(1)   Prezenta decizie stabilește normele referitoare la condițiile în care agenția, în cadrul general al procedurilor sale prevăzute la alineatul (2), poate restricționa aplicarea drepturilor consacrate la articolele 14-21, 35 și 36, precum și la articolul 4, cu respectarea articolului 25 din Regulamentul (UE) 2018/1725.

(2)   În cadrul general al funcționării administrative a agenției, prezenta decizie se aplică operațiunilor de prelucrare a datelor cu caracter personal de agenție, în următoarele scopuri: desfășurarea anchetelor administrative, a procedurilor disciplinare, a activităților preliminare legate de cazurile de eventuale nereguli raportate la OLAF, prelucrarea procedurilor de avertizare în interes public, a procedurilor (oficiale și neoficiale) privind cazurile de hărțuire, prelucrarea reclamațiilor interne și externe, desfășurarea auditurilor interne, a investigațiilor desfășurate de responsabilul cu protecția datelor conform articolului 45 alineatul (2) din Regulamentul (UE) 2018/1725, a investigațiilor de securitate (IT) gestionate pe plan intern sau cu implicare externă (de exemplu, CERT-UE), precum și în tratarea cererilor de acces la fișa medicală personală.

(3)   Categoriile de date în discuție sunt date concrete (date „obiective”, cum ar fi date de identificare, date de contact, date profesionale, detalii administrative, date primite din surse specifice, date privind comunicațiile electronice și privind traficul) și/sau date calitative (date „subiective” referitoare la caz, cum ar fi datele obținute din raționamente, date comportamentale, evaluări, date privind performanța și conduita și date referitoare la sau prezentate în legătură cu obiectul procedurii sau al activității).

(4)   În momentul în care își exercită atribuțiile cu privire la drepturile persoanelor vizate în temeiul Regulamentului (UE) 2018/1725, agenția analizează dacă se aplică vreuna dintre excepțiile prevăzute în regulamentul menționat.

(5)   Sub rezerva condițiilor prevăzute în prezenta decizie, restricțiile pot fi aplicabile următoarelor drepturi: dreptul de a furniza informații persoanelor vizate, dreptul de acces, de rectificare, de ștergere, de restricționare a prelucrării, de comunicare a unei încălcări a securității datelor cu caracter personal către persoana vizată sau dreptul la confidențialitatea comunicării.

(1)   Garanțiile instituite pentru a evita încălcarea securității datelor, scurgerile de date sau divulgarea lor neautorizată sunt următoarele:

(2)   Operatorul pentru operațiunile de prelucrare este agenția, reprezentată de directorul său executiv, care poate delega funcția de operator. Persoanele vizate sunt informate cu privire la operatorul delegat prin intermediul declarațiilor de confidențialitate privind protecția datelor sau al evidențelor publicate pe site-ul și/sau pe intranetul agenției.

(3)   Perioada de păstrare a datelor cu caracter personal la care se face referire la articolul 1 alineatul (3) nu va fi mai lungă decât este necesar și adecvat în scopul în care se prelucrează datele. În orice caz, aceasta nu va fi mai lungă decât perioada de păstrare specificată în declarațiile de confidențialitate privind protecția datelor sau în evidențele la care se face referire la articolul 5 alineatul (1).

(4)   În cazul în care are în vedere aplicarea unei restricții, agenția apreciază riscul pentru drepturile și libertățile persoanei vizate, în special în raport cu riscul pentru drepturile și libertățile altor persoane vizate și cu riscul de anulare a efectului investigațiilor sau al procedurilor agenției, de exemplu prin distrugerea probelor. Riscurile pentru drepturile și libertățile persoanei vizate se referă în primul rând la riscurile reputaționale și la riscurile pentru dreptul la apărare și pentru dreptul de a fi ascultat, fără a se limita însă la acestea.

(1)   Agenția aplică eventualele restricții doar pentru a garanta:

(2)   În aplicarea specifică a scopurilor descrise la alineatul (1) de mai sus, agenția poate aplica restricții în ceea ce privește schimbul de date cu caracter personal cu serviciile Comisiei sau cu alte instituții, organe, agenții și oficii ale Uniunii, cu autorități competente ale statelor membre sau cu țări terțe sau organizații internaționale, în următoarele situații:

Înainte de a aplica restricții în situațiile menționate la literele (a) și (b) din primul paragraf, agenția consultă serviciile Comisiei, instituțiile, organele, agențiile, oficiile relevante ale Uniunii sau autoritățile competente ale statelor membre, cu excepția cazului în care agenția are certitudinea că aplicarea unei restricții este prevăzută de unul dintre actele menționate la literele respective.

(3)   Orice restricție este necesară și adecvată, având în vedere riscurile pentru drepturile și libertățile persoanelor vizate și respectă esența drepturilor și libertăților fundamentale într-o societate democratică.

(4)   Dacă se analizează aplicarea restricției, se efectuează un test de necesitate și proporționalitate, în baza prezentelor norme. Acesta este documentat printr-o notă de evaluare internă în scopul respectării principiului responsabilității, de la caz la caz.

(5)   Restricțiile sunt ridicate imediat ce circumstanțele care le justifică nu mai sunt aplicabile, în special, în cazul în care se consideră că exercitarea dreptului restricționat nu ar mai anula efectul restricției impuse sau ar aduce atingere drepturilor sau libertăților altor persoane vizate.

(1)   Agenția informează, fără întârzieri nejustificate, responsabilul cu protecția datelor al agenției („RPD”), ori de câte ori operatorul restricționează aplicarea drepturilor persoanelor vizate sau prelungește restricția, în conformitate cu prezenta decizie. Operatorul acordă responsabilului cu protecția datelor acces la evidențele care cuprind evaluarea necesității și a proporționalității restricției și documentează data informării RPD în aceste evidențe.

(2)   RPD îi poate solicita operatorului, în scris, reexaminarea aplicării restricțiilor. Operatorul informează RPD în scris cu privire la rezultatul revizuirii solicitate.

(3)   Operatorul informează RPD la ridicarea restricției.

(1)   În cazuri justificate în mod corespunzător și în condițiile stabilite în prezenta decizie, dreptul la furnizarea de informații poate fi restricționat de operator în contextul următoarelor operațiuni de prelucrare:

Agenția include în declarațiile de confidențialitate privind protecția datelor sau evidențe în sensul articolului 31 din Regulamentul (UE) 2018/1725, publicate pe site-ul său și pe intranet, prin care informează persoanele vizate cu privire la drepturile lor în cadrul unei proceduri date, precum și informații referitoare la eventuala restricționare a acestor drepturi. Informațiile includ drepturile care pot fi restricționate, motivele restricționării și posibila durată a acesteia.

(2)   Fără a aduce atingere dispozițiilor alineatului (3), agenția, atunci când este proporțional, informează, de asemenea, în mod individual, toate persoanele vizate care sunt considerate persoane interesate în acea operațiune de prelucrare, cu privire la drepturile lor legate de restricțiile prezente sau viitoare, fără întârzieri nejustificate și în scris.

(3)   În cazurile în care agenția restricționează, integral sau parțial, furnizarea de informații către persoanele vizate, la care se face referire în alineatul (2), aceasta consemnează motivele restricționării, temeiul legal în conformitate cu articolul 3 din prezenta decizie, inclusiv o evaluare a necesității și proporționalității restricției.

Aceste evidențe se înregistrează. După caz, se înregistrează și documentele care conțin elementele de fapt și de drept subiacente. La cerere, acestea se pun la dispoziția Autorității Europene pentru Protecția Datelor.

(4)   Restricția menționată la alineatul (3) continuă să se aplice atât timp cât motivele care o justifică rămân aplicabile.

În cazul în care motivele restricției nu se mai aplică, agenția furnizează persoanei vizate informații cu privire la principalele motive care stau la baza aplicării unei restricții. În același timp, agenția informează persoana vizată cu privire la dreptul de a depune o plângere la Autoritatea Europeană pentru Protecția Datelor în orice moment sau de a introduce o cale de atac în fața Curții de Justiție a Uniunii Europene.

Agenția revizuiește aplicarea restricției o dată la șase luni de la adoptarea acesteia, precum și la încheierea anchetei, procedurii sau investigației relevante. Ulterior, operatorul monitorizează necesitatea de a menține restricția o dată la șase luni.

(1)   În cazuri justificate în mod corespunzător și în condițiile stabilite în prezenta decizie, dreptul la acces poate fi restricționat de operator în contextul următoarelor operațiuni de prelucrare, dacă este necesar și proporțional:

În cazul în care persoanele vizate solicită acces la datele lor cu caracter personal prelucrate în contextul unuia sau mai multor cazuri specifice sau la o anumită operațiune de prelucrare, în conformitate cu articolul 17 din Regulamentul (UE) 2018/1725, agenția își limitează evaluarea cererii numai la aceste date cu caracter personal.

(2)   În cazul în care agenția restricționează, integral sau parțial, dreptul de acces menționat la articolul 17 din Regulamentul (UE) 2018/1725, aceasta ia următoarele măsuri:

Restricțiile impuse în legătură cu accesul la fișa medicală personală se referă numai la cererile de acces direct în legătură cu datele medicale cu caracter personal de natură psihologică sau psihiatrică, în cazul în care accesul la aceste date poate să reprezinte un risc pentru sănătatea persoanei vizate. Această restricție este proporțională cu ceea ce este strict necesar pentru a proteja persoana vizată. Accesul la astfel de informații se acordă printr-un medic intermediar ales de persoana vizată. Acestui medic trebuie să i se acorde acces la toate informațiile, precum și putere de apreciere pentru a decide modul de accesare și ce acces să se ofere persoanei vizate.

Furnizarea informațiilor menționate la litera (a) poate fi amânată, omisă sau refuzată, dacă aceasta ar anula efectul restricției în conformitate cu articolul 25 alineatul (8) din Regulamentul (UE) 2018/1725.

Agenția revizuiește aplicarea restricției o dată la șase luni de la adoptarea acesteia și la încheierea investigației relevante. Ulterior, operatorul monitorizează necesitatea de a menține restricția o dată la șase luni.

(3)   Aceste evidențe se înregistrează. După caz, se înregistrează și documentele care conțin elementele de fapt și de drept subiacente. La cerere, acestea se pun la dispoziția Autorității Europene pentru Protecția Datelor.

(1)   În cazuri justificate în mod corespunzător și în condițiile stabilite în prezenta decizie, dreptul de a rectifica și de a șterge datele și dreptul de a restricționa prelucrarea lor pot fi restricționate de operator în contextul următoarelor operațiuni de prelucrare, dacă este necesar și adecvat:

(2)   În cazul în care agenția restricționează, în totalitate sau în parte, aplicarea dreptului la rectificare și ștergere a datelor sau a dreptului la restricționarea prelucrării acestora, menționate la articolul 18, articolul 19 alineatul (1) și articolul 20 alineatul (1) din Regulamentul (UE) 2018/1725, aceasta ia măsurile prevăzute la articolul 6 alineatul (2) din prezenta decizie și înregistrează consemnarea în conformitate cu articolul 6 alineatul (3) din această decizie.

(1)   În cazuri justificate în mod corespunzător și în condițiile stabilite în prezenta decizie, dreptul la informare cu privire la încălcarea securității datelor cu caracter personal poate fi restricționat de operator în contextul următoarelor operațiuni de prelucrare, dacă este necesar și proporțional:

(2)   În cazuri justificate și în condițiile stabilite în prezenta decizie, dreptul la confidențialitatea comunicațiilor electronice poate fi restricționat de operator în contextul următoarelor operațiuni de prelucrare, dacă este necesar și adecvat:

(3)   În cazul în care agenția restricționează dreptul de informare a persoanei vizate cu privire la încălcarea securității datelor cu caracter personal sau dreptul la confidențialitatea comunicațiilor electronice, menționate la articolele 35 și 36 din Regulamentul (UE) 2018/1725, aceasta consemnează și înregistrează motivele restricționării în conformitate cu articolul 5 alineatul (3) din prezenta decizie. Se aplică articolul 5 alineatul (4) din prezenta decizie.