1.   Ta sklep določa pravila v zvezi s pogoji, pod katerimi sme agencija v okviru svojih postopkov iz odstavka 2 na podlagi člena 25 Uredbe (EU) 2018/1725 omejiti uporabo pravic iz členov 14 do 21, 35 in 36 ter člena 4 navedene uredbe.

2.   V okviru upravnega delovanja agencije se ta sklep uporablja pri postopkih obdelave osebnih podatkov, ki jih izvaja agencija za namene: opravljanja upravnih preiskav, disciplinskih postopkov, predhodnih dejavnosti v zvezi s primeri morebitnih nepravilnosti, ki se prijavijo uradu OLAF, obdelovanja postopkov za prijavljanje nepravilnosti, (uradnih in neuradnih) postopkov v zvezi z nadlegovanjem, obdelovanja notranjih in zunanjih pritožb, izvajanja notranjih revizij, preiskav, ki jih izvaja pooblaščena oseba za varstvo podatkov v skladu s členom 45(2) Uredbe (EU) 2018/1725, in preiskav v zvezi z (informacijskotehnološko) varnostjo, ki se izvajajo interno ali z zunanjo pomočjo (npr. CERT-EU), ter pri obravnavi zahtev za dostop do svoje zdravstvene kartoteke.

3.   Kategorije zadevnih podatkov so zanesljivi podatki („objektivni“ podatki, kot so identifikacijski podatki, kontaktni podatki, poklicni podatki, upravni podatki, podatki, ki so bili prejeti iz posebnih virov, elektronska komunikacija in podatki o prometu) in/ali nezanesljivi podatki („subjektivni“ podatki, povezani s primerom, kot so utemeljitev, vedenjski podatki, ocene, podatki o učinkovitosti in ravnanju ter podatki, povezani s predmetom urejanja postopka ali dejavnosti).

4.   Če agencija opravlja svoje naloge v zvezi s pravicami posameznika, na katerega se nanašajo osebni podatki, v skladu z Uredbo (EU) 2018/1725, prouči, ali velja katera od izjem iz navedene uredbe.

5.   Ob upoštevanju pogojev iz tega sklepa lahko omejitve veljajo za naslednje pravice: zagotavljanje informacij posameznikom, na katere se nanašajo osebni podatki, pravica do dostopa, popravka, izbrisa, omejitve obdelave, obveščanja posameznika, na katerega se nanašajo osebni podatki, o kršitvi varstva osebnih podatkov ali zaupnosti obveščanja.

1.   Zaščitni ukrepi, ki so vzpostavljeni za preprečevanje kršitev varstva osebnih podatkov, uhajanj ali nedovoljenega razkritja, so naslednji:

2.   Upravljavec postopkov obdelave je agencija, ki jo zastopa izvršni direktor, ki lahko funkcijo upravljavca prenese. Osebe, na katere se podatki nanašajo, so obveščene o pooblaščenem upravljavcu prek obvestil ali evidenc o varstvu podatkov, objavljenih na spletnem mestu agencije in razposlanih znotraj nje.

3.   Osebni podatki iz člena 1(3) se hranijo le toliko časa, kot je potrebno in primerno za namene, za katere se podatki obdelujejo. V nobenem primeru ne sme biti daljše od obdobja hrambe, določenega v obvestilih o varstvu podatkov, izjavah o varstvu podatkov ali evidencah iz člena 5(1).

4.   Če agencija meni, da mora uporabiti omejitev, se pretehta tveganje za pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, zlasti v primerjavi s tveganjem za pravice in svoboščine drugih posameznikov, na katere se nanašajo osebni podatki, in tveganjem preklica učinka preiskav ali postopkov agencije, na primer z uničenjem dokazov. Tveganja za pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, so med drugim povezana predvsem s tveganjem izgube ugleda ter tveganjem za pravico do obrambe in pravico do izjave.

1.   Agencija lahko kakršno koli omejitev uporabi samo za zaščito:

2.   Agencija lahko kot posebno uporabo namenov iz odstavka 1 uporablja omejitve v zvezi z osebnimi podatki, ki se izmenjujejo s službami Komisije ali drugimi institucijami Unije, organi, agencijami in uradi, pristojnimi organi držav članic ali tretjih držav ali mednarodnih organizacij, v naslednjih okoliščinah:

3.   Vse omejitve so potrebne in sorazmerne, pri čemer se upoštevajo tveganja za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, ter se spoštuje bistvo temeljnih pravic in svoboščin v demokratični družbi.

4.   Če se prouči uporaba omejitve, se na podlagi sedanjih pravil opravi preskus nujnosti in sorazmernosti. Dokumentira se z notranjo oceno za namene odgovornosti za vsak primer posebej.

5.   Omejitve se odpravijo takoj, ko okoliščine, ki jih upravičujejo, ne veljajo več. To velja zlasti, kadar se šteje, da izvajanje omejene pravice ne bi več izničilo učinka naložene omejitve ali škodljivo vplivalo na pravice ali svoboščine drugih posameznikov, na katere se nanašajo osebni podatki.

1.   Agencija svojo pooblaščeno osebo za varstvo podatkov nemudoma obvesti, kadar upravljavec omeji uporabo pravic posameznikov, na katere se nanašajo osebni podatki, ali omejitev razširi v skladu s tem sklepom. Upravljavec pooblaščeni osebi za varstvo podatkov zagotovi dostop do evidence, ki vsebuje oceno potrebnosti in sorazmernosti omejitve, ter dokumentira datum, ko pooblaščeno osebo za varstvo podatkov obvesti o evidenci.

2.   Pooblaščena oseba za varstvo podatkov lahko od upravljavca pisno zahteva, da pregleda uporabo omejitev. Upravljavec pisno obvesti pooblaščeno osebo za varstvo podatkov o rezultatu zahtevanega pregleda.

3.   Upravljavec obvesti pooblaščeno osebo za varstvo podatkov, ko je omejitev odpravljena.

1.   Upravljavec lahko v ustrezno utemeljenih primerih in pod pogoji, določenimi v tem sklepu, omeji pravico do informacij v okviru naslednjih postopkov obdelave:

Agencija v obvestila o varstvu podatkov, izjave o varstvu podatkov ali evidence v smislu člena 31 Uredbe (EU) 2018/1725, ki so objavljeni na njenem spletnem mestu in/ali razposlani znotraj agencije in z njimi posameznike, na katere se nanašajo osebni podatki, obvesti o njihovih pravicah v okviru določenega postopka, vključi informacije v zvezi z morebitno omejitvijo teh pravic. Informacije zajemajo navedbo pravic, ki se lahko omejijo, razloge in morebitno trajanje.

2.   Kadar je sorazmerno, agencija brez poseganja v določbe odstavka 3 o njihovih pravicah v zvezi s sedanjimi ali prihodnjimi omejitvami brez nepotrebnega odlašanja in v pisni obliki posamično obvesti tudi posameznike, na katere se nanašajo osebni podatki, ki se v posebnem postopku obdelave obravnavajo kot osebe, ki jih zadeva poseben postopek obdelave.

3.   Če agencija v celoti ali delno omeji zagotavljanje informacij posameznikom, na katere se nanašajo osebni podatki, iz odstavka 2, navede razloge za omejitev, pravno podlago v skladu s členom 3 tega sklepa, vključno z oceno nujnosti in sorazmernosti omejitve.

Evidenca in po potrebi dokumenti, ki vsebujejo temeljna dejstva in pravne elemente, se registrirajo. Na zahtevo so na voljo evropskemu nadzorniku za varstvo podatkov.

4.   Omejitev iz odstavka 3 se uporablja, dokler obstajajo razlogi, ki jo upravičujejo.

Kadar razlogi za omejitev ne veljajo več, agencija posamezniku, na katerega se nanašajo osebni podatki, posreduje informacije o glavnih razlogih, na katerih temelji uporaba omejitve. Hkrati agencija posameznika, na katerega se nanašajo osebni podatki, obvesti o tem, da ima pravico kadar koli vložiti pritožbo pri evropskem nadzorniku za varstvo podatkov kadar koli ali da lahko uveljavlja pravno sredstvo na Sodišču Evropske unije.

Agencija pregleda uporabo omejitve vsakih šest mesecev od njenega sprejetja in ob zaključku zadevne poizvedbe, postopka ali preiskave. Upravljavec podatkov mora vsakih šest mesecev oceniti potrebo po ohranitvi vsakršne omejitve.

1.   Upravljavec lahko v ustrezno utemeljenih primerih in pod pogoji, določenimi v tem sklepu, omeji pravico do dostopa v okviru naslednjih postopkov obdelave, kadar je to potrebno in sorazmerno:

Če posamezniki, na katere se nanašajo osebni podatki, zahtevajo dostop do svojih osebnih podatkov, ki se obdelujejo v okviru enega ali več posebnih primerov ali posebnega postopka obdelave, agencija v skladu s členom 17 Uredbe (EU) 2018/1725 svojo oceno zahteve omeji le na te osebne podatke.

2.   Če agencija v celoti ali delno omeji pravico do dostopa iz člena 17 Uredbe (EU) 2018/1725, sprejme naslednje ukrepe:

Omejitve, uvedene v zvezi z dostopom do svoje zdravstvene kartoteke, zadevajo le zahteve za neposredni dostop v zvezi z osebnimi zdravstvenimi podatki psihološke ali psihiatrične narave, kadar obstaja verjetnost, da bi dostop do teh podatkov pomenil tveganje za zdravje posameznika, na katerega se nanašajo osebni podatki. Omejitev mora biti sorazmerna s tem, kar je nujno potrebno za zaščito posameznika, na katerega se nanašajo osebni podatki. Dostop do teh informacij se omogoči zdravniku, ki ga izbere posameznik, na katerega se nanašajo osebni podatki.

Posredovanje informacij iz točke (a) se lahko odloži, opusti ali zavrne, če bi se s tem izničil učinek omejitve v skladu s členom 25(8) Uredbe (EU) 2018/1725.

Agencija pregleda uporabo omejitve vsakih šest mesecev od njenega sprejetja in ob zaključku zadevne preiskave. Upravljavec podatkov mora vsakih šest mesecev oceniti potrebo po ohranitvi vsakršne omejitve.

3.   Evidenca in po potrebi dokumenti, ki vsebujejo temeljna dejstva in pravne elemente, se registrirajo. Na zahtevo so na voljo evropskemu nadzorniku za varstvo podatkov.

1.   Upravljavec lahko v ustrezno utemeljenih primerih in pod pogoji, določenimi v tem sklepu, omeji pravico do popravka, izbrisa in omejitve v okviru naslednjih postopkov obdelave, kadar je to potrebno in ustrezno:

2.   Če agencija v celoti ali delno omeji uporabo pravice do popravka, izbrisa in omejitve obdelave iz členov 18, 19(1) in 20(1) Uredbe (EU) 2018/1725, sprejme ukrepe iz člena 6(2) tega sklepa in registrira evidenco v skladu s členom 6(3) tega sklepa.

1.   Upravljavec lahko v ustrezno utemeljenih primerih in pod pogoji, določenimi v tem sklepu, omeji pravico do obveščanja o kršitvi varnosti osebnih podatkov v okviru naslednjih postopkov obdelave, kadar je to potrebno in ustrezno:

2.   Upravljavec lahko v ustrezno utemeljenih primerih in pod pogoji, določenimi v tem sklepu, omeji pravico do zaupnosti elektronskih komunikacij v okviru naslednjih postopkov obdelave, kadar je to potrebno in ustrezno:

3.   Če agencija omeji obveščanje posameznika, na katerega se nanašajo osebni podatki, o kršitvi varnosti osebnih podatkov, ali zaupnost elektronskih komunikacij iz členov 35 in 36 Uredbe (EU) 2018/1725, v skladu s členom 5(3) tega sklepa registrira in evidentira razloge za omejitev. Uporablja se člen 5(4) tega sklepa.