1.   Med denne afgørelse fastlægges regler vedrørende betingelserne for, hvornår EFSA inden for rammerne af de procedurer, der er fastsat i stk. 2, må begrænse anvendelsen af de rettigheder, der er fastsat i artikel 14-21, 35 og 36 samt artikel 4, efter artikel 25 i forordning (EU) 2018/1725.

2.   Inden for rammerne af EFSA's administrative funktionsmåde finder denne afgørelse anvendelse på EFSA's behandlingsaktiviteter vedrørende personoplysninger i forbindelse med administrative undersøgelser, disciplinærsager, indledende aktiviteter vedrørende tilfælde af potentielle uregelmæssigheder indberettet til OLAF, behandling af whistleblowingsager, (formelle og uformelle) procedurer for forebyggelse af chikane, behandling af interne og eksterne klager, udførelse af interne revisioner, efterforskninger iværksat af den databeskyttelsesansvarlige i overensstemmelse med artikel 45, stk. 2, i forordning (EU) 2018/1725, og (IT-relaterede) sikkerhedsefterforskninger, der gennemføres internt eller med ekstern deltagelse (f.eks. af CERT-EU).

3.   De pågældende datakategorier er hårde data (»objektive« data såsom identifikationsdata, kontaktdata, faglige data, administrative oplysninger, data fra specifikke kilder, elektronisk kommunikations- og trafikdata) og/eller bløde data (»subjektive« data, der vedrører sager, såsom argumenter, adfærdsdata, data fra udviklingssamtaler, præstations- og adfærdsdata samt data, der er knyttet til eller fremsat i forbindelse med genstanden for proceduren eller aktiviteten).

4.   Hvor EFSA udfører sine forpligtelser med hensyn til registreredes rettigheder i henhold til forordning (EU) 2018/1725, skal de tage stilling til, om nogen af de undtagelser, der er fastsat i nævnte forordning, finder anvendelse.

5.   På de betingelser, der er fastsat i denne afgørelse, kan begrænsningerne gælde følgende rettigheder: informering af registrerede, ret til indsigt, berigtigelse, sletning, begrænsning af behandlingen, underretning af den registrerede om et brud på persondatasikkerheden eller kommunikationsfortrolighed.

1.   De sikkerhedsforanstaltninger, der er indført for at undgå brud på datasikkerheden, læk eller uautoriseret videregivelse, er som følger:

2.   Den dataansvarlige for behandlingsaktiviteter er EFSA repræsenteret ved sin administrerende direktør, som kan uddelegere den dataansvarliges funktion. De registrerede informeres om den delegerede dataansvarlige via de databeskyttelsesmeddelelser eller fortegnelser, der offentliggøres på EFSA's websted og/eller intranet og/eller i virksomhedsservicekataloget.

3.   Opbevaringsperioden for de personoplysninger, der er omhandlet i artikel 1, stk. 3, er ikke længere end det, der er nødvendigt og passende for de formål, hvortil oplysningerne behandles. Den er under ingen omstændigheder længere end den opbevaringsperiode, der er angivet i de i artikel 5, stk. 1, omhandlede databeskyttelsesmeddelelser, privatlivserklæringer eller fortegnelser.

4.   Hvor EFSA påtænker at gøre en begrænsning gældende, vægtes risikoen for den registreredes grundlæggende rettigheder og frihedsrettigheder, især i forhold til risikoen for andre registreredes grundlæggende rettigheder og frihedsrettigheder og risikoen for at undergrave EFSA's efterforskninger eller procedurer, f.eks. ved at ødelægge beviser. Risiciene for den registreredes grundlæggende rettigheder og frihedsrettigheder vedrører primært, men er ikke begrænset til, omdømmemæssige risici og risici for retten til forsvar og retten til at blive hørt.

1.   Begrænsninger anvendes kun af EFSA for at sikre:

2.   Som en særlig anvendelse af de formål, der er beskrevet i stk. 1 ovenfor, kan EFSA anvende begrænsninger i forbindelse med personoplysninger, der er udvekslet med Kommissionens tjenestegrene eller andre EU-institutioner, -organer, -agenturer og -kontorer, medlemsstaternes kompetente myndigheder eller tredjelande eller internationale organisationer, under følgende omstændigheder:

Inden der pålægges begrænsninger i de tilfælde, som er omtalt i litra a) og b) ovenfor, hører EFSA de relevante tjenestegrene i Kommissionen, de relevante EU-institutioner, -organer, -agenturer, -kontorer eller de kompetente myndigheder i medlemsstaterne, medmindre det er klart for EFSA, at anvendelsen af en begrænsning er muliggjort ved en af de retsakter, der er omhandlet i disse punkter.

3.   Enhver begrænsning er nødvendig og forholdsmæssig under hensyntagen til risiciene for de registreredes grundlæggende rettigheder og frihedsrettigheder og respekterer kernen i de grundlæggende rettigheder og frihedsrettigheder i et demokratisk samfund.

4.   Hvis det overvejes at pålægge begrænsninger, foretages der en nødvendigheds- og proportionalitetstest baseret på de nuværende regler. Af hensyn til ansvarlighed dokumenteres vurderingen gennem en intern vurderingsnote i hvert enkelt tilfælde.

5.   Begrænsningerne ophæves, så snart de omstændigheder, der begrunder dem, ikke længere gælder, navnlig hvis det fastslås, at udøvelsen af den begrænsede ret ikke længere ville ophæve virkningen af den indførte begrænsning eller have en negativ indvirkning på andre registreredes rettigheder eller friheder. I så fald ophæves begrænsningerne så hurtigt som muligt og inden for fem arbejdsdage fra indtrædelsen af de ændrede retlige eller faktiske omstændigheder.

1.   EFSA underretter uden unødig forsinkelse EFSA's databeskyttelsesansvarlige (»den databeskyttelsesansvarlige«), når den dataansvarlige begrænser anvendelsen af de registreredes rettigheder eller forlænger begrænsningen i overensstemmelse med denne afgørelse. Den dataansvarlige giver den databeskyttelsesansvarlige adgang til den fortegnelse, som indeholder en vurdering af, om begrænsningen er nødvendig og forholdsmæssig, og dokumenterer datoen for underretningen af den databeskyttelsesansvarlige i fortegnelsen.

2.   Den databeskyttelsesansvarlige kan anmode den dataansvarlige skriftligt om på ny at gennemgå anvendelsen af begrænsningerne. Den dataansvarlige underretter den databeskyttelsesansvarlige skriftligt om udfaldet af den ønskede fornyede gennemgang.

3.   Den dataansvarlige underretter den databeskyttelsesansvarlige, når begrænsningen er blevet ophævet.

1.   I behørigt begrundede tilfælde og på de betingelser, der er fastsat i denne afgørelse, kan den dataansvarlige begrænse retten til information i forbindelse med følgende behandlingsaktiviteter:

De i artikel 31 i forordning (EU) 2018/1725 omhandlede databeskyttelsesmeddelelser, privatlivserklæringer eller fortegnelser, som EFSA offentliggør på sit websted og/eller intranet for at informere de registrerede om deres rettigheder inden for rammerne af en given procedure, indeholder information om den potentielle begrænsning af disse rettigheder. Informationen redegør for, hvilke rettigheder der kan begrænses, årsagerne hertil og den potentielle varighed.

2.   Med forbehold af bestemmelserne i stk. 3, og hvor det er forholdsmæssigt, informerer EFSA også hver registrerede, der betragtes som en person, der er berørt af den specifikke behandling, om dennes rettigheder vedrørende gældende eller kommende begrænsninger, uden unødig forsinkelse og skriftligt.

3.   Hvor EFSA helt eller delvist begrænser videregivelsen af information til de registrerede, jf. stk. 2, registrerer de årsagerne til begrænsningen, retsgrundlaget i overensstemmelse med artikel 3 i denne afgørelse, herunder en vurdering af, om begrænsningen er nødvendig og forholdsmæssig.

Fortegnelsen og, i givet fald, de dokumenter, der indeholder underliggende faktuelle og retlige elementer, registreres. De stilles efter anmodning til rådighed for Den Europæiske Tilsynsførende for Databeskyttelse.

4.   Den i stk. 3 omhandlede begrænsning finder anvendelse, så længe begrundelsen herfor fortsat er til stede, og ophæves så hurtigt som muligt og inden for fem arbejdsdage fra indtrædelsen af de ændrede retlige eller faktiske omstændigheder.

Hvor begrundelsen for begrænsningen ikke længere er til stede, underretter EFSA den registrerede om de vigtigste bevæggrunde, der ligger til grund for anvendelsen af begrænsningen. EFSA informerer samtidig den registrerede om, at denne til enhver tid har ret til at indgive en klage til Den Europæiske Tilsynsførende for Databeskyttelse eller til at indbringe sagen for Den Europæiske Unions Domstol.

EFSA foretager en fornyet gennemgang af anvendelsen af begrænsningen hvert halve år fra dens vedtagelse og ved afslutningen af den relevante bevisoptagelse, procedure eller efterforskning.

1.   I behørigt begrundede tilfælde og på de betingelser, der er fastsat i denne afgørelse, kan den dataansvarlige begrænse retten til indsigt, for så vidt det er nødvendigt og forholdsmæssigt, i forbindelse med følgende behandlingsaktiviteter:

Hvor de registrerede anmoder om indsigt i deres personoplysninger i forbindelse med en eller flere specifikke sager eller en bestemt behandling i overensstemmelse med artikel 17 i forordning (EU) 2018/1725, begrænser EFSA sin vurdering af anmodningen til kun at omfatte sådanne personoplysninger.

2.   Hvor EFSA helt eller delvis begrænser retten til indsigt, jf. artikel 17 i forordning (EU) 2018/1725, tager de følgende skridt:

Leveringen af information omhandlet i litra a) kan udskydes, udelades eller afvises, hvis den ville ophæve virkningen af begrænsningen, i overensstemmelse med artikel 25, stk. 8, i forordning (EU) 2018/1725.

EFSA tager anvendelsen af begrænsningen op til revision hvert halve år fra dens vedtagelse og ved afslutningen af den relevante efterforskning.

3.   Fortegnelsen og, i givet fald, de dokumenter, der indeholder underliggende faktuelle og retlige elementer, registreres. De stilles efter anmodning til rådighed for Den Europæiske Tilsynsførende for Databeskyttelse.

1.   I behørigt begrundede tilfælde og på de betingelser, der er fastsat i denne afgørelse, kan den dataansvarlige begrænse retten til berigtigelse, sletning og begrænsning, for så vidt det er nødvendigt og forholdsmæssigt, i forbindelse med følgende behandlingsaktiviteter:

2.   Hvor EFSA helt eller delvist begrænser anvendelsen af retten til berigtigelse, sletning og begrænsning af behandling, jf. artikel 18, artikel 19, stk. 1, og artikel 20, stk. 1, i forordning (EU) 2018/1725, træffer de de foranstaltninger, der er fastsat i artikel 6, stk. 2, i denne afgørelse, og registrerer fortegnelsen i overensstemmelse med artikel 6, stk. 3, heri.

1.   I behørigt begrundede tilfælde og på de betingelser, der er fastsat i denne afgørelse, kan den dataansvarlige begrænse retten til underretning om et brud på persondatasikkerheden, for så vidt det er nødvendigt og forholdsmæssigt, i forbindelse med følgende behandlingsaktiviteter:

2.   I behørigt begrundede tilfælde og på de betingelser, der er fastsat i denne afgørelse, kan den dataansvarlige begrænse retten til fortrolighed af elektronisk kommunikation, for så vidt det er nødvendigt og forholdsmæssigt, i forbindelse med følgende behandlingsaktiviteter:

3.   Hvor EFSA indfører begrænsninger i underretningen af den registrerede om et brud på persondatasikkerheden eller fortroligheden af elektronisk kommunikation, som omhandlet i artikel 35 og 36 i forordning (EU) 2018/1725, optegner og registrerer de årsagerne til begrænsningen, i overensstemmelse med artikel 5, stk. 3, i denne afgørelse. Artikel 5, stk. 4, i denne afgørelse finder anvendelse.