1.   Ta sklep določa pravila o pogojih, pod katerimi lahko urad na podlagi člena 25 Uredbe (EU) 2018/1725 v okviru svojih postopkov obdelave iz odstavka 2 omeji uporabo pravic iz členov 4, 14 do 21, 35 in 36 navedene uredbe.

2.   Ta sklep se v okviru upravnega delovanja urada uporablja za obdelavo osebnih podatkov, ki jo izvaja urad za namene: upravnih preiskav, disciplinskih postopkov, postopkov za prijavo nepravilnosti, (formalnih in neformalnih) postopkov za obravnavanje nadlegovanja, obdelovanja pritožb, obdelovanja zdravstvenih podatkov in kartotek, opravljanja notranjih revizij, preiskav, ki jih izvaja pooblaščena oseba za varstvo podatkov v skladu s členom 45(2) Uredbe (EU) 2018/1725, ter preiskav v zvezi z varnostjo (informacijske tehnologije), ki se izvajajo notranje ali z zunanjim sodelovanjem (npr. CERT-EU).

Ta sklep se uporablja za postopke obdelave, ki jih uvede in izvede urad, vključno pred začetkom postopkov, navedenih zgoraj, med izvajanjem teh postopkov in med spremljanjem nadaljnjih ukrepov v zvezi z izidom teh postopkov. Uporablja se tudi za pomoč in sodelovanje, ki ju urad zagotavlja uradu OLAF, pristojnim organom držav članic in/ali drugim pristojnim organom zunaj svojih upravnih postopkov.

3.   Kategorije zadevnih podatkov so zanesljivi podatki („objektivni“ podatki, kot so identifikacijski podatki, kontaktni podatki, strokovni podatki, upravni podatki, podatki, ki so bili prejeti iz posebnih virov, elektronski komunikacijski in prometni podatki) in/ali nezanesljivi podatki („subjektivni“ podatki, povezani s primerom, kot so utemeljitev, vedenjski podatki, ocene, podatki o učinkovitosti in vodenju ter podatki, povezani s predmetom urejanja postopka ali dejavnosti).

4.   Če urad opravlja svoje naloge v zvezi s pravicami posameznikov, na katere se nanašajo osebni podatki, v skladu z Uredbo (EU) 2018/1725, prouči, ali velja katera od izjem iz navedene uredbe.

5.   Ob upoštevanju pogojev iz tega sklepa lahko omejitve veljajo za naslednje pravice: zagotavljanje informacij posameznikom, na katere se nanašajo osebni podatki, pravica do dostopa, popravka, izbrisa, omejitve obdelave, obveščanja posameznika, na katerega se nanašajo osebni podatki, o kršitvi varstva osebnih podatkov ali zaupnosti elektronskega obveščanja.

1.   Urad sprejme naslednje zaščitne ukrepe za preprečitev zlorabe ali nezakonitega dostopa ali prenosa:

2.   Upravljavec postopkov obdelave je urad, ki ga zastopa izvršni direktor, ki lahko funkcijo upravljavca prenese. Posamezniki, na katere se nanašajo osebni podatki, so obveščeni o pooblaščenem upravljavcu prek obvestil ali evidenc o varstvu podatkov, objavljenih na spletišču in/ali intranetu urada.

3.   Obdobje hrambe osebnih podatkov iz člena 1(3) ni daljše, kot je določeno v obvestilih o varstvu podatkov, izjavah o varstvu osebnih podatkov ali evidencah iz člena 3(1). Po koncu obdobja hrambe se informacije v zvezi s primeri, vključno z osebnimi podatki, izbrišejo, anonimizirajo ali prenesejo v zgodovinske arhive.

4.   Če urad proučuje uporabo omejitve, pretehta tveganje za pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, zlasti v primerjavi s tveganjem za pravice in svoboščine drugih posameznikov, na katere se nanašajo osebni podatki, in tveganjem za preprečitev namena postopka obdelave. Tveganja za pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, so povezana predvsem s tveganjem izgube ugleda ter tveganjem za pravico do obrambe in pravico do izjave, vendar nanje niso omejena.

1.   Urad objavi na svojem spletišču in/ali intranetu obvestila o varstvu podatkov, izjave o varstvu osebnih podatkov ali evidence v smislu člena 31 Uredbe (EU) 2018/1725, s katerimi posameznike, na katere se nanašajo osebni podatki, obvesti o svojih dejavnostih, ki vključujejo obdelavo njihovih osebnih podatkov, ter o njihovih pravicah v okviru določenega postopka, vključno z informacijami v zvezi z morebitno omejitvijo teh pravic. Informacije zajemajo navedbo pravic, ki se lahko omejijo, razloge in morebitno trajanje.

2.   V skladu z določbami odstavka 3 urad po potrebi zagotovi, da so posamezniki, na katere se nanašajo osebni podatki, obveščeni posamično v ustrezni obliki. Urad jih lahko posamično obvesti tudi o njihovih pravicah v zvezi s sedanjimi ali prihodnjimi omejitvami.

3.   Vsaka omejitev, ki jo uvede urad, se uporablja samo za zaščito namenov iz člena 25(1) Uredbe (EU) 2018/1725:

4.   Zlasti kadar urad sprejme omejitve v okviru:

5.   Vse omejitve so potrebne in sorazmerne, pri čemer se upoštevajo predvsem tveganja za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, ter se spoštuje bistvo temeljnih pravic in svoboščin v demokratični družbi.

Če se prouči uporaba omejitve, se na podlagi sedanjih pravil opravi preskus potrebnosti in sorazmernosti. Dokumentira se z notranjo oceno za namene odgovornosti za vsak primer posebej. Preskus se opravi tudi v okviru pregleda uporabe omejitve.

Omejitve se odpravijo takoj, ko okoliščine, ki jih upravičujejo, ne veljajo več. Zlasti kadar se šteje, da izvajanje omejene pravice ne bi več izničilo učinka naložene omejitve ali škodljivo vplivalo na pravice ali svoboščine drugih posameznikov, na katere se nanašajo osebni podatki.

6.   Poleg tega se od urada lahko zahteva, da osebne podatke posameznikov, na katere se nanašajo, izmenja s službami Komisije ali drugimi institucijami, organi, agencijami in uradi EU, pristojnimi organi držav članic ali drugimi pristojnimi organi iz tretjih držav ali mednarodnimi organizacijami, vključno:

Če da pobudo za izmenjavo osebnih podatkov drug organ, urad ne uporablja omejitev, informacije v zvezi s primerom, vključno z osebnimi podatki, pa po prenosu zahtevanih podatkov navedenemu organu izbriše ali anonimizira.

7.   Evidenca omejitev in po potrebi dokumenti, ki vsebujejo temeljna dejstva in pravne elemente, se na zahtevo dajo na voljo Evropskemu nadzorniku za varstvo podatkov.

1.   Urad svojo pooblaščeno osebo za varstvo podatkov nemudoma obvesti, kadar upravljavec omeji uporabo pravic posameznikov, na katere se nanašajo osebni podatki, odpravi omejitev ali revidira obdobje omejitve v skladu s tem sklepom. Upravljavec pooblaščeni osebi za varstvo podatkov zagotovi dostop do evidence, ki vsebuje oceno potrebnosti in sorazmernosti omejitve, ter dokumentira datum, ko pooblaščeno osebo za varstvo podatkov obvesti o evidenci.

2.   Pooblaščena oseba za varstvo podatkov lahko od upravljavca pisno zahteva, naj pregleda uporabo omejitev. Upravljavec pooblaščeno osebo za varstvo podatkov pisno obvesti o rezultatu zahtevanega pregleda.

3.   Vključitev pooblaščene osebe za varstvo podatkov v postopek omejitev, vključno z izmenjavo informacij, se dokumentira v ustrezni obliki.

1.   V ustrezno utemeljenih primerih in pod pogoji, določenimi v tem sklepu, lahko upravljavec v okviru postopkov obdelave iz člena 1(2) tega sklepa omeji predložitev informacij, kadar je to potrebno in sorazmerno. Predložitev informacij se lahko odloži, opusti ali zavrne, zlasti če bi se s tem izničil učinek obdelave.

2.   Če urad v celoti ali delno omeji predložitev informacij iz odstavka 1, v notranji oceni navede razloge za omejitev, vključno z oceno potrebnosti in sorazmernosti omejitve ter njenega trajanja.

3.   Omejitev iz odstavka 1 se uporablja, dokler veljajo razlogi, ki jo upravičujejo.

Ko razlogi za omejitev ne veljajo več, urad posamezniku, na katerega se nanašajo osebni podatki, predloži informacije o glavnih razlogih za omejitev. Urad posameznika, na katerega se nanašajo osebni podatki, hkrati obvesti o možnosti vložitve pritožbe pri Evropskem nadzorniku za varstvo podatkov ali uveljavljanja pravnega sredstva na Sodišču Evropske unije.

4.   Urad pregleda uporabo omejitve vsaj enkrat letno in ob zaključku zadevnega postopka. Nato upravljavec enkrat letno preveri potrebo po ohranitvi kakršne koli omejitve.

1.   V ustrezno utemeljenih primerih in pod pogoji, določenimi v tem sklepu, lahko upravljavec v okviru postopkov obdelave iz člena 1(2) tega sklepa omeji pravico do dostopa, popravka, izbrisa in omejitve obdelave, kadar je to potrebno in sorazmerno. Določbe tega člena 6 se ne uporabljajo za pravico do dostopa do zdravstvenih podatkov in/ali kartotek, za katere člen 7 spodaj izrecno določa posebna pravila.

2.   Če posamezniki, na katere se nanašajo osebni podatki, zahtevajo izvajanje pravice do dostopa, popravka, izbrisa in omejitve obdelave v zvezi s svojimi osebnimi podatki, ki se obdelujejo v okviru enega ali več posebnih primerov ali posebnega postopka obdelave, urad svojo oceno zahteve omeji le na take osebne podatke.

3.   Če urad v celoti ali delno omeji pravico do dostopa, popravka, izbrisa in omejitve obdelave, sprejme naslednje ukrepe:

Predložitev informacij iz točke (a) se lahko v skladu s členom 25(8) Uredbe (EU) 2018/1725 odloži, opusti ali zavrne, če bi se s tem izničil učinek omejitve.

4.   Urad pregleda uporabo omejitve pravic posameznikov, na katere se nanašajo osebni podatki, vsaj enkrat letno in ob zaključku zadevnega postopka. Nato upravljavec potrebo po ohranitvi omejitve pregleda na zahtevo posameznikov, na katere se nanašajo osebni podatki.

1.   Za omejitev pravice posameznikov, na katere se nanašajo osebni podatki, do dostopa do svojih zdravstvenih podatkov in/ali kartotek se zahtevajo posebne določbe iz tega člena.

2.   V skladu s spodnjimi odstavki tega člena urad lahko omeji pravico posameznika, na katerega se nanašajo osebni podatki, do neposrednega dostopa do osebnih zdravstvenih podatkov in/ali kartotek s področja psihologije ali psihiatrije v zvezi z njim, ki jih obdeluje urad, kadar je verjetno, da bo dostop do takih podatkov pomenil tveganje za zdravje posameznika, na katerega se nanašajo osebni podatki. Ta omejitev je sorazmerna obsegu, nujno potrebnemu za zaščito posameznika, na katerega se nanašajo osebni podatki.

3.   Dostop do informacij iz odstavka 2 ima zdravnik po izbiri posameznika, na katerega se nanašajo osebni podatki.

4.   V takih primerih zdravstvena služba posamezniku, na katerega se nanašajo osebni podatki, na zahtevo povrne tisti del stroškov zdravniškega pregleda pri zdravniku, ki ima dostop do zdravstvenih podatkov in/ali kartotek, ki niso bili povrnjeni iz skupnega sistema zdravstvenega zavarovanja (SSZZ). Povračilo ne presega razlike med zgornjo mejo, določeno v splošnih izvedbenih določbah za povračilo zdravstvenih stroškov (5), in zneskom, ki se posamezniku, na katerega se nanašajo osebni podatki, v skladu z navedenimi pravili povrne iz sistema SSZZ.

5.   Za tako povračilo zdravstvene službe velja pogoj, da za iste podatke in/ali kartoteke dostop še ni bil odobren.

6.   V skladu s spodnjimi odstavki tega člena lahko urad za vsak primer posebej omeji pravico posameznika, na katerega se nanašajo osebni podatki, do dostopa do svojih osebnih zdravstvenih podatkov in/ali kartotek, ki jih ima urad v posesti, zlasti če bi izvajanje navedene pravice škodljivo vplivalo na pravice ali svoboščine posameznika, na katerega se nanašajo osebni podatki, ali drugih posameznikov, na katere se nanašajo osebni podatki.

7.   Če posamezniki, na katere se nanašajo osebni podatki, zahtevajo izvajanje pravice do dostopa do svojih osebnih podatkov, ki se obdelujejo v okviru enega ali več posebnih primerov, ali do določenega postopka obdelave, urad svojo oceno zahteve omeji le na take osebne podatke.

8.   Če urad v celoti ali delno omeji pravico posameznikov, na katere se nanašajo osebni podatki, do dostopa do osebnih zdravstvenih podatkov in/ali kartotek, sprejme naslednje ukrepe:

Predložitev informacij iz točke (a) se lahko v skladu s členom 25(8) Uredbe (EU) 2018/1725 odloži, opusti ali zavrne, če bi se s tem izničil učinek omejitve.

9.   Omejitve iz zgornjih odstavkov 2 in 6 se uporabljajo, dokler veljajo razlogi, ki jih upravičujejo. Ko razlogi za omejitev ne veljajo več, upravljavec pregleda potrebo po ohranitvi omejitve na zahtevo posameznikov, na katere se nanašajo osebni podatki.

1.   V ustrezno utemeljenih primerih in pod pogoji, določenimi v tem sklepu, lahko upravljavec v okviru postopkov obdelave iz člena 1(2) tega sklepa omeji pravico do obveščanja o kršitvi varnosti osebnih podatkov, kadar je to potrebno in ustrezno. Vendar pa se ta pravica ne omeji v okviru postopkov za obravnavanje nadlegovanja.

2.   V ustrezno utemeljenih primerih in pod pogoji, določenimi v tem sklepu, lahko upravljavec v okviru postopkov obdelave iz člena 1(2) tega sklepa omeji pravico do zaupnosti elektronskih komunikacij, kadar je to potrebno in ustrezno.

3.   Če urad omeji obveščanje posameznika, na katerega se nanašajo osebni podatki, o kršitvi varnosti osebnih podatkov ali zaupnost elektronskih komunikacij iz členov 35 in 36 Uredbe (EU) 2018/1725, se uporabi člen 5(2), (3) in (4) tega sklepa.