar as medidas indicadas no artigo 5.o, n.os 3 e 4, da presente decisão. O artigo 6.o, n.o 3, da presente decisão é aplicável a quaisquer limitações impostas nos termos do presente artigo.