1.   Ta sklep določa pravila v zvezi s pogoji, pod katerimi sme agencija EDA v okviru svojih postopkov iz odstavka 2 omejiti uporabo pravic iz členov 14 do 21, 35 in 36 ter člena 4 navedene uredbe, na podlagi člena 25 Uredbe (EU) 2018/1725.

2.   V okviru upravnega delovanja agencije EDA se ta sklep uporablja za postopke obdelave osebnih podatkov, ki jih izvaja agencija za namene: opravljanja upravnih poizvedb, disciplinskih postopkov, predhodnih dejavnosti v zvezi s primeri morebitnih nepravilnosti, ki se prijavijo uradu OLAF, obdelovanja postopkov za prijavljanje nepravilnosti, postopkov v zvezi z nadlegovanjem, obdelovanja notranjih in zunanjih pritožb, preiskav, ki jih izvaja pooblaščena oseba za varstvo podatkov v skladu s členom 45(2) Uredbe (EU) 2018/1725, in preiskav v zvezi z varnostjo, ki se izvajajo interno ali s sodelovanjem zunanjih strani.

3.   Kategorije zadevnih podatkov so zanesljivi podatki („objektivni“ podatki, kot so identifikacijski podatki, kontaktni podatki, podatki o poklicni dejavnosti, upravni podatki, podatki, prejeti iz posebnih virov, elektronska komunikacija in podatki o prometu) in/ali nezanesljivi podatki („subjektivni“ podatki, povezani s primerom, kot so utemeljitev, vedenjski podatki, ocene, podatki o učinkovitosti in ravnanju ter podatki, povezani s predmetom postopka ali dejavnosti oziroma pridobljeni v zvezi z njim).

4.   Kadar agencija EDA opravlja svoje naloge v zvezi s pravicami posameznika, na katerega se nanašajo osebni podatki, v skladu z Uredbo (EU) 2018/1725, prouči, ali velja katera od izjem iz navedene uredbe.

5.   Ob upoštevanju pogojev iz tega sklepa lahko omejitve veljajo za naslednje pravice: zagotavljanje informacij posameznikom, na katere se nanašajo osebni podatki, pravico do dostopa, popravka, izbrisa, omejitve obdelave, obveščanja posameznika, na katerega se nanašajo osebni podatki, o kršitvi varstva osebnih podatkov ali zaupnosti obveščanja.

1.   Zaščitni ukrepi za preprečitev zlorabe ali nezakonitega dostopa ali prenosa so:

2.   Obdobje hrambe osebnih podatkov iz člena 1(3) ni daljše, kot je potrebno in ustrezno za namene, za katere se podatki obdelujejo. V nobenem primeru ne sme biti daljše od obdobja hrambe, določenega v obvestilih o varstvu podatkov ali evidencah iz člena 5(1).

3.   Če agencija EDA meni, da mora uporabiti omejitev, se pretehta tveganje za pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, zlasti v primerjavi s tveganjem za pravice in svoboščine drugih posameznikov, na katere se nanašajo osebni podatki, in tveganjem preklica učinka preiskav ali postopkov agencije, na primer z uničenjem dokazov. Tveganja za pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, so med drugim povezana predvsem s tveganjem izgube ugleda ter tveganjem za pravico do obrambe in pravico do izjave.

1.   Upravljavec postopkov obdelave je agencija EDA, ki jo zastopa izvršni direktor, ki lahko funkcijo upravljavca prenese.

2.   Posamezniki, na katere se nanašajo osebni podatki, so o pooblaščenem upravljavcu obveščeni prek evidence o varstvu podatkov, objavljene na spletišču agencije EDA.

1.   Agencija EDA v evidence o varstvu podatkov, s katerimi obvešča posameznike, na katere se nanašajo podatki, o njihovih pravicah v okviru določenega postopka v smislu člena 31 Uredbe (EU) 2018/1725 in ki so objavljene na njenem spletišču, vključi informacije v zvezi z morebitno omejitvijo teh pravic. Informacije zajemajo navedbo pravic, ki se lahko omejijo, razloge in morebitno trajanje.

2.   Agencija EDA lahko omejitve uporabi le za zaščito:

3.   Agencija EDA lahko kot posebno uporabo namenov iz odstavka 1 zgoraj uporablja omejitve v zvezi z osebnimi podatki, ki se izmenjujejo s službami Komisije ali drugimi institucijami, organi, agencijami in uradi Unije, pristojnimi organi držav članic ali tretjih držav ali mednarodnih organizacij, v naslednjih okoliščinah:

Pred uporabo omejitev v okoliščinah iz točk (a) in (b) se agencija EDA posvetuje z ustreznimi službami Komisije, institucijami, organi, agencijami in uradi Unije ali pristojnimi organi držav članic, razen če jasno ugotovi, da je uporaba omejitve določena z enim od aktov iz navedenih točk.

4.   Vse omejitve so potrebne in sorazmerne, pri čemer se upoštevajo tveganja za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, ter spoštuje bistvo temeljnih pravic in svoboščin v demokratični družbi.

5.   Če se prouči uporaba omejitve, se na podlagi sedanjih pravil opravi preskus nujnosti in sorazmernosti. Dokumentira se z obvestilom o notranji oceni za namene odgovornosti za vsak primer posebej.

6.   Agencija EDA pregleda uporabo omejitve vsakih šest mesecev od njenega sprejetja in ob zaključku zadevne poizvedbe, postopka ali preiskave. Nato upravljavec vsakih šest mesecev spremlja potrebo po ohranitvi kakršne koli omejitve. Evidenca in po potrebi dokumenti, ki vsebujejo temeljna dejstva in pravne elemente, se evidentirajo. Na zahtevo so na voljo Evropskemu nadzorniku za varstvo podatkov.

7.   Omejitve se odpravijo takoj, ko okoliščine, ki jih upravičujejo, ne veljajo več. To velja zlasti, kadar se šteje, da izvajanje omejene pravice ne bi več izničilo učinka naložene omejitve ali škodljivo vplivalo na pravice ali svoboščine drugih posameznikov, na katere se nanašajo osebni podatki.

8.   Kadar je sorazmerno, agencija EDA brez poseganja v določbe odstavka 10 o njihovih pravicah v zvezi s sedanjimi ali prihodnjimi omejitvami brez nepotrebnega odlašanja in v pisni obliki posamično obvesti tudi vse posameznike, na katere se nanašajo osebni podatki, ki se v posebnem postopku obdelave obravnavajo kot osebe, ki jih zadeva določen postopek obdelave.

9.   Če agencija EDA v celoti ali delno omeji zagotavljanje informacij posameznikom, na katere se nanašajo osebni podatki, iz odstavka 9, navede razloge za omejitev in pravno podlago v skladu s tem členom, vključno z oceno nujnosti in sorazmernosti omejitve. Evidenca in po potrebi dokumenti, ki vsebujejo temeljna dejstva in pravne elemente, se evidentirajo. Na zahtevo so na voljo Evropskemu nadzorniku za varstvo podatkov.

10.   Omejitev iz odstavka 10 se uporablja, dokler obstajajo razlogi, ki jo upravičujejo.

11.   Kadar razlogi za omejitev ne obstajajo več, agencija EDA posamezniku, na katerega se nanašajo osebni podatki, zagotovi informacije o glavnih razlogih, na katerih temelji uporaba omejitve. Hkrati agencija posameznika, na katerega se nanašajo osebni podatki, obvesti o tem, da lahko kadar koli vloži pritožbo pri Evropskem nadzorniku za varstvo podatkov ali da lahko uveljavlja pravno sredstvo pri Sodišču Evropske unije.

1.   Agencija EDA svojo pooblaščeno osebo za varstvo podatkov nemudoma obvesti vsakič, kadar upravljavec omeji uveljavljanje pravic posameznikov, na katere se nanašajo osebni podatki, ali omejitev podaljša v skladu s tem sklepom. Upravljavec pooblaščeni osebi za varstvo podatkov zagotovi dostop do evidence, ki vsebuje oceno nujnosti in sorazmernosti omejitve, ter dokumentira datum, ko pooblaščeno osebo za varstvo podatkov obvesti o evidenci.

2.   Pooblaščena oseba za varstvo podatkov lahko od upravljavca pisno zahteva, da pregleda uporabo omejitev. Upravljavec pisno obvesti pooblaščeno osebo za varstvo podatkov o rezultatu zahtevanega pregleda.

3.   Upravljavec obvesti pooblaščeno osebo za varstvo podatkov, ko je omejitev odpravljena.

4.   Sodelovanje pooblaščene osebe za varstvo podatkov v celotni postopek se ustrezno dokumentira.

1.   V ustrezno utemeljenih primerih in pod pogoji, določenimi v tem sklepu, lahko upravljavec omeji pravico do dostopa v okviru naslednjih postopkov obdelave, kadar je to potrebno in sorazmerno:

2.   Če posamezniki, na katere se nanašajo osebni podatki, zahtevajo dostop do svojih osebnih podatkov, ki se obdelujejo v okviru enega ali več posameznih primerov ali posameznega dejanja obdelave, agencija EDA v skladu s členom 17 Uredbe (EU) 2018/1725 svojo oceno zahteve omeji le na take osebne podatke.

3.   Če agencija EDA v celoti ali delno omeji pravico do dostopa iz člena 17 Uredbe (EU) 2018/1725, sprejme naslednje ukrepe:

Posredovanje informacij iz točke (a) se lahko odloži, opusti ali zavrne, če bi se s tem izničil učinek omejitve v skladu s členom 25(8) Uredbe (EU) 2018/1725.

1.   Upravljavec lahko v ustrezno utemeljenih primerih in pod pogoji, določenimi v tem sklepu, omeji pravico do popravka, izbrisa in omejitve v okviru naslednjih postopkov obdelave, kadar je to potrebno in ustrezno:

2.   Če agencija EDA v celoti ali delno omeji uporabo pravice do popravka, izbrisa in omejitve obdelave iz členov 18, 19(1) in 20(1) Uredbe (EU) 2018/1725, sprejme ukrepe iz člena 6(2) tega sklepa in zabeleži evidenco v skladu s členom 6(3) tega sklepa.

1.   Upravljavec lahko v ustrezno utemeljenih primerih in pod pogoji, določenimi v tem sklepu, omeji pravico do obveščanja o kršitvi varnosti osebnih podatkov v okviru naslednjih postopkov obdelave, kadar je to potrebno in ustrezno:

2.   Upravljavec lahko v ustrezno utemeljenih primerih in pod pogoji, določenimi v tem sklepu, omeji pravico do zaupnosti elektronskih komunikacij v okviru naslednjih postopkov obdelave, kadar je to potrebno in ustrezno:

3.   Če agencija EDA omeji obveščanje posameznika, na katerega se nanašajo osebni podatki, o kršitvi varnosti osebnih podatkov ali zaupnost elektronskih komunikacij iz členov 35 in 36 Uredbe (EU) 2018/1725, v skladu s členom 5(3) tega sklepa zabeleži in evidentira razloge za omejitev. Uporablja se člen 5(4) tega sklepa.