1.   A presente decisão estabelece as normas relativas às condições em que a Agência, no âmbito dos seus procedimentos descritos no n.o 2, pode limitar a aplicação dos direitos consagrados nos artigos 14.o a 21.°, 35.° e 36.° do Regulamento (UE) 2018/1725, bem como no artigo 4.o, conforme previsto no artigo 25.o do mesmo regulamento.

2.   No âmbito do funcionamento administrativo da Agência, a presente decisão aplica-se às operações de tratamento de dados pessoais realizadas pela Agência com as seguintes finalidades: realizar inquéritos administrativos, processos disciplinares, atividades preliminares relacionadas com casos de eventuais irregularidades comunicadas ao OLAF, tratar casos de denúncia, procedimentos (formais e informais) de assédio, tratar reclamações internas e externas, realizar auditorias internas, investigações realizadas pelo encarregado da proteção de dados, em conformidade com o artigo 45.o, n.o 2, do Regulamento (UE) 2018/1725, investigações em matéria de segurança (informática), levadas a cabo internamente ou com participação externa (por exemplo, a CERT-UE), a execução de ações cíveis, bem como o tratamento de pedidos de acesso ao próprio processo clínico.

3.   As categorias de dados em questão consistem em dados tangíveis (dados «objetivos», como dados de identificação, dados de contacto, dados profissionais, detalhes administrativos, dados recebidos de fontes específicas, comunicações eletrónicas e dados de tráfego) e/ou dados intangíveis (dados «subjetivos» relacionados com o caso, como fundamentações, dados comportamentais, avaliações, dados de desempenho e conduta e dados relacionados com ou apresentados no âmbito da matéria a que se refere o procedimento ou a atividade).

4.   Nos casos em que desempenha as suas funções relativamente a direitos do titular dos dados ao abrigo do Regulamento (UE) 2018/1725, a Agência deve ter em conta se são aplicáveis algumas das derrogações previstas nesse regulamento.

5.   Sob reserva das condições estabelecidas na presente decisão, as limitações podem aplicar-se aos seguintes direitos: comunicação de informações a titulares de dados, direito de acesso, retificação, apagamento, limitação do tratamento, comunicação de uma violação de dados pessoais ao titular dos dados ou confidencialidade da comunicação.

1.   As salvaguardas existentes para evitar violações, fugas ou divulgações não autorizadas de dados são as seguintes:

2.   O responsável pelas operações de tratamento é a Agência, representada pelo seu diretor executivo, que pode delegar a função de responsável pelo tratamento. Os titulares dos dados devem ser informados acerca do responsável pelo tratamento delegado por meio de declarações sobre privacidade e proteção de dados ou de registos publicados no sítio Web e/ou na intranet da Agência.

3.   O período de conservação dos dados pessoais mencionado no artigo 1.o, n.o 3, não deve exceder o necessário e adequado para os fins a que se destina o tratamento dos dados. Em qualquer caso, não deve exceder o período de conservação indicado nas declarações sobre privacidade e proteção de dados ou nos registos a que se refere o artigo 5.o, n.o 1.

4.   Sempre que a Agência pondere aplicar uma limitação, deve ser ponderado o risco para os direitos e as liberdades do titular dos dados, em especial face ao risco para os direitos e liberdades de outros titulares dos dados e ao risco de anular o efeito de investigações ou procedimentos da Agência, nomeadamente através da destruição de provas. Os riscos para os direitos e liberdades do titular dos dados dizem respeito sobretudo, mas não exclusivamente, a riscos para a reputação e a riscos para o direito de defesa e para o direito a ser ouvido.

1.   A Agência apenas aplica uma limitação a fim de salvaguardar:

2.   Enquanto aplicação específica dos fins descritos no n.o 1 acima, a Agência pode aplicar limitações em relação a dados pessoais trocados com serviços da Comissão ou com outras instituições, órgãos, agências e serviços da União, autoridades competentes dos Estados-Membros ou de países terceiros ou organizações internacionais, respetivamente nas seguintes circunstâncias:

Antes de aplicar limitações nas circunstâncias referidas nas alíneas a) e b) do primeiro parágrafo, a Agência deve consultar os serviços competentes da Comissão, outras instituições, órgãos, agências e serviços da União ou as autoridades competentes dos Estados-Membros, salvo se para a Agência for claro que a aplicação de uma limitação está prevista num dos atos referidos nessas alíneas.

3.   Qualquer limitação deve ser necessária e proporcionada, tendo em conta os riscos para os direitos e liberdades dos titulares dos dados, e deve respeitar a essência dos direitos e liberdades fundamentais numa sociedade democrática.

4.   Se for ponderada a aplicação de uma limitação, deve ser realizado um teste de necessidade e de proporcionalidade baseado nas presentes regras. Esse teste deve ser documentado, caso a caso, mediante uma nota de avaliação interna, para efeitos de responsabilização.

5.   As limitações devem ser levantadas assim que cessarem as circunstâncias que as justificam. Em especial, quando se considerar que o exercício do direito limitado já não anula o efeito da limitação imposta ou afeta negativamente os direitos ou liberdades de outros titulares de dados.

1.   A Agência deve informar, sem demora injustificada, o seu encarregado da proteção de dados («EPD») sempre que o responsável pelo tratamento limite a aplicação de direitos dos titulares dos dados, ou prorrogue a limitação, em conformidade com a presente decisão. O responsável pelo tratamento deve conceder ao EPD acesso ao registo que contém a avaliação da necessidade e proporcionalidade da limitação, e documentar, nesse registo, a data em que informou o EPD.

2.   O EPD pode pedir por escrito, ao responsável pelo tratamento, o reexame da aplicação das limitações. O responsável pelo tratamento deve informar o EPD, por escrito, acerca do resultado do reexame solicitado.

3.   O responsável pelo tratamento deve informar o EPD aquando do levantamento da limitação.

1.   Em casos devidamente fundamentados e nas condições definidas na presente decisão, o direito à informação pode ser limitado pelo responsável pelo tratamento no contexto das seguintes operações de tratamento:

Nas declarações sobre privacidade e proteção de dados ou nos registos na aceção do artigo 31.o do Regulamento (UE) 2018/1725, publicados no seu sítio Web e/ou na intranet para informar os titulares dos dados acerca dos seus direitos no âmbito de um determinado procedimento, a Agência deve incluir informações relacionadas com a eventual limitação desses direitos. As informações devem abranger os direitos passíveis de ser limitados, bem como os motivos e a potencial duração.

2.   Sem prejuízo do disposto no n.o 3, quando tal for proporcionado, a Agência deve também informar individualmente, por escrito e sem demora injustificada, todos os titulares dos dados que sejam considerados pessoas afetadas pela operação de tratamento em causa acerca dos seus direitos no que diz respeito a limitações atuais e futuras.

3.   Se limitar, no todo ou em parte, a comunicação de informações aos titulares dos dados a que se refere o n.o 2, a Agência deve documentar os motivos dessa limitação e a base jurídica, em conformidade com o artigo 3.o da presente decisão, incluindo uma avaliação da necessidade e proporcionalidade da limitação.

O registo e, se for caso disso, os documentos que contêm os elementos factuais e jurídicos subjacentes devem ser registados. Estes elementos são disponibilizados à Autoridade Europeia para a Proteção de Dados mediante pedido.

4.   A limitação a que se refere o n.o 3 continua a aplicar-se enquanto se mantiverem aplicáveis as razões que a justificam.

Quando as razões para a limitação deixarem de ser aplicáveis, a Agência deve informar o titular dos dados sobre os principais motivos em que se baseia a aplicação de uma limitação. Simultaneamente, a Agência deve informar o titular dos dados da possibilidade de, a qualquer momento, apresentar uma reclamação à Autoridade Europeia para a Proteção de Dados ou de intentar uma ação judicial no Tribunal de Justiça da União Europeia.

A Agência deve reexaminar a aplicação da limitação semestralmente após a sua adoção e aquando do encerramento do inquérito, procedimento ou investigação pertinentes. Daí em diante, o responsável pelo tratamento deve verificar, de seis em seis meses, a necessidade de manter uma determinada limitação.

1.   Em casos devidamente fundamentados e nas condições definidas na presente decisão, o direito de acesso pode ser limitado pelo responsável pelo tratamento no contexto das seguintes operações de tratamento, sempre que necessário e proporcionado:

Sempre que os titulares dos dados solicitarem o acesso aos seus dados pessoais tratados no contexto de um ou mais casos específicos ou de uma determinada operação de tratamento, em conformidade com o artigo 17.o do Regulamento (UE) 2018/1725, a Agência deve restringir a sua apreciação do pedido exclusivamente a esses dados pessoais.

2.   Se a Agência limitar, no todo ou em parte, o direito de acesso previsto no artigo 17.o do Regulamento (UE) 2018/1725, deve tomar as seguintes medidas:

As limitações impostas em relação ao acesso ao próprio processo clínico só podem incidir sobre pedidos de acesso direto a dados pessoais de natureza psicológica ou psiquiátrica, sempre que o acesso a esses dados seja suscetível de representar um risco para a saúde do titular dos dados. Esta limitação deve ser proporcionada ao estritamente necessário para proteger o titular dos dados. O acesso a essas informações deve ser facultado por intermédio de um médico escolhido pelo titular dos dados. Este médico deve ter acesso a todas as informações, bem como o poder discricionário para decidir como e em que medida deve facultar acesso ao titular dos dados.

A comunicação das informações a que se refere a alínea a) pode ser adiada, omitida ou recusada caso anule o efeito da limitação, em conformidade com o artigo 25.o, n.o 8, do Regulamento (UE) 2018/1725.

A Agência deve reexaminar a aplicação da limitação semestralmente após a sua adoção e aquando do encerramento da investigação pertinente. Daí em diante, o responsável pelo tratamento deve verificar, de seis em seis meses, a necessidade de manter uma determinada limitação.

3.   O registo e, se for caso disso, os documentos que contêm os elementos factuais e jurídicos subjacentes devem ser registados. Estes elementos são disponibilizados à Autoridade Europeia para a Proteção de Dados mediante pedido.

1.   Em casos devidamente fundamentados e nas condições definidas na presente decisão, o direito à retificação, apagamento e limitação pode ser limitado pelo responsável pelo tratamento no contexto das seguintes operações de tratamento, sempre que necessário e adequado:

2.   Se limitar, no todo ou em parte, a aplicação do direito de retificação, apagamento e limitação do tratamento a que se referem os artigos 18.o, 19.°, n.o 1, e 20.°, n.o 1, do Regulamento (UE) 2018/1725, a Agência deve tomar as medidas indicadas no artigo 6.o, n.o 2, da presente decisão e proceder à inscrição do registo em conformidade com o artigo 6.o, n.o 3.

1.   Em casos devidamente fundamentados e nas condições definidas na presente decisão, o direito à comunicação de uma violação de dados pessoais pode ser limitado pelo responsável pelo tratamento no contexto das seguintes operações de tratamento, sempre que necessário e adequado:

2.   Em casos devidamente fundamentados e nas condições definidas na presente decisão, o direito à confidencialidade das comunicações eletrónicas pode ser limitado pelo responsável pelo tratamento no contexto das seguintes operações de tratamento, sempre que necessário e adequado:

3.   Se limitar a comunicação de uma violação de dados pessoais ao titular de dados ou a confidencialidade das comunicações eletrónicas a que se referem os artigos 35.o e 36.° do Regulamento (UE) 2018/1725, a Agência deve documentar e registar os motivos para a limitação, em conformidade com o artigo 5.o, n.o 3, da presente decisão. Aplica-se o artigo 5.o, n.o 4, da presente decisão.