(1)   Prezenta decizie stabilește normele legate de condițiile în care, atunci când notifică cazuri către OLAF conform Regulamentului (UE, Euratom) nr. 883/2013 în cadrul anchetelor administrative și al procedurilor disciplinare, agenția poate să restricționeze, în temeiul articolului 25 din Regulamentul (UE) 2018/1725, aplicarea drepturilor consacrate la articolele 14-21, 35 și 36, precum și la articolul 4, în măsura în care dispozițiile sale corespund cu drepturile și obligațiile prevăzute la articolele 14-21.

(2)   Prezenta decizie se aplică operațiunilor de prelucrare a datelor cu caracter personal de către agenție în cadrul desfășurării anchetelor administrative și procedurilor disciplinare, precum și în cadrul activităților preliminare legate de cazurile de eventuale nereguli raportate către OLAF [conform Regulamentului (UE, Euratom) nr. 883/2013)], al gestionării cazurilor de avertizare în interes public, al gestionării procedurilor (formale și informale) de hărțuire, al gestionării reclamațiilor interne și externe, al desfășurării auditurilor interne, al investigațiilor efectuate de responsabilul cu protecția datelor în temeiul articolului 45 alineatul (2) din Regulamentul (UE) 2018/1725, precum și al investigațiilor de securitate (informatică) derulate pe plan intern sau cu implicare externă (de exemplu, CERT-UE).

Prezenta decizie trebuie să se aplice și activităților de asistență și cooperare furnizate de agenție, în afara anchetelor sale administrative, către alte instituții, organe, oficii și agenții, autorități competente ale statelor membre și organizații internaționale, în vederea protejării operațiunilor de prelucrare ale acestora.

În plus, decizia se aplică activităților legate de cooperarea cu organe și instituții ale UE și de transmiterea către acestea a unor informații privind anchetele administrative sau procedurile disciplinare, atunci când aceste informații sunt necesare pentru ca beneficiarul să evalueze motivele demarării unei investigații sau proceduri oficiale.

(3)   Agenția prelucrează mai multe categorii de date personale, cum ar fi date de identificare, date de contact, date profesionale. Categoriile de date în cauză pot fi date concrete (de exemplu, detalii administrative, telefon, adresă privată, comunicații electronice și date privind traficul) și/sau date mai puțin concrete (de exemplu, rapoarte de evaluare, deschideri de anchete, rapoarte privind anchetele preliminare, evidențe/procese-verbale cu declarațiile martorilor și audieri în cadrul unor investigații, activități sociale și comportamentul membrilor personalului, comentarii privind abilitățile și eficiența membrilor de personal vizați etc.).

(4)   Categoriile de persoane vizate care pot face obiectul acestei decizii sunt membri foști și actuali ai personalului agenției, cum ar fi (foști) agenți, responsabili/administratori, experți naționali detașați și stagiari, precum și (foști) contractanți ai agenției.

(5)   În privința condițiilor prevăzute în prezenta decizie, restricțiile se pot aplica următoarelor drepturi: furnizarea informațiilor și comunicarea unei încălcări a securității datelor cu caracter personal către persoanele vizate, în conformitate cu articolele 16 și 35 din Regulamentul (UE) 2018/1725; dreptul de acces al persoanei vizate, în conformitate cu articolul 17 din Regulamentul (UE) 2018/1725; dreptul de rectificare, de ștergere a datelor, de restricționare a prelucrării și de notificare a rectificării sau a ștergerii datelor, în conformitate cu articolul 18, articolul 19 alineatul (1), articolele 20 și 21 din Regulamentul (UE) 2018/1725.

(1)   Agenția Europeană pentru Medicamente reprezentată de directorul său executiv îndeplinește funcția de operator de date. Pe plan intern, șeful diviziei Administrație și management corporativ a fost numit ca operator de date pentru activitățile vizate de prezenta decizie. Dacă ancheta administrativă sau procedurile disciplinare îl vizează pe șeful diviziei Administrație și management corporativ, cel care va îndeplini funcția de operator pentru anchetele sau procedurile relevante va fi directorul executiv adjunct.

(2)   Datele cu caracter personal sunt stocate în format electronic și/sau pe suport de hârtie. Garanțiile instituite pentru a evita încălcarea securității datelor cu caracter personal, scurgerile de date sau divulgarea neautorizată a acestora sunt următoarele:

(3)   Perioadele de stocare și păstrare aplicabile sunt următoarele:

(4)   Riscul la adresa drepturilor și libertăților persoanei vizate poate presupune riscuri privind dreptul de a fi respectată confidențialitatea comunicațiilor sale private, dreptul la libera exprimare și informare, dreptul la apărare și dreptul de a fi ascultat. Aceste riscuri se evaluează în funcție de motivele și scopurile care justifică aplicarea restricțiilor prevăzute în prezenta decizie. Procesul de evaluare se documentează corespunzător și are loc pe baza unei analize de la caz la caz, astfel încât să se poată garanta aplicarea unei restricții numai atunci când este necesar și într-un mod proporțional, precum și în conformitate cu normele stabilite în prezenta decizie.

(1)   În temeiul articolului 25 alineatul (1) din Regulamentul (UE) 2018/1725, orice restricție se aplică numai pentru a se putea salvgarda următoarele:

(2)   În cazuri de aplicare specifică a scopurilor descrise la alineatul (1) de mai sus, agenția poate să aplice restricții în ceea ce privește schimbul de date cu caracter personal cu serviciile Comisiei sau cu alte instituții, organe, agenții și oficii ale Uniunii, cu autorități competente ale statelor membre sau cu țări terțe sau organizații internaționale, în următoarele situații:

Înainte de a aplica restricții în situațiile menționate la literele (a) și (b) din primul paragraf, agenția consultă serviciile Comisiei, instituțiile, organele, agențiile, oficiile relevante ale Uniunii sau autoritățile competente ale statelor membre, cu excepția cazului în care agenția are certitudinea că aplicarea unei restricții este prevăzută de unul dintre actele menționate la literele respective.

(3)   Într-o societate democratică, orice restricție trebuie să fie necesară și proporțională și să respecte esența drepturilor și libertăților fundamentale.

(4)   În baza prezentelor norme se efectuează un test de necesitate și proporționalitate. Acesta se documentează printr-o notă de evaluare internă în scopul respectării principiului responsabilității, de la caz la caz.

(5)   Restricțiile se monitorizează în mod corespunzător, iar la interval de cel puțin șase luni se efectuează o revizuire periodică pentru a se verifica dacă mai există condițiile care justifică o anumită restricție.

(6)   Restricțiile se ridică de îndată ce condițiile care le justifică nu mai sunt aplicabile, de exemplu atunci când exercitarea drepturilor persoanei vizate (cum ar fi furnizarea de informații cu privire la prelucrarea datelor și accesul la documente) nu mai periclitează scopul investigației sau al procedurii în cauză.

(1)   Operatorul (în numele agenției) informează responsabilul cu protecția datelor al agenției, fără întârzieri nejustificate, ori de câte ori se restricționează aplicarea drepturilor persoanelor vizate în conformitate cu prezenta decizie și permite accesul la evidențele și documentația privind evaluarea necesității și a proporționalității restricției (inclusiv la orice document care conține elemente de fapt și de drept subiacente). Prezenta cerință se aplică de asemenea revizuirilor ulterioare ale restricției.

(2)   RPD poate solicita operatorului, în scris, revizuirea aplicării restricțiilor. Agenția informează RPD în scris cu privire la rezultatul revizuirii solicitate.

(3)   Schimburile de informații cu RPD pe parcursul procedurii se consemnează și se documentează în formă scrisă.

(1)   În declarația de confidențialitate legată de anchetele administrative și procedurile disciplinare, care se publică pe intranetul său, agenția include informații referitoare la eventualele restricționări ale acestor drepturi. Informațiile se referă la drepturile care pot fi restricționate, motivele restricției și durata potențială.

(2)   În plus, agenția informează persoanele vizate, în mod individual, cu privire la drepturile lor legate de restricțiile prezente sau viitoare, fără întârzieri nejustificate și în scris, fără a aduce atingere alineatelor care urmează.

(3)   În cazul în care agenția restricționează, integral sau parțial, furnizarea de informații către persoanele vizate în conformitate cu prezenta decizie, aceasta consemnează motivele restricției, inclusiv evaluarea referitoare la necesitatea și proporționalitatea restricției. În acest sens, în evidențe se menționează modul în care furnizarea de informații ar periclita scopul investigației sau al procedurii în cauză sau ar afecta în mod negativ drepturile și libertățile altora. Aceste evidențe se înregistrează. După caz, se înregistrează și documentele care conțin elementele de fapt și de drept subiacente. La cerere, acestea sunt puse la dispoziția Autorității Europene pentru Protecția Datelor.

(4)   Restricția menționată la alineatul (3) continuă să se aplice cât timp motivele care o justifică rămân aplicabile. Atunci când motivele restricționării nu mai sunt aplicabile, agenția furnizează persoanei vizate informațiile în cauză și motivele restricționării. Persoanele vizate pot adresa orice întrebări responsabilului cu protecția datelor.

(5)   De asemenea, agenția informează persoana vizată, în orice moment, cu privire la posibilitatea de a depune o plângere la Autoritatea Europeană pentru Protecția Datelor sau de a introduce o cale de atac în fața Curții de Justiție a Uniunii Europene.

(6)   Agenția revizuiește aplicarea restricției o dată la șase luni de la adoptarea sa, precum și la închiderea procedurii.

(1)   Când persoanele vizate solicită acces la datele lor cu caracter personal prelucrate în contextul unuia sau al mai multor cazuri specifice, sau solicită să aibă acces la o anumită operațiune de prelucrare, în conformitate cu articolul 17 din Regulamentul (UE) 2018/1725, evaluarea cererii de către agenție se limitează la aceste date cu caracter personal.

(2)   În cazul în care agenția restricționează, integral sau parțial, dreptul de acces menționat la articolul 17 din Regulamentul (UE) 2018/1725, aceasta ia următoarele măsuri:

Furnizarea informațiilor menționate la litera (a) poate fi amânată, omisă sau refuzată în conformitate cu articolul 25 alineatul (8) din Regulamentul (UE) 2018/1725.

(3)   Evidențele la care se face referire la alineatul (2) litera (b) și, dacă este cazul, documentele care conțin elementele de fapt și de drept subiacente se înregistrează. La cerere, acestea se pun la dispoziția Autorității Europene pentru Protecția Datelor. Se aplică articolul 25 alineatul (7) din Regulamentul (UE) 2018/1725.

(1)   În cazul în care agenția restricționează informarea unei persoane vizate cu privire la încălcarea securității datelor cu caracter personal, așa cum se menționează la articolul 35 din Regulamentul (UE) 2018/1725, aceasta consemnează și înregistrează motivele restricționării în conformitate cu articolul 5 alineatele (3)-(6) din prezenta decizie.

(2)   În cazul în care agenția restricționează dreptul unei persoane vizate la confidențialitatea comunicațiilor electronice, așa cum se menționează la articolul 36 din Regulamentul (UE) 2018/1725, aceasta consemnează și înregistrează motivele restricționării în conformitate cu articolul 5 alineatele (3)-(6) din prezenta decizie.