1.   Detta beslut innehåller regler om de villkor som måste vara uppfyllda för att det gemensamma företaget FCH 2 inom ramen för de förfaranden som anges i punkt 2 ska få begränsa de rättigheter som avses i artiklarna 14–21, 35 och 36, samt artikel 4 i förordning (EU) 2018/1725, i enlighet med artikel 25 i den förordningen.

2.   Inom ramen för det gemensamma företaget FCH 2:s administrativa verksamhet är detta beslut tillämpligt på programkontorets behandling av personuppgifter för följande ändamål: administrativa utredningar, disciplinära förfaranden, förberedande åtgärder vid fall av eventuella oegentligheter som anmälts till Olaf, hantering av visselblåsarärenden, (formella och informella) förfaranden för att hantera trakasserier, handläggning av interna och externa klagomål, internrevisioner, utredningar som dataskyddsombudet genomför i enlighet med artikel 45.2 i förordning (EU) 2018/1725 samt (it-)säkerhetsutredningar som hanteras internt eller med extern hjälp (till exempel av CERT-EU).

3.   Kategorierna av uppgifter som omfattas är hårddata (”objektiva” uppgifter som personidentifierande uppgifter, kontaktuppgifter, yrkesuppgifter, administrativa uppgifter, uppgifter från särskilda källor, elektronisk kommunikation och trafikuppgifter) och mjukdata (”subjektiva” uppgifter som rör ärendet, till exempel resonemang, uppgifter om beteende, bedömningar, uppgifter om prestationer och uppförande samt uppgifter som rör eller lagts fram i samband med föremålet för förfarandet eller verksamheten).

4.   När det gemensamma företaget FCH 2 fullgör sina skyldigheter med avseende på registrerades rättigheter enligt förordning (EU) 2018/1725 ska det undersöka om några av de undantag som anges i den förordningen är tillämpliga.

5.   Enligt de villkor som anges i detta beslut kan begränsningarna gälla följande rättigheter: tillhandahållande av information till registrerade, rätten att få tillgång till och erhålla rättelse eller radering av personuppgifter, begränsning av behandling, information till den registrerade om en personuppgiftsincident eller konfidentiell behandling av kommunikation.

1.   Det gemensamma företaget ska införa följande skyddsåtgärder för att förhindra missbruk eller olaglig tillgång till eller överföring av personuppgifter (4):

2.   Lagringsperioden för de personuppgifter som anges i artikel 1.3 får inte vara längre än vad som är nödvändigt och rimligt med tanke på de ändamål för vilka uppgifterna behandlas. Den får i alla händelser inte överstiga den lagringsperiod som anges i de dataskyddsmeddelanden, meddelanden om behandling av personuppgifter eller register som nämns i artikel 6.

3.   Om det gemensamma företaget FCH 2 överväger att tillämpa en begränsning ska risken för den registrerades fri- och rättigheter vägas särskilt mot risken för andra registrerades fri- och rättigheter samt mot risken att verkningarna av det gemensamma företagets utredningar eller förfaranden upphävs, till exempel genom att bevis förstörs. Riskerna för den registrerades fri- och rättigheter omfattar i första hand, men är inte begränsade till, risker som rör anseende, rätten till försvar och rätten att höras.

1.   Det gemensamma företaget FCH 2 ska enbart tillämpa begränsningar i syfte att säkerställa

2.   Som en särskild tillämpning av de syften som beskrivs i punkt 1 ovan får det gemensamma företaget FCH 2 tillämpa begränsningar under följande omständigheter:

1.   I vederbörligen motiverade fall och enligt de villkor som anges i detta beslut får den personuppgiftsansvariga begränsa följande rättigheter inom ramen för den behandling som avses i punkt 2 nedan när detta är nödvändigt och proportionerligt:

2.   I enlighet med artikel 25.2 a i förordning (EU) 2018/1725 får personuppgiftsansvariga, i de fall då det är berättigat och på de villkor som anges i detta beslut, tillämpa begränsningar i samband med följande behandlingar:

Begränsningen ska fortsätta att vara tillämplig så länge som de skäl som motiverar den föreligger.

3.   Om det gemensamma företaget helt eller delvis begränsar tillämpningen av de rättigheter som anges i punkt 1 ovan ska det vidta de åtgärder som anges i artiklarna 6 och 7 i detta beslut.

4.   Om registrerade, i enlighet med artikel 17 i förordning (EU) 2018/1725, begär tillgång till egna personuppgifter som behandlas i samband med ett eller flera specifika fall eller ärenden som inbegriper uppgiftsbehandling, ska det gemensamma företaget FCH 2 begränsa sin bedömning av denna begäran till att endast avse dessa personuppgifter.

1.   De begräsningar som avses i artikel 5 ska vara nödvändiga och proportionella med beaktande av riskerna för de registrerades fri- och rättigheter och förenliga med andemeningen i de grundläggande rättigheterna och friheterna i ett demokratiskt samhälle.

2.   Om det gemensamma företaget FCH 2 överväger att tillämpa begränsningar ska ett behovs- och proportionalitetstest genomföras på grundval av gällande bestämmelser. Detta test ska också genomföras inom ramen för den periodiska översynen, följt av en bedömning av om huruvida de faktiska och rättsliga skälen till en begränsning fortfarande föreligger. Bedömningen ska dokumenteras i redovisningssyfte genom en intern bedömningsnotering i varje enskilt fall.

3.   Begränsningar ska vara tillfälliga och ska upphävas så snart som de omständigheter som motiverar dem inte längre föreligger. Detta gäller i synnerhet om det gemensamma företaget FCH 2 inte längre anser att utövandet av den begränsade rättigheten skulle upphäva verkan av en införd begränsning eller inverka menligt på andra registrerades rättigheter och friheter.

Det gemensamma företaget ska ompröva tillämpningen av begränsningen var sjätte månad från det att den antogs, och när undersökningen, utredningen eller förfarandet avslutas. Därefter ska den personuppgiftsansvarige på halvårsbasis övervaka behovet av att behålla eventuella begränsningar.

4.   Om det gemensamma företaget FCH 2 helt eller delvis tillämpar begränsningarna i artikel 5 i detta beslut ska det gemensamma företaget notera skälen till begränsningen och den rättsliga grunden i enlighet med punkt 1 ovan, inbegripet en bedömning av begränsningens nödvändighet och proportionalitet.

Dokumentationen och, i tillämpliga fall, handlingarna med de bakomliggande faktiska och rättsliga omständigheterna, ska registreras. De ska på begäran ställas till Europeiska datatillsynsmannens förfogande.

1.   Det gemensamma företaget FCH 2 ska informera de registrerade om att deras rättigheter kan komma att begränsas i dataskyddsmeddelandena, meddelandena om skydd av personuppgifter eller i den dokumentation som avses i artikel 31 i förordning (EU) 2018/1725 och som offentliggörs på det gemensamma företagets webbplats och/eller intranät och innehåller information till registrerade om deras rättigheter inom ramen för ett visst förfarande. Informationen ska omfatta vilka rättigheter som kan komma att begränsas, skälen till detta och möjlig varaktighet.

Utan att det påverkar tillämpningen av bestämmelserna i artikel 6.4 ska det gemensamma företaget FCH 2, om det står i proportion till behandlingen, även skriftligen och utan onödigt dröjsmål enskilt informera alla registrerade som betraktas som berörda personer vid den specifika behandlingen om deras rättigheter avseende gällande eller framtida begränsningar.

2.   När det gemensamma företaget FCH 2 helt eller delvis begränsar de rättigheter som fastställs i artikel 5 ska det gemensamma företaget informera den berörda registrerade om de begränsningar som tillämpas och de huvudsakliga skälen till begränsningen, samt om möjligheten att inge klagomål till Europeiska datatillsynsmannen eller begära rättslig prövning vid Europeiska unionens domstol.

Tillhandahållandet av den information som avses i punkt 2 ovan får skjutas upp, utelämnas eller nekas om det skulle upphäva verkan av den begränsning som införts i enlighet med artikel 25.8 i förordning (EU) 2018/1725.

1.   Det gemensamma företaget FCH 2 ska utan onödigt dröjsmål informera det gemensamma företagets dataskyddsombud om alla fall då den personuppgiftsansvariga begränsar registrerades rättigheter eller förlänger en begränsning i enlighet med detta beslut. Den personuppgiftsansvarige ska ge dataskyddsombudet tillgång till den dokumentation som innehåller bedömningen av begränsningens nödvändighet och proportionalitet, och i dokumentationen ange det datum då dataskyddsombudet underrättades.

2.   Dataskyddsombudet kan skriftligen begära att den personuppgiftsansvarige ska se över tillämpningen av begränsningar. Den personuppgiftsansvarige ska skriftligen informera dataskyddsombudet om resultatet från den begärda översynen.

3.   Dataskyddsombudet ska vara involverat i hela förfarandet. Den personuppgiftsansvarige ska även underrätta dataskyddsombudet när begränsningen har upphävts.