1.   Genom detta beslut fastställs regler gällande villkoren för hur FRA inom ramen för de förfaranden som anges i punkt 2 får begränsa tillämpningen av de rättigheter som fastställs i artiklarna 14–21, 35 och 36 samt artikel 4, i överensstämmelse med artikel 25 i förordning (EU) 2018/1725.

2.   Beslutet är inom ramen för FRA:s administrativa verksamhet tillämpligt på myndighetens behandling av personuppgifter för följande ändamål: genomförande av administrativa utredningar, förfaranden som föregår disciplinära förfaranden, disciplinära förfaranden, avstängningsförfaranden i enlighet med bilaga IX i tjänsteföreskrifterna, åtgärder i samband med eventuella oegentligheter som anmälts till Olaf, handläggning av visselblåsarärenden, förfaranden (formella och informella) som rör trakasserier, handläggning av interna och externa klagomål, genomförande av interna och externa revisioner, utredningar som genomförs av dataskyddsombudet i enlighet med artikel 45.2 i förordning (EU) 2018/1725 samt (it-)säkerhetsutredningar som hanteras internt eller med extern medverkan (t.ex. av CERT-EU).

3.   Detta beslut är också tillämpligt på behandling av personuppgifter när FRA ingriper i mål vid Europeiska unionens domstol när byrån antingen hänskjuter en fråga till domstolen, försvarar ett beslut som byrån har fattat och som har överklagats till domstolen eller intervenerar i ärenden som är relevanta för byråns arbetsuppgifter. I samband med detta kan FRA behöva säkerställa konfidentialiteten för personuppgifter som finns i dokument från parterna eller intervenienterna.

4.   De kategorier av uppgifter som omfattas är hårddata (”objektiva” data såsom identifikationsuppgifter, kontaktuppgifter, uppgifter om yrke, administrativa uppgifter, uppgifter från specifika källor, elektronisk kommunikation och trafikuppgifter) och/eller mjukdata (”subjektiva” data som rör ärendet såsom motivering, beteendedata, bedömningar, uppgifter om prestationer och uppförande samt uppgifter i anknytning till eller som lagts fram i samband med föremålet för förfarandet eller verksamheten).

5.   FRA ska, vid fullgörandet av sina skyldigheter med avseende på den registrerades rättigheter enligt förordning (EU) 2018/1725, överväga om några av de undantag som anges i den förordningen är tillämpliga.

6.   Begränsningarna kan på de villkor som anges i detta beslut gälla för följande rättigheter: tillhandahållande av information till registrerade, rätten att få tillgång till och erhålla rättelse eller radering av personuppgifter, begränsning av behandling, information till den registrerade om en personuppgiftsincident eller konfidentiell behandling av kommunikation.

1.   Följande skyddsåtgärder har vidtagits för att undvika personuppgiftsincidenter, dataläckor och obehörigt utlämnande:

2.   FRA fungerar, företrädd av sin direktör, som personuppgiftsansvarig vid behandlingen och får vidaredelegera denna uppgift. Registrerade ska underrättas om delegeringen via dataskyddsmeddelanden eller dokumentation som publiceras på FRA:s webbplats och/eller intranät.

3.   Personuppgifterna som avses i artikel 1.3 får inte lagras längre än vad som är nödvändigt och rimligt med tanke på de ändamål för vilka uppgifterna behandlas. Lagringsperioden får i alla händelser inte överstiga den lagringsperiod som anges i de dataskyddsmeddelanden, meddelanden om behandling av personuppgifter eller register som nämns i artikel 5.1.

4.   Om byrån överväger att tillämpa en begränsning ska risken för den registrerades fri- och rättigheter särskilt vägas mot risken för andra registrerades fri- och rättigheter samt mot risken att verkningarna av FRA:s utredningar eller förfaranden upphävs, till exempel genom att bevis förstörs. Riskerna för den registrerades rättigheter och friheter omfattar i första hand, men är inte begränsade till, risker som rör anseende, rätten till försvar och rätten att höras.

1.   Eventuella begränsningar ska endast tillämpas av FRA

2.   Som en särskild tillämpning av de syften som beskrivs i punkt 1 ovan kan FRA tillämpa begränsningar avseende personuppgifter som utbyts med kommissionens avdelningar eller unionens övriga institutioner, organ och byråer, behöriga myndigheter i medlemsstaterna eller tredjeländer, eller med internationella organisationer i följande fall:

Före tillämpningen av begränsningar i fall som avses i första stycket leden a och b, ska FRA samråda med kommissionens berörda avdelningar, unionens institutioner, organ och byråer eller medlemsstaternas behöriga myndigheter såvida det inte är uppenbart för FRA att tillämpningen av en begränsning föreskrivs genom någon av de rättsakter som det hänvisas till i dessa led.

3.   Eventuella begränsningar ska vara nödvändiga och proportionerliga med beaktande av riskerna för de registrerades rättigheter och friheter och förenliga med andemeningen i de grundläggande rättigheterna och friheterna i ett demokratiskt samhälle.

4.   Om en begränsning övervägs ska en bedömning av behovet och proportionaliteten genomföras i enlighet med dessa regler. Detta ska dokumenteras genom en intern bedömningsnotering, i redovisningssyfte, och genomföras i varje enskilt fall.

5.   Begränsningarna ska upphävas så snart som de omständigheter som motiverat dem inte längre gäller. Detta gäller särskilt i de fall då utövandet av den begränsade rättigheten inte längre anses upphäva verkan av en införd begränsning eller inverka menligt på andra registrerades rättigheter och friheter.

1.   FRA ska utan onödigt dröjsmål se till att dataskyddsombudet deltar under alla relevanta förfaranden som fastställts genom detta beslut och ska se till att dataskyddsombudets deltagande dokumenteras. Detta innefattar att skriftligen dokumentera varje relevant bedömning eller yttrande som dataskyddsombudet har lämnat om en begränsnings tillämplighet i ett visst fall.

2.   Framför allt ska byrån utan onödigt dröjsmål underrätta dataskyddsombudet när den personuppgiftsansvarige begränsar tillämpningen av de registrerades rättigheter eller utvidgar begränsningen med stöd i föreliggande beslut. Den personuppgiftsansvarige ska ge dataskyddsombudet tillgång till den dokumentation som innehåller bedömningen av begränsningens nödvändighet och proportionalitet och i densamma ange datumet när dataskyddsombudet underrättades.

3.   Dataskyddsombudet kan kontakta den personuppgiftsansvarige skriftligen med en begäran om omprövning av tillämpningen av begränsningarna. Den personuppgiftsansvarige ska skriftligen underrätta dataskyddsombudet om resultatet av omprövningen.

4.   Den personuppgiftsansvarige ska även underrätta dataskyddsombudet när begränsningen har upphävts.

1.   I vederbörligen motiverade fall och enligt de villkor som anges i detta beslut får den personuppgiftsansvarige begränsa rätten till information i samband med följande typer av uppgiftsbehandling:

I dataskyddsmeddelandena, meddelandena om behandling av personuppgifter eller de register som avses i artikel 31 i förordning (EU) 2018/1725, som offentliggörs på FRA:s webbplats och/eller intranät och innehåller information till registrerade om deras rättigheter inom ramen för ett visst förfarande, ska myndigheten inkludera information om en eventuell begränsning av dessa rättigheter. Informationen ska omfatta vilka rättigheter som kan komma att begränsas, skälen och möjlig varaktighet.

2.   Utan att det påverkar tillämpningen av bestämmelserna i punkt 3 ska FRA där så är proportionellt informera alla registrerade som anses vara berörda i den specifika behandlingen om deras rättigheter vad gäller aktuella eller framtida begränsningar. Informationen ska ges utan onödigt dröjsmål, skriftligen och individuellt.

3.   Om FRA helt eller delvis begränsar tillhandahållandet av information till registrerade som avses i punkt 2 ska myndigheten notera skälen till begränsningen och den rättsliga grunden i enlighet med artikel 3 i detta beslut, däribland en bedömning av begränsningens nödvändighet och proportionalitet.

Dokumentationen och i tillämpliga fall handlingar som innehåller de bakomliggande faktiska och rättsliga omständigheterna, ska registreras. Denna information ska på begäran göras tillgänglig för Europeiska datatillsynsmannen.

4.   Den begränsning som avses i punkt 3 ska fortsätta vara tillämplig så länge som skälen som motiverar den föreligger.

När skälen till begränsningen inte längre föreligger ska FRA informera den registrerade om de huvudsakliga skäl som ligger till grund för tillämpningen av en begränsning. Samtidigt ska FRA informera den registrerade om rätten att när som helst inge klagomål till Europeiska datatillsynsmannen eller begära rättslig prövning vid Europeiska unionens domstol.

FRA ska ompröva tillämpningen av begränsningen var sjätte månad från det att den antas, och när utredningen eller förfarandet avslutas. Därefter ska den personuppgiftsansvarige på årsbasis övervaka behovet av att behålla eventuella begränsningar.

1.   I vederbörligen motiverade fall och enligt de villkor som anges i detta beslut får den personuppgiftsansvarige begränsa rätten till tillgång vid följande typer av uppgiftsbehandling, om det är nödvändigt och proportionerligt:

Om registrerade, i överensstämmelse med artikel 17 i förordning (EU) 2018/1725, begär tillgång till egna personuppgifter som behandlats i samband med ett eller flera specifika fall eller till en specifik uppgiftsbehandling, ska FRA begränsa sin bedömning av denna begäran till att endast avse dessa personuppgifter.

2.   Om FRA helt eller delvis begränsar rätten till tillgång, i överensstämmelse med artikel 17 i förordning (EU) 2018/1725, ska följande åtgärder vidtas:

Tillhandahållandet av information som avses i led a får skjutas upp, utelämnas eller nekas om det skulle upphäva verkan av en begränsning i enlighet med artikel 25.8 i förordning (EU) 2018/1725.

FRA ska ompröva tillämpningen av begränsningen var sjätte månad från det att den antas, och när utredningen i fråga avslutas. Därefter ska den personuppgiftsansvarige på årsbasis övervaka behovet av att behålla eventuella begränsningar.

3.   Dokumentationen och i tillämpliga fall handlingar som innehåller de bakomliggande faktiska och rättsliga omständigheterna, ska registreras. Denna information ska på begäran göras tillgänglig för Europeiska datatillsynsmannen.

1.   I vederbörligen motiverade fall och enligt de villkor som anges i detta beslut får den personuppgiftsansvarige begränsa rätten till rättelse, radering och begränsning vid följande typer av uppgiftsbehandling, om det är nödvändigt och lämpligt:

2.   Om FRA helt eller delvis begränsar den rätt till rättelse, radering eller begränsning av behandling som avses i artiklarna 18, 19.1 och 20.1 i förordning (EU) 2018/1725, ska FRA vidta de åtgärder som anges i artikel 6.2 i detta beslut och registrera dokumentationen i enlighet med artikel 6.3 i beslutet.

1.   I vederbörligen motiverade fall och enligt de villkor som anges i detta beslut får den personuppgiftsansvarige begränsa rätten till information om en personuppgiftsincident vid följande typer av uppgiftsbehandling, om det är nödvändigt och lämpligt:

2.   I vederbörligen motiverade fall och enligt de villkor som anges i detta beslut får den personuppgiftsansvarige begränsa rätten till konfidentiell behandling av elektronisk kommunikation vid följande typer av uppgiftsbehandling, om det är nödvändigt och lämpligt:

3.   Om FRA begränsar informationen till den registrerade om en personuppgiftsincident eller konfidentialiteten vid elektronisk kommunikation som avses i artiklarna 35 och 36 i förordning (EU) 2018/1725, ska FRA dokumentera och registrera skälen till begränsningen i överensstämmelse med artikel 5.3 i detta beslut. Artikel 5.4 i detta beslut ska tillämpas.