1.   Genom detta beslut fastställs regler gällande villkoren för hur ECDC inom ramen för de förfaranden som anges i punkt 2 får begränsa tillämpningen av de rättigheter som fastställs i artiklarna 14–21, 35 och 36 samt artikel 4, i överensstämmelse med artikel 25 i förordning (EU) 2018/1725.

2.   Beslutet är inom ramen för ECDC:s administrativa verksamhet tillämpligt på ECDC:s behandling av personuppgifter för följande ändamål: genomförande av administrativa utredningar och disciplinära förfaranden, förberedande åtgärder i samband med eventuella oegentligheter som har rapporterats till Olaf, handläggning av visselblåsarärenden, (formella och informella) förfaranden för att hantera trakasserier, handläggning av interna och externa klagomål, genomförande av internrevisioner, utredningar som genomförs av dataskyddsombudet i enlighet med artikel 45.2 i förordning (EU) 2018/1725 samt utredningar om it-säkerhet som hanteras internt eller med extern hjälp (från t.ex. incidenthanteringsorganisationen för EU:s institutioner och byråer) och i samband med hanteringen av personalens personakter (om de kan innehålla uppgifter av psykologisk eller psykiatrisk art).

3.   De kategorier av uppgifter som omfattas är hårddata (”objektiva” data, såsom identifikationsuppgifter, kontaktuppgifter, uppgifter om yrke, administrativa uppgifter, uppgifter från specifika källor, elektronisk kommunikation och trafikuppgifter) och/eller mjukdata (”subjektiva” data som rör ärendet, såsom motivering, beteendedata, bedömningar, uppgifter om prestationer och uppförande samt uppgifter i anknytning till eller som lagts fram i samband med föremålet för förfarandet eller verksamheten).

4.   När ECDC fullgör sina skyldigheter med avseende på registrerades rättigheter enligt förordning (EU) 2018/1725 ska centrumet undersöka om några av de undantag som anges i den förordningen är tillämpliga.

5.   Begränsningarna kan på de villkor som anges i detta beslut gälla för följande rättigheter: tillhandahållande av information till registrerade, rätten att få tillgång till och erhålla rättelse eller radering av personuppgifter, begränsning av behandling, information till den registrerade om en personuppgiftsincident eller konfidentiell behandling av kommunikation.

1.   Följande skyddsåtgärder har vidtagits för att undvika personuppgiftsincidenter, dataläckor och obehörigt utlämnande:

2.   ECDC, företrätt av sin verkställande direktör, fungerar som personuppgiftsansvarig vid behandlingen och får delegera denna uppgift. Registrerade ska underrättas om delegeringen via dataskyddsmeddelanden eller register som offentliggörs på ECDC:s webbplats och/eller intranät.

3.   Lagringsperioden för de personuppgifter som avses i artikel 1.3 får inte vara längre än vad som är nödvändigt och rimligt med tanke på de ändamål för vilka uppgifterna behandlas. De får dock aldrig lagras längre än den tid som anges i de dataskyddsmeddelanden, meddelanden om skydd av personuppgifter eller dokumentation som avses i artikel 5.1.

4.   När ECDC överväger att tillämpa en begränsning ska risken för den registrerades rättigheter och friheter vägas mot i synnerhet risken för andra registrerades rättigheter och friheter samt risken för att upphäva verkningarna av ECDC:s utredningar eller förfaranden genom t.ex. förstörandet av bevismaterial. Riskerna för den registrerades fri- och rättigheter omfattar i första hand, men är inte begränsade till, risker som rör anseende, rätten till försvar och rätten att höras.

1.   Eventuella begränsningar ska endast tillämpas av ECDC i syfte att säkerställa

2.   ECDC får, i specifika fall inom ramen för de ändamål som anges i punkt 1 ovan, begränsa rättigheter och skyldigheter vad gäller personuppgifter som utbyts med kommissionens avdelningar eller unionens övriga institutioner, organ och byråer, behöriga myndigheter i medlemsstaterna eller tredjeländer, eller med internationella organisationer, om

Före tillämpningen av begränsningar i de fall som avses i första stycket leden a och b ska ECDC samråda med kommissionens berörda avdelningar, unionens institutioner, organ och byråer eller medlemsstaternas behöriga myndigheter såvida det inte är uppenbart för ECDC att tillämpningen av en begränsning föreskrivs genom någon av de rättsakter som det hänvisas till i dessa led.

3.   Eventuella begränsningar ska vara nödvändiga och proportionella med beaktande av riskerna för de registrerades rättigheter och friheter och förenliga med andemeningen i de grundläggande rättigheterna och friheterna i ett demokratiskt samhälle.

4.   Om myndigheten överväger att tillämpa begränsningar ska ett behovs- och proportionalitetstest genomföras på grundval av gällande bestämmelser. Bedömningen ska dokumenteras i redovisningssyfte genom en intern bedömningsnotering i varje enskilt fall.

5.   Begränsningarna ska upphävas så snart som de omständigheter som motiverat dem inte längre gäller. Detta gäller särskilt i de fall då utövandet av den begränsade rättigheten inte längre anses upphäva verkan av en införd begränsning eller inte längre påverkar andra registrerades rättigheter och friheter negativt.

1.   ECDC ska utan onödigt dröjsmål underrätta sitt dataskyddsombud när den personuppgiftsansvarige begränsar tillämpningen av de registrerades rättigheter eller utvidgar begränsningen med stöd i detta beslut. Den personuppgiftsansvariga ska ge dataskyddsombudet tillgång till den dokumentation som innehåller bedömningen av begränsningens nödvändighet och proportionalitet, och i dokumentationen ange det datum då dataskyddsombudet underrättades.

2.   Dataskyddsombudet kan skriftligen begära att den personuppgiftsansvarige omprövar tillämpningen av begränsningarna. Den personuppgiftsansvariga ska skriftligen underrätta dataskyddsombudet om resultatet av omprövningen.

3.   Den personuppgiftsansvarige ska även underrätta dataskyddsombudet när begränsningen har upphävts.

1.   I vederbörligen motiverade fall och enligt de villkor som anges i detta beslut får den personuppgiftsansvarige begränsa rätten till information i samband med följande typ av uppgiftsbehandling:

I dataskyddsmeddelandena, meddelandena om behandling av personuppgifter eller de register som avses i artikel 31 i förordning (EU) 2018/1725, som offentliggörs på ECDC:s webbplats och/eller intranät och innehåller information till registrerade om deras rättigheter inom ramen för ett visst förfarande, ska ECDC inkludera information om en eventuell begränsning av dessa rättigheter. Informationen ska inbegripa vilka rättigheter som kan begränsas, skälen till detta och hur länge.

2.   Utan att det påverkar tillämpningen av bestämmelserna i punkt 3, och om så är rimligt, ska ECDC även, utan onödigt dröjsmål och skriftligen, enskilt informera alla registrerade som betraktas som berörda personer vid den specifika behandlingen om deras rättigheter avseende gällande eller framtida begränsningar.

3.   Om ECDC helt eller delvis begränsar det tillhandahållande av information till registrerade som avses i punkt 2 ska centrumet notera skälen till begränsningen och den rättsliga grunden i enlighet med artikel 3 i detta beslut, däribland en bedömning av begränsningens nödvändighet och proportionalitet.

Dokumentationen och i tillämpliga fall de handlingar som innehåller de bakomliggande faktiska och rättsliga omständigheterna ska registreras. De ska på begäran ställas till Europeiska datatillsynsmannens förfogande.

4.   Den begränsning som avses i punkt 3 ska fortsätta vara tillämplig så länge som de skäl som motiverar den föreligger.

Om skälen till begränsningen inte längre föreligger ska ECDC informera den registrerade om de huvudsakliga skäl som ligger till grund för tillämpningen av en begränsning. Samtidigt ska ECDC informera den registrerade om rätten att när som helst lämna in ett klagomål till Europeiska datatillsynsmannen eller begära rättslig prövning vid Europeiska unionens domstol.

ECDC ska ompröva tillämpningen av begränsningen var sjätte månad från det att den antogs, och när undersökningen, förfarandet eller utredningen avslutas. Därefter ska den personuppgiftsansvarige på halvårsbasis övervaka behovet av att behålla eventuella begränsningar.

1.   I vederbörligen motiverade fall och enligt de villkor som anges i detta beslut får den personuppgiftsansvariga begränsa rätten till tillgång vid följande typer av uppgiftsbehandling när så är nödvändigt och proportionellt:

Om registrerade, i enlighet med artikel 17 i förordning (EU) 2018/1725, begär tillgång till egna personuppgifter som behandlas i samband med ett eller flera specifika fall eller ärenden som inbegriper uppgiftsbehandling ska ECDC begränsa sin bedömning av denna begäran till att endast avse dessa personuppgifter.

2.   Om ECDC helt eller delvis begränsar rätten till tillgång, som avses i artikel 17 i förordning (EU) 2018/1725, ska följande åtgärder vidtas:

Tillhandahållandet av information som avses i led a får skjutas upp, utelämnas eller nekas om det skulle upphäva verkan av en begränsning som införts i enlighet med artikel 25.8 i förordning (EU) 2018/1725.

ECDC ska ompröva tillämpningen av begränsningen var sjätte månad från det att den antogs, och när utredningen i fråga avslutas. Därefter ska den personuppgiftsansvarige på halvårsbasis övervaka behovet av att behålla eventuella begränsningar.

3.   Dokumentationen och i tillämpliga fall de handlingar som innehåller de bakomliggande faktiska och rättsliga omständigheterna ska registreras. De ska på begäran ställas till Europeiska datatillsynsmannens förfogande.

1.   I vederbörligen motiverade fall och enligt de villkor som anges i detta beslut får den personuppgiftsansvarige begränsa rätten till rättelse, radering och begränsning av behandling vid följande typ av uppgiftsbehandling, om det är nödvändigt och lämpligt:

2.   Om ECDC helt eller delvis begränsar den rätt till rättelse, radering eller begränsning av behandling som avses i artiklarna 18, 19.1 och 20.1 i förordning (EU) 2018/1725, ska ECDC vidta de åtgärder som anges i artikel 6.2 i detta beslut och registrera dokumentationen i enlighet med artikel 6.3 i beslutet.

1.   I vederbörligen motiverade fall och enligt de villkor som anges i detta beslut får den personuppgiftsansvarige begränsa rätten till information om en personuppgiftsincident vid följande typ av uppgiftsbehandling, om det är nödvändigt och lämpligt:

2.   I vederbörligen motiverade fall och enligt de villkor som anges i detta beslut får den personuppgiftsansvarige begränsa rätten till konfidentiell behandling av elektronisk kommunikation vid följande typ av uppgiftsbehandling, om det är nödvändigt och lämpligt:

3.   Om ECDC begränsar informationen till den registrerade om en personuppgiftsincident eller den konfidentialitet vid elektronisk kommunikation som avses i artiklarna 35 och 36 i förordning (EU) 2018/1725 ska ECDC dokumentera och registrera skälen till begränsningen i enlighet med artikel 5.3 i detta beslut. Artikel 5.4 i detta beslut ska tillämpas.