1.   Ta sklep določa pravila v zvezi s pogoji, pod katerimi lahko agencija v okviru svojih postopkov iz odstavka 2 omeji uporabo pravic iz členov 14 do 21, 35 in 36 ter člena 4 navedene uredbe, na podlagi člena 25 Uredbe (EU) 2018/1725.

2.   V okviru upravnega delovanja agencije se ta sklep uporablja za postopke obdelave osebnih podatkov, ki jih agencija izvaja za namene: opravljanja upravnih poizvedb, disciplinskih postopkov, predhodnih dejavnosti v zvezi s primeri morebitnih nepravilnosti, ki se prijavijo uradu OLAF, obdelovanja primerov prijavljanja nepravilnosti, (uradnih in neuradnih) postopkov v zvezi z nadlegovanjem, obdelovanja notranjih in zunanjih pritožb, izvajanja notranjih revizij, preiskav, ki jih izvaja pooblaščena oseba za varstvo podatkov v skladu s členom 45(2) Uredbe (EU) 2018/1725, preiskav v zvezi z (informacijsko-tehnološko) varnostjo, ki se izvajajo interno ali z zunanjo pomočjo (npr. CERT-EU), uveljavljanja civilnopravnih zahtevkov in obravnave zahtev za dostop do svoje zdravstvene kartoteke.

3.   Kategorije zadevnih podatkov so zanesljivi podatki („objektivni“ podatki, kot so identifikacijski podatki, kontaktni podatki, podatki o poklicni dejavnosti, upravni podatki, podatki, ki so bili prejeti iz posebnih virov, elektronski komunikacijski in prometni podatki) in/ali nezanesljivi podatki („subjektivni“ podatki, povezani s primerom, kot so utemeljitev, vedenjski podatki, ocene, podatki o učinkovitosti in vodenju ter podatki, povezani s predmetom urejanja postopka ali dejavnosti).

4.   Kadar agencija izvaja svoje naloge v zvezi s pravicami posameznikov, na katere se nanašajo osebni podatki, v skladu z Uredbo (EU) 2018/1725, prouči, ali veljajo kakršne koli izjeme iz navedene uredbe.

5.   Ob upoštevanju pogojev iz tega sklepa lahko omejitve veljajo za naslednje pravice: zagotavljanje informacij posameznikom, na katere se nanašajo osebni podatki, pravico do dostopa, popravka, izbrisa, omejitve obdelave, obveščanja posameznika, na katerega se nanašajo osebni podatki, o kršitvi varstva osebnih podatkov ali zaupnosti elektronskega obveščanja.

1.   Zaščitni ukrepi, ki so vzpostavljeni za preprečevanje kršitev varstva osebnih podatkov, uhajanj ali nedovoljenega razkritja podatkov, so naslednji:

2.   Upravljavec podatkov pri postopkih obdelave je agencija, ki jo zastopa izvršni direktor, ki lahko delegira funkcijo upravljavca podatkov. Posamezniki, na katere se nanašajo osebni podatki, so o pooblaščenem upravljavcu podatkov obveščeni z izjavami o varstvu osebnih podatkov ali evidencami, objavljenimi na spletišču in/ali intranetu agencije.

3.   Obdobje hrambe osebnih podatkov iz člena 1(3) ni daljše, kot je potrebno in ustrezno za namene, za katere se podatki obdelujejo. V nobenem primeru ne presega obdobja hrambe, določenega v izjavah o varstvu osebnih podatkov ali evidencah iz člena 5(1).

4.   Če agencija meni, da mora uporabiti omejitev, se pretehta tveganje za pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, zlasti v primerjavi s tveganjem za pravice in svoboščine drugih posameznikov, na katere se nanašajo osebni podatki, in tveganjem preklica učinka preiskav ali postopkov agencije, na primer z uničenjem dokazov. Tveganja za pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, so povezana predvsem s tveganjem izgube ugleda ter tveganjem za pravico do obrambe in pravico do izjave, vendar niso omejena nanje.

1.   Agencija lahko kakršno koli omejitev uporabi samo za zaščito:

2.   Agencija lahko kot posebno uporabo namenov iz odstavka 1 zgoraj uporablja omejitve v zvezi z osebnimi podatki, ki se izmenjujejo s službami Komisije ali drugimi institucijami, organi, agencijami in uradi Unije, pristojnimi organi držav članic ali tretjih držav ali mednarodnih organizacij, v naslednjih okoliščinah:

Pred uporabo omejitev v okoliščinah iz točk (a) in (b) prvega pododstavka se agencija posvetuje z ustreznimi službami Komisije, institucijami, organi, agencijami ali uradi Unije ali pristojnimi organi držav članic, razen če jasno ugotovi, da je uporaba omejitve določena z enim od aktov iz navedenih točk.

3.   Vse omejitve so potrebne in sorazmerne, pri čemer se upoštevajo tveganja za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, ter se spoštuje bistvo temeljnih pravic in svoboščin v demokratični družbi.

4.   Če se prouči uporaba omejitve, se na podlagi sedanjih pravil opravi preskus nujnosti in sorazmernosti. Dokumentira se v obvestilu o notranji oceni za namene odgovornosti za vsak primer posebej.

5.   Omejitve se odpravijo takoj, ko okoliščine, ki jih upravičujejo, ne veljajo več. Zlasti to velja, kadar se šteje, da izvajanje omejene pravice ne bi več izničilo učinka naložene omejitve ali škodljivo vplivalo na pravice ali svoboščine drugih posameznikov, na katere se nanašajo osebni podatki.

1.   Agencija brez nepotrebnega odlašanja pooblaščeno osebo za varstvo podatkov agencije obvesti vsakič, ko upravljavec podatkov omeji uveljavljanje pravic posameznikov, na katere se nanašajo osebni podatki, ali podaljša omejitev v skladu s tem sklepom. Upravljavec pooblaščeni osebi za varstvo podatkov agencije zagotovi dostop do evidence, ki vsebuje oceno potrebnosti in sorazmernosti omejitve, ter v evidenci dokumentira datum obvestitve pooblaščene osebe za varstvo podatkov.

2.   Pooblaščena oseba za varstvo podatkov lahko od upravljavca pisno zahteva, naj pregleda uporabo omejitev. Upravljavec pisno obvesti pooblaščeno osebo za varstvo podatkov o rezultatu zahtevanega pregleda.

3.   Upravljavec obvesti pooblaščeno osebo za varstvo podatkov, ko je omejitev odpravljena.

1.   V ustrezno utemeljenih primerih in pod pogoji, določenimi v tem sklepu, lahko upravljavec omeji pravico do informacij v okviru naslednjih postopkov obdelave:

Agencija v izjave o varstvu osebnih podatkov ali evidence v smislu člena 31 Uredbe (EU) 2018/1725, ki so objavljeni na njenem spletišču in intranetu ter s katerimi so posamezniki, na katere se nanašajo osebni podatki, obveščeni o svojih pravicah v okviru določenega postopka, vključi informacije v zvezi z morebitno omejitvijo teh pravic. Informacije zajemajo navedbo pravic, ki se lahko omejijo, razloge in morebitno trajanje.

2.   Kadar je sorazmerno, agencija brez poseganja v določbe odstavka 3 o njihovih pravicah v zvezi s sedanjimi ali prihodnjimi omejitvami brez nepotrebnega odlašanja in v pisni obliki posamično obvesti tudi vse posameznike, na katere se nanašajo osebni podatki, ki se v posebnem postopku obdelave obravnavajo kot osebe, ki jih zadeva določen postopek obdelave.

3.   Kadar agencija v celoti ali delno omeji zagotavljanje informacij posameznikom, na katere se nanašajo osebni podatki, iz odstavka 2, navede razloge za omejitev, pravno podlago v skladu s členom 3 tega sklepa, vključno z oceno potrebnosti in sorazmernosti omejitve.

Evidenca in po potrebi dokumenti, ki vsebujejo temeljna dejstva in pravne elemente, se registrirajo. Na zahtevo se dajo na voljo Evropskemu nadzorniku za varstvo podatkov.

4.   Omejitev iz odstavka 3 se uporablja, dokler obstajajo razlogi, ki jo upravičujejo.

Kadar razlogi za omejitev ne veljajo več, agencija posamezniku, na katerega se nanašajo osebni podatki, posreduje informacije o glavnih razlogih, na katerih temelji uporaba omejitve. Hkrati agencija posameznika, na katerega se nanašajo osebni podatki, obvesti o tem, da lahko kadar koli vloži pritožbo pri Evropskem nadzorniku za varstvo podatkov ali da lahko uveljavlja pravno sredstvo na Sodišču Evropske unije.

Agencija pregleda uporabo omejitve vsakih šest mesecev od njenega sprejetja in ob zaključku zadevne poizvedbe, postopka ali preiskave.. Nato upravljavec spremlja potrebo po ohranitvi kakršnih koli omejitev vsakih šest mesecev.

1.   V ustrezno utemeljenih primerih in pod pogoji, določenimi v tem sklepu, lahko upravljavec omeji pravico do dostopa v okviru naslednjih postopkov obdelave, kadar je to potrebno in sorazmerno:

Če posamezniki, na katere se nanašajo osebni podatki, zahtevajo dostop do svojih osebnih podatkov, ki se obdelujejo v okviru enega ali več določenih primerov ali posebnega postopka obdelave, agencija v skladu s členom 17 Uredbe (EU) 2018/1725 svojo oceno zahteve omeji le na te osebne podatke.

2.   Če agencija v celoti ali delno omeji pravico do dostopa iz člena 17 Uredbe (EU) 2018/1725, sprejme naslednje ukrepe:

Omejitve, uvedene v zvezi z dostopom do svoje zdravstvene kartoteke, zadevajo le zahteve za neposredni dostop v zvezi z osebnimi zdravstvenimi podatki psihološke ali psihiatrične narave, kadar obstaja verjetnost, da bi dostop do teh podatkov pomenil tveganje za zdravje posameznika, na katerega se nanašajo osebni podatki. Ta omejitev je sorazmerna obsegu, nujno potrebnemu za zaščito posameznika, na katerega se nanašajo osebni podatki. Dostop do takih podatkov se zagotovi s posredovanjem zdravnika, ki ga imenuje posameznik, na katerega se nanašajo osebni podatki. Temu zdravniku bi bilo treba zagotoviti dostop do vseh informacij in podeliti diskrecijsko pravico za odločitev, kako naj se posamezniku, na katerega se nanašajo osebni podatki, zagotovi dostop in kakšen naj bo.

Zagotovitev informacij iz točke (a) se lahko odloži, opusti ali zavrne, če bi se s tem izničil učinek omejitve v skladu s členom 25(8) Uredbe (EU) 2018/1725.

Agencija pregleda uporabo omejitve vsakih šest mesecev od njenega sprejetja in ob zaključku zadevne preiskave. Nato upravljavec vsakih šest mesecev spremlja potrebo po ohranitvi kakršne koli omejitve.

3.   Evidenca in po potrebi dokumenti, ki vsebujejo temeljna dejstva in pravne elemente, se registrirajo. Na zahtevo se dajo na voljo Evropskemu nadzorniku za varstvo podatkov.

1.   V ustrezno utemeljenih primerih in pod pogoji, določenimi v tem sklepu, lahko upravljavec omeji pravico do popravka, izbrisa in omejitve obdelave v okviru naslednjih postopkov obdelave, kadar je to potrebno in ustrezno:

2.   Kadar agencija bodisi delno bodisi v celoti omeji pravico do popravka, izbrisa in omejitve obdelave iz členov 18, 19(1) in 20(1) Uredbe (EU) 2018/1725, izvede korake iz člena 6(2) tega sklepa ter registrira evidenco v skladu s členom 6(3) tega sklepa.

1.   V ustrezno utemeljenih primerih in pod pogoji, določenimi v tem sklepu, lahko upravljavec omeji pravico do obveščanja o kršitvi varnosti osebnih podatkov v okviru naslednjih postopkov obdelave, kadar je to potrebno in ustrezno:

2.   V ustrezno utemeljenih primerih in pod pogoji, določenimi v tem sklepu, lahko upravljavec omeji pravico do zaupnosti elektronskih komunikacij v okviru naslednjih postopkov obdelave, kadar je to potrebno in ustrezno:

3.   Kadar agencija omeji obveščanje posameznikov, na katere se nanašajo osebni podatki, o kršitvah varstva osebnih podatkov ali zaupnosti elektronske komunikacije iz členov 35 in 36 Uredbe (EU) 2018/1725, evidentira in registrira razloge za omejitev v skladu s členom 5(3) tega sklepa. Uporablja se člen 5(4) tega sklepa.