(1)   Prezenta decizie stabilește normele referitoare la condițiile în care FRA, în cadrul procedurilor sale prevăzute la alineatul (2), poate restricționa aplicarea drepturilor consacrate la articolele 14-21, 35 și 36, precum și la articolul 4, cu respectarea articolului 25 din Regulamentul (UE) 2018/1725.

(2)   În contextul funcționării instituționale a FRA, prezenta decizie se aplică operațiunilor de prelucrare a datelor cu caracter personal efectuate de agenție, în următoarele scopuri: desfășurarea de anchete administrative, proceduri predisciplinare, proceduri disciplinare și suspendări în temeiul anexei IX la Statutul funcționarilor, de activități legate de cazurile de posibile nereguli raportate la OLAF, prelucrarea procedurilor de avertizare în interes public, a procedurilor (formale și informale) în cazurile de hărțuire, prelucrarea reclamațiilor interne și externe, desfășurarea de audituri interne/externe, de anchete efectuate de RPD conform articolului 45 alineatul (2) din Regulamentul (UE) 2018/1725 și de investigații de securitate (informatică) gestionate pe plan intern sau cu implicare din exterior (de exemplu, CERT-UE).

(3)   Prezenta decizie se aplică și operațiunilor de prelucrare a datelor cu caracter personal când FRA este implicată în cauzele înaintate Curții de Justiție a Uniunii Europene în cazul în care fie sesizează Curtea, fie apără o decizie pe care a luat-o și care a fost contestată în fața Curții, fie intervine în cauze care sunt de competența sa. În acest context, FRA ar putea fi nevoită să păstreze confidențialitatea datelor cu caracter personal existente în documentele obținute de părți sau de intervenienți.

(4)   Categoriile de date vizate sunt date concrete (date „obiective”, cum ar fi date de identificare, date de contact, date profesionale, detalii administrative, date primite din surse specifice, date privind comunicațiile electronice și privind traficul) și/sau date calitative (date „subiective” referitoare la caz, cum ar fi datele obținute din raționamente, date comportamentale, evaluări, date privind performanța și conduita și date referitoare la sau prezentate în legătură cu obiectul procedurii sau al activității).

(5)   În momentul în care își exercită atribuțiile cu privire la drepturile persoanelor vizate în temeiul Regulamentului (UE) 2018/1725, FRA analizează dacă se aplică vreuna dintre excepțiile prevăzute în regulamentul menționat.

(6)   Sub rezerva condițiilor prevăzute în prezenta decizie, restricțiile pot fi aplicabile următoarelor drepturi: de furnizare de informații persoanelor vizate, dreptul de acces, de rectificare, de ștergere, de restricționare a prelucrării, de comunicare a unei încălcări a securității datelor cu caracter personal către persoana vizată sau dreptul la confidențialitatea comunicării.

(1)   Garanțiile instituite pentru a evita încălcarea securității datelor, scurgerile de date sau divulgarea lor neautorizată sunt următoarele:

(2)   Operatorul pentru prelucrarea datelor este FRA, reprezentată de directorul său, care poate delega funcția de operator de date. Persoanele vizate vor fi informate cu privire la operatorul de date delegat prin notificări privind protecția datelor sau prin evidențe publicate pe site-ul și/sau pe intranetul FRA.

(3)   Perioada de păstrare a datelor cu caracter personal la care se face referire la articolul 1 alineatul (3) nu va fi mai lungă decât este necesar și adecvat în scopul în care se prelucrează datele. În orice caz, aceasta nu va fi mai lungă decât perioada de păstrare specificată în notificările privind protecția datelor, în declarațiile de confidențialitate sau în evidențele la care se face referire la articolul 5 alineatul (1).

(4)   În cazul în care are în vedere aplicarea unei restricții, agenția apreciază riscul pentru drepturile și libertățile persoanei vizate, în special în raport cu riscul pentru drepturile și libertățile altor persoane vizate și cu riscul de anulare a efectului anchetelor sau al procedurilor FRA, de exemplu prin distrugerea probelor. Riscurile pentru drepturile și libertățile persoanei vizate se referă în primul rând la riscurile reputaționale și la riscurile pentru dreptul la apărare și pentru dreptul de a fi ascultat, fără a se limita însă la acestea.

(1)   FRA aplică restricții doar:

(2)   Ca aplicare specifică a scopurilor descrise la alineatul (1) de mai sus, FRA poate aplica restricții în ceea ce privește schimbul de date cu caracter personal cu serviciile Comisiei sau cu alte instituții, organe, agenții și oficii ale Uniunii, cu autorități competente ale statelor membre sau cu țări terțe sau organizații internaționale, în următoarele situații:

Înainte de a aplica restricții în situațiile menționate la literele (a) și (b) din primul paragraf, FRA consultă serviciile Comisiei, instituțiile, organele, agențiile, oficiile relevante ale Uniunii sau autoritățile competente ale statelor membre, cu excepția cazului în care FRA are certitudinea că aplicarea unei restricții este prevăzută de unul dintre actele menționate la literele respective.

(3)   Restricțiile sunt necesare și proporționale, ținând cont de riscurile pentru drepturile și libertățile persoanelor vizate, și respectă esența drepturilor și libertăților fundamentale într-o societate democratică.

(4)   Dacă se ia în considerare aplicarea restricției, se efectuează un test de necesitate și proporționalitate, în baza prezentelor norme. Acesta este documentat, de la caz la caz, printr-o notă de evaluare internă în scopul respectării principiului responsabilității.

(5)   Restricțiile sunt ridicate imediat ce situațiile care le justifică nu mai sunt aplicabile, în special în cazul în care se consideră că exercitarea dreptului restricționat nu ar mai anula efectul restricției impuse și nu ar aduce atingere drepturilor sau libertăților altor persoane vizate.

(1)   FRA implică RPD, fără întârzieri nejustificate, pe parcursul tuturor procedurilor relevante stabilite prin prezenta decizie și se asigură că implicarea RPD este documentată. Acest lucru include documentarea în scris a tuturor evaluărilor și avizelor relevante elaborate de RPD cu privire la aplicabilitatea unei restricții pentru un anumit caz.

(2)   În special, agenția informează RPD, fără întârzieri nejustificate, ori de câte ori operatorul restricționează aplicarea drepturilor persoanelor vizate sau prelungește restricția, în conformitate cu prezenta decizie. Operatorul acordă RPD acces la evidențele care cuprind evaluarea necesității și a proporționalității restricției și menționează în evidențe data la care a fost informat RPD.

(3)   RPD îi poate solicita operatorului în scris revizuirea aplicării restricțiilor. Operatorul informează RPD în scris cu privire la rezultatul revizuirii solicitate.

(4)   Operatorul informează RPD cu privire la ridicarea restricției.

(1)   În cazuri justificate corespunzător și în condițiile stabilite în prezenta decizie, dreptul la furnizarea de informații poate fi restricționat de către operator în contextul următoarelor operațiuni de prelucrare:

În sensul articolului 31 din Regulamentul (UE) 2018/1725, FRA include în notificările privind protecția datelor declarații de confidențialitate sau evidențe, publicate pe site-ul său și/sau pe intranet, prin care informează persoanele vizate cu privire la drepturile ce le revin într-o anumită procedură, precum și informații referitoare la eventuala restricționare a acestor drepturi. Informațiile cuprind drepturile care pot fi restricționate, motivele și durata probabilă.

(2)   De asemenea, fără a aduce atingere dispozițiilor de la alineatul (3), în limitele proporționalității, FRA informează individual, fără întârzieri nejustificate și în scris, toate persoanele vizate considerate persoane interesate în acea operațiune de prelucrare, cu privire la drepturile lor legate de restricțiile prezente sau viitoare.

(3)   În cazul în care FRA restricționează, integral sau parțial, furnizarea de informații persoanelor vizate la care se face referire la alineatul (2), agenția înregistrează motivele restricționării, temeiul legal în conformitate cu articolul 3 din prezenta decizie, inclusiv o evaluare a necesității și proporționalității restricției.

Această evidență și, după caz, documentele care conțin elementele subiacente de fapt și de drept sunt consemnate. La cerere, acestea sunt puse la dispoziția AEPD.

(4)   Restricția menționată la alineatul (3) continuă să se aplice atât timp cât motivele care o justifică rămân aplicabile.

În cazul în care motivele restricției nu se mai aplică, FRA furnizează persoanei vizate informații cu privire la principalele motive care stau la baza aplicării unei restricții. În același timp, FRA informează persoana vizată cu privire la dreptul de a depune o plângere la AEPD în orice moment sau de a introduce o cale de atac la Curtea de Justiție a Uniunii Europene.

FRA revizuiește aplicarea restricției o dată la șase luni de la adoptarea sa, precum și la închiderea anchetei, procedurii sau investigației relevante. Ulterior, operatorul monitorizează anual necesitatea de a menține restricția.

(1)   În cazuri justificate și în condițiile stabilite în prezenta decizie, dreptul la acces poate fi restricționat de operator în contextul următoarelor operațiuni de prelucrare, dacă este necesar și proporțional:

Când persoanele vizate solicită acces la datele lor cu caracter personal prelucrate în contextul unuia sau mai multor cazuri specifice sau la o anumită operațiune de prelucrare, în conformitate cu articolul 17 din Regulamentul (UE) 2018/1725, FRA își limitează evaluarea cererii exclusiv la aceste date cu caracter personal.

(2)   În cazul în care FRA restricționează, integral sau parțial, dreptul de acces menționat la articolul 17 din Regulamentul (UE) 2018/1725, agenția ia următoarele măsuri:

Furnizarea informațiilor menționate la litera (a) poate fi amânată, omisă sau refuzată, dacă acest lucru ar anula efectul restricției în conformitate cu articolul 25 alineatul (8) din Regulamentul (UE) 2018/1725.

FRA revizuiește aplicarea restricției o dată la șase luni de la adoptarea sa, precum și la închiderea anchetei relevante. Ulterior, operatorul monitorizează anual necesitatea de a menține restricția.

(3)   Această evidență și, după caz, documentele care conțin elementele subiacente de fapt și de drept sunt consemnate. La cerere, acestea sunt puse la dispoziția AEPD.

(1)   În cazuri justificate și în condițiile stabilite în prezenta decizie, dreptul de a rectifica și a șterge datele și dreptul de a restricționa prelucrarea lor pot fi restricționate de operator în contextul următoarelor operațiuni de prelucrare, dacă este necesar și adecvat:

(2)   În cazul în care FRA restricționează, integral sau parțial, aplicarea dreptului de a rectifica și de a șterge datele și a dreptului de a restricționa prelucrarea datelor astfel cum se menționează la articolul 18, articolul 19 alineatul (1) și articolul 20 alineatul (1) din Regulamentul (UE) 2018/1725, agenția ia măsurile prevăzute la articolul 6 alineatul (2) din prezenta decizie și consemnează înregistrarea în conformitate cu articolul 6 alineatul (3) din respectiva decizie.

(1)   În cazuri justificate corespunzător și în condițiile stabilite în prezenta decizie, dreptul la informare cu privire la încălcarea securității datelor cu caracter personal poate fi restricționat de operator în contextul următoarelor operațiuni de prelucrare, dacă este necesar și adecvat:

(2)   În cazuri justificate și în condițiile stabilite în prezenta decizie, dreptul la confidențialitatea comunicațiilor electronice poate fi restricționat de operator în contextul următoarelor operațiuni de prelucrare, dacă este necesar și adecvat:

(3)   În cazul în care FRA restricționează informarea persoanei vizate cu privire la încălcarea securității datelor cu caracter personal sau confidențialitatea comunicațiilor electronice, așa cum se menționează la articolele 35 și 36 din Regulamentul (UE) 2018/1725, agenția consemnează și înregistrează motivele restricționării în conformitate cu articolul 5 alineatul (3) din prezenta decizie. Se aplică articolul 5 alineatul (4) din prezenta decizie.