1.   Ta sklep določa pravila v zvezi s pogoji, pod katerimi lahko agencija v okviru svojih postopkov iz odstavka 2 omeji uveljavljanje pravic iz členov 14 do 21, 35 in 36, kot tudi člena 4, skladno s členom 25 Uredbe (EU) 2018/1725.

2.   V okviru delovanja agencije se ta sklep uporablja za dejanja obdelave osebnih podatkov, ki jih agencija izvaja za namene: opravljanja upravnih poizvedb, disciplinskih postopkov, predhodnih dejavnosti, povezanih s primeri morebitnih nepravilnosti, ki se prijavijo uradu OLAF, obdelovanja postopkov primerov žvižgaštva, (uradnih in neuradnih) postopkov v zvezi z nadlegovanjem, obdelovanja notranjih in zunanjih pritožb, izvajanja notranjih revizij, preiskav, ki jih izvaja pooblaščena oseba za varstvo podatkov v skladu s členom 45(2) Uredbe (EU) 2018/1725, in varnostnih (informacijsko-tehnoloških) preiskav, ki se izvajajo notranje ali z zunanjo pomočjo (npr. CERT-EU).

3.   Kategorije zadevnih podatkov so zanesljivi podatki („objektivni“ podatki, kot so identifikacijski podatki, kontaktni podatki, strokovni podatki, upravni podatki, podatki, ki so bili prejeti iz posebnih virov, elektronski komunikacijski in prometni podatki) in/ali nezanesljivi podatki („subjektivni“ podatki, povezani s primerom, kot so utemeljitev, vedenjski podatki, ocene, podatki o učinkovitosti in vodenju ter podatki, povezani s predmetom urejanja postopka ali dejavnosti).

4.   Če agencija opravlja svoje naloge v zvezi s pravicami posameznika, na katerega se nanašajo osebni podatki, v skladu z Uredbo (EU) 2018/1725, prouči, ali velja katera od izjem iz navedene uredbe.

5.   Ob upoštevanju pogojev iz tega sklepa lahko omejitve veljajo za naslednje pravice: zagotavljanje informacij posameznikom, na katere se nanašajo osebni podatki, pravica do dostopa, popravka, izbrisa, omejitve obdelave, obveščanja posameznika, na katerega se nanašajo osebni podatki, o kršitvi varstva osebnih podatkov ali zaupnosti elektronskega obveščanja. V skladu s členom 5(4) kadrovskih predpisov se preglednice iz Priloge k temu sklepu, ki določajo enakovrednost vrst in nazivov delovnih mest, ki se uporabljajo za uradnike agencije EMSA in začasne uslužbence, odobrijo.

1.   Upravljavec podatkov pri dejanjih obdelave je agencija, ki jo zastopa izvršni direktor, ki lahko delegira funkcijo upravljavca podatkov. Posamezniki, na katere se nanašajo osebni podatki, so o pooblaščenem upravljavcu podatkov obveščeni z obvestilom o varstvu podatkov ali dokumentom, objavljenim na spletišču in/ali intranetu agencije.

2.   Obdobje hrambe osebnih podatkov iz člena 1(3) ni daljše, kot je potrebno in ustrezno za namene, za katere se podatki obdelujejo. V nobenem primeru ne presega obdobja hrambe, določenega v obvestilih o varstvu podatkov, izjavah o varstvu osebnih podatkov ali evidencah iz člena 5(1).

3.   Če agencija meni, da mora uporabiti omejitev, se pretehta tveganje za pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, zlasti v primerjavi s tveganjem za pravice in svoboščine drugih posameznikov, na katere se nanašajo osebni podatki, in tveganjem preklica učinka preiskav ali postopkov agencije, na primer z uničenjem dokazov. Tveganja za pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, so med drugim povezana predvsem s tveganjem izgube ugleda ter tveganjem za pravico do obrambe in pravico do izjave.

1.   Agencija lahko uporabi omejitve samo za zaščito:

2.   Agencija lahko kot posebno uporabo namenov iz odstavka 1 uporablja omejitve v naslednjih okoliščinah:

Pred uporabo omejitev v okoliščinah iz točk (a) in (b) prvega pododstavka, se agencija posvetuje z ustreznimi službami Komisije, institucijami, organi, agencijami, uradi Unije ali s pristojnimi organi držav članic, razen če agencija jasno ugotovi, da je uporaba omejitve določena z enim od aktov iz navedenih točk.

3.   Vse omejitve so potrebne in sorazmerne, pri čemer se upoštevajo tveganja za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, ter se spoštuje bistvo temeljnih pravic in svoboščin v demokratični družbi.

4.   Če se prouči uporaba omejitve, se na podlagi sedanjih pravil vsakih 6 (šest) mesecev opravi preskus potrebnosti in sorazmernosti. Dokumentira se z notranjo oceno za namene odgovornosti za vsak primer posebej.

5.   Omejitve se odpravijo takoj, ko okoliščine, ki jih upravičujejo, ne veljajo več, zlasti kadar se šteje, da uveljavljanje omejene pravice ne bi več izničilo učinka naložene omejitve ali da bi škodljivo vplivalo na pravice ali svoboščine drugih posameznikov, na katere se nanašajo osebni podatki.

1.   Agencija brez nepotrebnega odlašanja pooblaščeno osebo za varstvo podatkov agencije obvesti vsakič, ko upravljavec podatkov omeji uveljavljanje pravic posameznikov, na katere se nanašajo osebni podatki, ali podaljša omejitve v skladu s tem sklepom. Upravljavec pooblaščeni osebi za varstvo podatkov zagotovi dostop do evidence, ki vsebuje oceno potrebnosti in sorazmernosti omejitve, ter dokumentira datum, ko pooblaščeno osebo za varstvo podatkov obvesti o evidenci.

2.   Pooblaščena oseba za varstvo podatkov lahko od upravljavca pisno zahteva pregled uporabe omejitev. Upravljavec pooblaščeno osebo za varstvo podatkov pisno obvesti o rezultatu zahtevanega pregleda.

3.   Upravljavec pooblaščeno osebo za varstvo podatkov obvesti, ko se omejitev odpravi.

1.   Upravljavec lahko v ustrezno utemeljenih primerih in pod pogoji, določenimi v tem sklepu, omeji pravico do informacij v okviru naslednjih dejanj obdelave:

Agencija v obvestila o varstvu podatkov, izjave o varstvu podatkov ali evidence v smislu člena 31 Uredbe (EU) 2018/1725, ki so objavljene na njenem spletišču in/ali intranetu, kjer obvešča posameznike, na katere se nanašajo osebni podatki, o njihovih pravicah v okviru danega postopka, vključi informacije v zvezi z morebitnimi omejitvami teh pravic. Informacije vključujejo navedbo pravic, ki se lahko omejijo, razloge in morebitno trajanje.

2.   Brez poseganja v določbe odstavka 3 agencija prav tako, kjer je to sorazmerno, brez nepotrebnega odlašanja in v pisni obliki na individualni osnovi obvesti vse posameznike, na katere se nanašajo osebni podatki in imajo pomisleke o določenih dejanj obdelave, o njihovih pravicah glede trenutnih in prihodnjih omejitev.

3.   Kadar agencija bodisi delno bodisi v celoti omeji posredovanje informacij posameznikom iz odstavka 2, na katere se nanašajo osebni podatki, zabeleži razloge za omejitev, pravno podlago v skladu s členom 3 tega sklepa ter oceno potrebe in sorazmernosti omejitve.

Evidenca in po potrebi dokumenti, ki vsebujejo temeljna dejstva in pravne elemente, se vpišejo v register. Na zahtevo se dajo na voljo Evropskemu nadzorniku za varstvo podatkov.

4.   Omejitev iz odstavka 3 se uporablja, dokler obstajajo razlogi, ki jo upravičujejo.

Če razlogi za omejitev niso več veljavni, agencija posameznikom, na katere se nanašajo osebni podatki, pošlje informacije o osnovnih razlogih, na katerih temelji uporaba omejitev. Prav tako agencija posameznike, na katere se nanašajo osebni podatki, obvesti o pravici do vložitve pritožbe pri Evropskemu nadzorniku za varstvo podatkov oziroma o pravici do pravnega sredstva v sodnem postopku pri Sodišču Evropske unije.

Agencija pregleda uporabo omejitve vsakih šest mesecev od njenega sprejetja in ob koncu ustreznega povpraševanja, postopka ali preiskave. Upravljavec podatkov nato vsakih šest mesecev oceni potrebo po ohranitvi omejitve.

1.   Upravljavec lahko v ustrezno utemeljenih primerih in pod pogoji, določenimi v tem sklepu, omeji pravico do dostopa v okviru naslednjih dejanj obdelave, kadar je to potrebno in sorazmerno:

Če posameznik, na katerega se nanašajo osebni podatki, zahteva dostop do svojih osebnih podatkov, ki se obdelujejo v sklopu enega ali več specifičnih primerov oziroma za določeno dejanje obdelave, v skladu s členom 17 Uredbe (EU) 2018/1725, agencija omeji oceno zahteve samo na takšne osebne podatke.

2.   Če agencija v celoti ali delno omeji pravico do dostopa iz člena 17 Uredbe (EU) 2018/1725, sprejme naslednje ukrepe:

Zagotavljanje informacij iz točke (a) se lahko preloži, opusti ali zavrne, če bi se s tem izničil učinek omejitve, naložene v skladu s členom 25(8) Uredbe (EU) 2018/1725.

Agencija pregleda uporabo omejitve vsakih šest mesecev od njenega sprejetja in ob koncu ustrezne preiskave. Upravljavec podatkov nato vsakih šest mesecev oceni potrebo po ohranitvi omejitve.

3.   Evidenca in po potrebi dokumenti, ki vsebujejo temeljna dejstva in pravne elemente, se vpišejo v register. Na zahtevo se dajo na voljo Evropskemu nadzorniku za varstvo podatkov.

1.   Upravljavec lahko v ustrezno utemeljenih primerih in pod pogoji, določenimi v tem sklepu, omeji pravico do popravka, izbrisa in omejitve v okviru naslednjih dejanj obdelave, kadar je to potrebno in ustrezno:

2.   Kadar agencija bodisi delno bodisi v celoti omeji pravico do popravka, izbrisa in obdelave iz členov 18, 19(1) in 20(1) Uredbe (EU) 2018/1725, izvede korake iz člena 6(2) tega sklepa ter zabeleži dogodek v skladu s členom 6(3) tega sklepa. Ne glede na zgornje korake se vsaka omejitev pregleda v skladu s pogoji iz člena 3(4) tega sklepa.

1.   Upravljavec lahko v ustrezno utemeljenih primerih in pod pogoji, določenimi v tem sklepu, omeji pravico do obveščanja o kršitvi varnosti osebnih podatkov v okviru naslednjih dejanj obdelave, kadar je to potrebno in ustrezno:

2.   V ustrezno utemeljenih primerih in pod pogoji, določenimi v tem sklepu, lahko upravljavec omeji pravico do zaupnosti elektronskih komunikacij v okviru naslednjih dejanj obdelave, kadar je to potrebno in ustrezno:

3.   Kadar agencija omeji sporočanje posameznikom, na katere se nanašajo osebni podatki, o kršitvah varstva osebnih podatkov oziroma zaupnosti elektronske komunikacije iz členov 35 in 36 Uredbe (EU) 2018/1725, zabeleži in registrira razloge za omejitev v skladu s členom 5(3) tega sklepa. Uporablja se člen 5(4) tega sklepa. Ne glede na zgornje korake se vsaka omejitev pregleda v skladu s pogoji iz člena 3(4) tega sklepa.