(1)   Prezenta decizie stabilește normele referitoare la condițiile în care agenția poate restricționa, în cadrul procedurilor sale menționate la alineatul (2), aplicarea drepturilor instituite prin articolele 14-21, 35 și 36, precum și prin articolul 4, în conformitate cu articolul 25 din Regulamentul (UE) 2018/1725.

(2)   În cadrul funcționării administrative a agenției, prezenta decizie se aplică operațiunilor de prelucrare a datelor cu caracter personal de către oficiu în scopul derulării anchetelor administrative, procedurilor disciplinare, activităților preliminare privind cazuri de posibile nereguli raportate OLAF, prelucrării cazurilor de denunțare, procedurilor (oficiale și neoficiale) pentru cazuri de hărțuire, prelucrării plângerilor interne și externe, derulării auditurilor interne, investigațiilor efectuate de responsabilul cu protecția datelor, în conformitate cu articolul 45 alineatul (2) din Regulamentul (UE) 2018/1725, și investigațiilor de securitate (IT) desfășurate intern sau cu implicare externă (de exemplu, CERT-UE), precum și pentru gestionarea cererilor de acces la dosarul medical personal.

(3)   Categoriile de date vizate sunt date concrete (date „obiective” precum date de identificare, date de contact, date profesionale, detalii administrative, date primite din surse specifice, comunicații electronice și date privind traficul) și/sau date mai puțin concrete (date „subiective” referitoare la caz precum argumente, date comportamentale, evaluări, date privind performanța și conduita și date legate de obiectul procedurii sau al activității sau corelate cu acesta).

(4)   În îndeplinirea atribuțiilor sale cu privire la drepturile persoanelor vizate în conformitate cu Regulamentul (UE) 2018/1725, agenția analizează dacă se aplică oricare dintre derogările prevăzute în acest regulament.

(5)   Sub rezerva condițiilor stabilite în prezenta decizie, restricțiile se pot aplica următoarelor drepturi: dreptul de informare a persoanelor vizate, dreptul de acces, de rectificare, de ștergere a datelor, dreptul de restricționare a prelucrării datelor, dreptul de informare a persoanei vizate cu privire la încălcarea securității datelor cu caracter personal sau dreptul la confidențialitatea comunicațiilor.

(1)   Garanțiile instituite în vederea evitării încălcării securității datelor, a scurgerilor sau divulgării neautorizate de date sunt următoarele:

(2)   Operatorul pentru prelucrarea datelor este agenția, reprezentată de directorul său executiv, care poate delega funcția operatorului de date. Persoanele vizate sunt informate cu privire la operatorul de date delegat prin intermediul anunțurilor privind protecția datelor sau al evidențelor publicate pe website-ul agenției și circulate în interiorul acesteia.

(3)   Perioada de păstrare a datelor cu caracter personal, menționate la articolul 1 alineatul (3), nu este mai mare decât este necesar și adecvat îndeplinirii scopurilor în care sunt prelucrate datele. În niciun caz nu depășește perioada de păstrare specificată în anunțurile privind protecția datelor, declarațiile de confidențialitate sau evidențele menționate la articolul 5 alineatul (1).

(4)   În cazul în care se are în vedere aplicarea unei restricții, agenția apreciază riscul față de drepturile și libertățile persoanei vizate, în special în raport cu riscul față de drepturile și libertățile altor persoane vizate și riscul de anula efectul investigațiilor sau a procedurilor agenției, de exemplu prin distrugerea dovezilor. Riscurile față de drepturile și libertățile persoanei vizate privesc, în primul rând, dar fără a se limita la acestea, riscurile de imagine și riscurile față de dreptul la apărare și dreptul a fi audiat

(1)   Orice restricție se aplică numai de către agenție pentru a garanta:

(2)   În aplicarea specifică a scopurilor descrise la alineatul (1) de mai sus, agenția poate aplica restricții în legătură cu datele cu caracter personal care fac obiectul schimburilor cu serviciile Comisiei sau cu alte instituții, organe, agenții și oficii ale Uniunii, cu autoritățile competente ale statelor membre, cu țări terțe sau organizații internaționale, în următoarele situații:

(3)   Orice restricție este necesară și proporțională având în vedere riscurile față de drepturile și libertățile persoanelor vizate și respectă esența drepturilor și libertăților fundamentale într-o societate democratică.

(4)   Dacă se are în vedere aplicarea unei restricții, se efectuează un test de necesitate și proporționalitate pe baza prezentelor norme. Acesta este documentat, de la caz la caz, printr-o notă de evaluare internă, în scopul asigurării răspunderii.

(5)   Restricțiile sunt ridicate imediat ce situațiile care le justifică nu se mai aplică. În special, în cazul în care se consideră că exercitarea unei drept restricționat nu ar mai anula efectul restricției impuse sau nu ar mai afecta negativ drepturile sau libertățile altor persoane vizate.

(1)   Agenția își informează responsabilul cu protecția datelor („RPD”) fără întârzieri nejustificate, ori de câte ori operatorul restricționează aplicarea drepturilor persoanelor vizate sau extinde restricția, în conformitate cu prezenta decizie. Operatorul asigură accesul responsabilului cu protecția datelor la consemnările care conțin evaluarea necesității și proporționalității restricției și consemnează data de informare a responsabilului.

(2)   RPD poate solicita operatorului, în scris, reexaminarea aplicării restricțiilor. Operatorul informează RPD, în scris, cu privire la rezultatul reexaminării solicitate.

(3)   Operatorul informează RPD atunci când restricția a fost ridicată.

(1)   În cazuri justificate în mod corespunzător și în condițiile stipulate în prezenta decizie, dreptul de acces poate fi restricționat de către operator, în contextul următoarelor operațiuni de prelucrare, dacă este necesar și proportional:

Agenția include în anunțurile privind protecția datelor, în declarațiile de confidențialitate sau în evidențele sale, în sensul articolului 31 din Regulamentul (UE) 2018/1725, publicate pe website-ul său web și/sau circulate intern, prin care informează persoanele vizate cu privire la drepturilor lor în cadrul unei anumite proceduri, informații cu privire la posibila restricționare a acestor drepturi. Informațiile acoperă drepturile care pot fi restricționate, motivele restricționării și posibila durată a acesteia

(2)   Fără a aduce atingere dispozițiilor de la alineatul (3), agenția, în limitele proporționalității, informează în mod individual toate persoanele vizate, considerate persoane în cauză în operațiunea de prelucrare specifică, cu privire la drepturile lor în legătură cu restricțiile actuale sau viitoare, fără întârzieri nejustificate și în scris.

(3)   În cazul în care agenția restricționează, în totalitate sau în parte, furnizarea de informații persoanelor vizate menționate la alineatul (2), aceasta consemnează motivele restricționării, temeiul juridic, în conformitate cu articolul 3 din această decizie, inclusiv o evaluare a necesității și proporționalității restricției.

Consemnarea și, după caz, documentele care conțin elemente faptice și juridice de sprijin se înregistrează. Acestea sunt puse la dispoziția Autorității Europene pentru Protecția Datelor, la cerere.

(4)   Restricția menționată la alineatul (3) continuă să se aplice atât timp cât motivele care le justifică rămân aplicabile.

În cazul în care motivele restricționării nu se mai aplică, agenția informează persoana vizată cu privire la principalele motive ale aplicării restricției. În același timp, agenția informează persoana vizată cu privire la dreptul de a depune o plângere la Autoritatea Europeană pentru Protecția Datelor în orice moment sau de a introduce o cale de atac în fața Curții de Justiție a Uniunii Europene.

Agenția reexaminează aplicarea restricției la fiecare șase luni de la adoptarea acesteia, precum și la încheierea anchetei, procedurii sau investigației relevante. Ulterior, operatorul verifică la fiecare șase luni dacă este necesară menținerea restricției.

(1)   În cazuri justificate în mod corespunzător și în condițiile stipulate în prezenta decizie, dreptul de acces poate fi restricționat de către operator, în contextul următoarelor operațiuni de prelucrare, dacă este necesar și proportional:

În cazul în care persoanele vizate solicită acces la datele lor cu caracter personal prelucrate în contextul unuia sau mai multor cazuri specifice sau la o anumită operațiune de prelucrare, în conformitate cu articolul 17 din Regulamentul (UE) 2018/1725, agenția își limitează evaluarea cererii numai la aceste date cu caracter personal.

(2)   În cazul în care agenția restricționează, în totalitate sau în parte, dreptul de acces, menționat la articolul 17 din Regulamentul (UE) 2018/1725, aceasta ia următoarele măsuri:

Restricțiile impuse în legătură cu accesul la propriul dosar medical se referă numai la cererile de acces direct în legătură cu datele medicale personale de natură psihologică sau psihiatrică, în cazul în care accesul la aceste date poate reprezenta un risc pentru sănătatea persoanei vizate. Această restricție va fi proporțională în raport cu ceea ce este strict necesar pentru a proteja persoana vizată. Accesul la aceste informații va fi asigurat unui medic ales de către persoana vizate.

Furnizarea informațiilor menționate la litera (a) poate fi amânată, omisă sau refuzată, dacă ar anula efectul restricției, în conformitate cu articolul 25 alineatul (8) din Regulamentul (UE) 2018/1725.

Agenția reexaminează aplicarea restricției la fiecare șase luni de la adoptarea acesteia și la încheierea investigației relevante. Ulterior, operatorul verifică la fiecare șase luni dacă este necesară menținerea eventualei restricții.

(3)   Consemnarea și, după caz, documentele care conțin elemente faptice și juridice de sprijin se înregistrează. Acestea sunt puse la dispoziția Autorității Europene pentru Protecția Datelor, la cerere.

(1)   În cazuri justificate în mod corespunzător și în condițiile stipulate în prezenta decizie, dreptul de rectificare, ștergere și restricționare a datelor poate fi restricționat de operator în contextul următoarelor operațiuni de prelucrare, dacă este necesar și adecvat:

(2)   În cazul în care agenția restricționează, în totalitate sau în parte, aplicarea dreptului de rectificare și ștergere a datelor sau a dreptului de restricționare a prelucrării acestora, menționate la articolul 18, articolul 19 alineatul (1) și articolul 20 alineatul (1) din Regulamentul (UE) 2018/1725, aceasta ia măsurile prevăzute la articolul 6 alineatul (2) din prezenta decizie și înregistrează consemnarea în conformitate cu articolul 6 alineatul (3) din această decizie.

(1)   În cazuri justificate în mod corespunzător și în condițiile stipulate în prezenta decizie, dreptul de informare cu privire la încălcarea securității datelor cu caracter personal poate fi restricționat de operator în contextul următoarelor operațiuni de prelucrare, dacă este necesar și adecvat:

(2)   În cazuri justificate în mod corespunzător și în condițiile stipulate în prezenta decizie, dreptul la confidențialitatea comunicațiilor electronice poate fi restricționat de operator în contextul următoarelor operațiuni de prelucrare, dacă este necesar și adecvat:

(3)   În cazul în care agenția restricționează dreptul de informare a persoanei vizate cu privire la încălcarea securității datelor cu caracter personal sau dreptul la confidențialitatea comunicațiilor electronice, menționate la articolele 35 și 36 din Regulamentul (UE) 2018/1725, aceasta consemnează și înregistrează motivele restricționării în conformitate cu articolul 5 alineatul (3) din prezenta decizie. Se aplică articolul 5 alineatul (4) din prezenta decizie.