(1)   Prezenta decizie stabilește normele referitoare la condițiile în care agenția, în cadrul procedurilor sale prevăzute la alineatul (2) de la prezentul articol, poate restricționa, în temeiul articolului 25 din Regulamentul (UE) 2018/1725, aplicarea drepturilor consacrate la articolele 14-21, 35 și 36, precum și la articolul 4 din regulamentul menționat.

(2)   În cadrul funcționării administrative a agenției, prezenta decizie se aplică operațiunilor de prelucrare a datelor cu caracter personal de către agenție, în scopul desfășurării anchetelor administrative, a procedurilor disciplinare și a activităților preliminare legate de cazurile de eventuale nereguli raportate la OLAF, al prelucrării procedurilor de avertizare în interes public și a procedurilor (oficiale și neoficiale) în cazurile de hărțuire, al prelucrării reclamațiilor interne și externe, al desfășurării auditurilor interne și a investigațiilor efectuate de responsabilul cu protecția datelor în temeiul articolului 45 alineatul (2) din Regulamentul (UE) 2018/1725, al monitorizării piețelor angro de energie și al coordonării activităților autorităților naționale de reglementare în ceea ce privește potențiale încălcări ale Regulamentului privind integritatea și transparența pieței angro de energie, precum și al desfășurării investigațiilor de securitate (în domeniul TI) gestionate pe plan intern sau cu implicare externă (de exemplu, CERT-UE).

(3)   Categoriile de date în discuție sunt date concrete (date „obiective”, cum ar fi date de identificare, date de contact, date profesionale, date administrative, date primite din surse specifice, date privind comunicațiile electronice și privind traficul) și/sau date calitative (date „subiective” referitoare la caz, cum ar fi datele obținute din raționamente și din evaluări, date comportamentale, date privind performanța și conduita și date referitoare la sau prezentate în legătură cu obiectul procedurii sau al activității).

(4)   În momentul în care își exercită atribuțiile cu privire la drepturile persoanelor vizate în temeiul Regulamentului (UE) 2018/1725, agenția analizează dacă se aplică vreuna dintre excepțiile prevăzute în regulamentul menționat.

(5)   Sub rezerva condițiilor prevăzute în prezenta decizie, restricțiile pot fi aplicabile următoarelor drepturi: dreptul de furnizare de informații persoanelor vizate, dreptul de acces, de rectificare, de ștergere, de restricționare a prelucrării, de comunicare a unei încălcări a securității datelor cu caracter personal către persoana vizată sau dreptul la confidențialitatea comunicării.

(1)   Garanțiile instituite pentru a evita încălcarea securității datelor, scurgerile de date sau dezvăluirea neautorizată a acestora sunt următoarele:

(2)   Operatorul pentru prelucrarea datelor este agenția, reprezentată de directorul său, care poate delega funcția de operator de date. Persoanele vizate vor fi informate cu privire la operatorul de date delegat prin intermediul unor notificări privind protecția datelor sau al unor evidențe publicate pe site-ul și/sau pe intranetul agenției.

(3)   Perioada de păstrare a datelor cu caracter personal la care se face referire la articolul 1 alineatul (3) din prezenta decizie nu va fi mai lungă decât este necesar și adecvat scopului în care se prelucrează datele. În orice caz, aceasta nu va fi mai lungă decât perioada de păstrare specificată în notificările privind protecția datelor, în declarațiile de confidențialitate sau în evidențele la care se face referire la articolul 5 alineatul (1) din prezenta decizie.

(4)   În momentul în care agenția analizează aplicarea unei restricții, se apreciază riscul pentru drepturile și libertățile persoanei vizate, în special în raport cu riscul pentru drepturile și libertățile altor persoane vizate și cu riscul unor efecte negative asupra investigațiilor sau asupra procedurilor agenției, de exemplu prin distrugerea probelor. Riscurile pentru drepturile și libertățile persoanei vizate se referă în primul rând la riscurile reputaționale și la riscurile pentru dreptul la apărare și pentru dreptul de a fi ascultat, fără a se limita însă la acestea.

(1)   Agenția aplică eventualele restricții doar pentru a garanta:

(2)   În cazuri de aplicare specifică a scopurilor descrise la alineatul (1) de mai sus, agenția poate să aplice restricții în următoarele situații:

Înainte de a aplica restricții în situațiile menționate la literele (a) și (b) de la primul paragraf, agenția consultă serviciile relevante ale Comisiei, instituțiile, organele, agențiile și oficiile relevante ale Uniunii sau autoritățile competente ale statelor membre, cu excepția cazului în care agenția are certitudinea că aplicarea unei restricții este prevăzută de unul dintre actele menționate la literele respective.

(3)   Restricțiile sunt necesare și proporționale, ținând cont de riscurile pentru drepturile și libertățile persoanelor vizate, și respectă esența drepturilor și libertăților fundamentale într-o societate democratică.

(4)   Dacă se ia în considerare aplicarea restricției, se efectuează un test de necesitate și proporționalitate în baza prezentelor norme. Acesta este documentat printr-o notă de evaluare internă în scopul respectării principiului responsabilității, de la caz la caz.

(5)   Restricțiile sunt ridicate imediat ce situațiile care le justifică nu se mai aplică. În special, în cazul în care se consideră că exercitarea dreptului restricționat nu ar mai anula efectul restricției impuse sau nu ar mai afecta negativ drepturile sau libertățile altor persoane vizate.

(1)   Agenția îl implică, fără întârzieri nejustificate, pe responsabilul cu protecția datelor (RPD) din cadrul agenției în toate procedurile relevante prevăzute în prezenta decizie și se asigură că implicarea RPD este documentată. Acest lucru include documentarea în scris a tuturor evaluărilor și avizelor relevante elaborate de RPD cu privire la aplicabilitatea unei restricții pentru un anumit caz.

(2)   În special, agenția informează RPD, fără întârzieri nejustificate, ori de câte ori operatorul restricționează aplicarea drepturilor persoanelor vizate sau prelungește restricția, în conformitate cu prezenta decizie. Operatorul îi acordă RPD accesul la evidențele care cuprind evaluarea necesității și a proporționalității restricției și consemnează data informării RPD.

(3)   RPD îi poate solicita operatorului, în scris, revizuirea aplicării restricțiilor. Operatorul informează RPD, în scris, cu privire la rezultatul revizuirii solicitate.

(4)   Operatorul informează RPD cu privire la ridicarea restricției.

(1)   În cazuri justificate și în condițiile stabilite în prezenta decizie, dreptul la furnizarea de informații poate fi restricționat de către operator în contextul următoarelor operațiuni de prelucrare:

Agenția include în notificările privind protecția datelor declarații de confidențialitate sau evidențe în sensul articolului 31 din Regulamentul (UE) 2018/1725, publicate pe site-ul său și/sau pe intranet, prin care informează persoanele vizate cu privire la drepturile lor în cadrul unei proceduri date, precum și informații referitoare la eventuala restricționare a acestor drepturi. Informațiile indică drepturile care pot fi restricționate, motivele și durata potențială.

(2)   De asemenea, fără a aduce atingere dispozițiilor de la alineatul (3), atunci când este proporțional, agenția informează individual, fără întârzieri nejustificate și în scris, toate persoanele vizate considerate persoane interesate în acea operațiune de prelucrare, cu privire la drepturile lor legate de restricțiile prezente sau viitoare.

(3)   În cazul în care agenția restricționează, integral sau parțial, furnizarea de informații către persoanele vizate la care se face referire în alineatul (2), aceasta înregistrează motivele restricționării, temeiul legal în conformitate cu articolul 3 din prezenta decizie, inclusiv o evaluare a necesității și proporționalității restricției.

Această evidență și, dacă este cazul, documentele care conțin elementele factuale și juridice subiacente sunt consemnate. Acestea sunt puse la dispoziția Autorității Europene pentru Protecția Datelor, la cerere.

(4)   Restricția menționată la alineatul (3) continuă să se aplice atât timp cât motivele care o justifică rămân aplicabile.

În cazul în care motivele restricției nu se mai aplică, agenția furnizează persoanei vizate informații cu privire la principalele motive care stau la baza aplicării unei restricții. În același timp, agenția informează persoana vizată cu privire la dreptul de a depune o plângere la Autoritatea Europeană pentru Protecția Datelor în orice moment sau de a introduce o cale de atac în fața Curții de Justiție a Uniunii Europene.

Agenția revizuiește aplicarea restricției, pentru a confirma dacă motivele de fapt și de drept ale restricției continuă să se aplice, o dată la șase luni de la aplicarea sa, precum și la încheierea anchetei, procedurii sau investigației relevante. Ulterior, operatorul monitorizează periodic necesitatea de a menține restricția o dată la șase luni.

(1)   În cazuri justificate și în condițiile stabilite în prezenta decizie, dreptul de acces poate fi restricționat de operator în contextul următoarelor operațiuni de prelucrare, dacă este necesar și proporțional:

În cazul în care persoanele vizate solicită acces la datele lor cu caracter personal prelucrate în contextul unuia sau mai multor cazuri specifice sau la o anumită operațiune de prelucrare, în conformitate cu articolul 17 din Regulamentul (UE) 2018/1725, agenția își limitează evaluarea cererii numai la aceste date cu caracter personal.

(2)   În cazul în care agenția restricționează, integral sau parțial, dreptul de acces menționat la articolul 17 din Regulamentul (UE) 2018/1725, aceasta ia următoarele măsuri:

Furnizarea informațiilor menționate la litera (a) poate fi amânată, omisă sau refuzată, dacă aceasta ar anula efectul restricției în conformitate cu articolul 25 alineatul (8) din Regulamentul (UE) 2018/1725.

Agenția revizuiește aplicarea restricției, pentru a confirma dacă motivele de fapt și de drept ale restricției continuă să se aplice, o dată la șase luni de la aplicarea sa, precum și la încheierea investigației relevante. Ulterior, operatorul monitorizează periodic necesitatea de a menține restricția o dată la șase luni.

(3)   Această evidență și, dacă este cazul, documentele care conțin elementele factuale și juridice subiacente sunt consemnate. Acestea sunt puse la dispoziția Autorității Europene pentru Protecția Datelor, la cerere.

(1)   În cazuri justificate și în condițiile stabilite în prezenta decizie, dreptul de a rectifica și de a șterge datele și dreptul de a restricționa prelucrarea lor pot fi restricționate de operator în contextul următoarelor operațiuni de prelucrare, dacă este necesar și adecvat:

(2)   În cazul în care agenția restricționează, integral sau parțial, aplicarea dreptului de a rectifica și de a șterge datele și a dreptului de a restricționa prelucrarea datelor, menționat la articolul 18, articolul 19 alineatul (1) și articolul 20 alineatul (1) din Regulamentul (UE) 2018/1725, aceasta ia măsurile prevăzute la articolul 6 alineatul (2) din prezenta decizie. Articolul 6 alineatul (3) din prezenta decizie se aplică tuturor restricțiilor puse în aplicare în conformitate cu prezentul articol.

(1)   În cazuri justificate și în condițiile stabilite în prezenta decizie, dreptul la informare cu privire la încălcarea securității datelor cu caracter personal poate fi restricționat de operator în contextul următoarelor operațiuni de prelucrare, dacă este necesar și adecvat:

(2)   În cazuri justificate și în condițiile stabilite în prezenta decizie, dreptul la confidențialitatea comunicațiilor electronice poate fi restricționat de operator în contextul următoarelor operațiuni de prelucrare, dacă este necesar și adecvat:

(3)   În cazul în care agenția restricționează informarea unei persoane vizate cu privire la încălcarea securității datelor cu caracter personal sau confidențialitatea comunicațiilor electronice, astfel cum se menționează la articolele 35 și 36 din Regulamentul (UE) 2018/1725, aceasta ia măsurile prevăzute la articolul 5 alineatele (3) și (4) din prezenta decizie. Articolul 6 alineatul (3) din prezenta decizie se aplică tuturor restricțiilor puse în aplicare în conformitate cu prezentul articol.