1.   Tässä päätöksessä esitetään säännöt, jotka liittyvät ehtoihin, joilla EFSA voi 2 kohdassa esitettyjen menettelyjensä yhteydessä rajoittaa 14–21, 35 ja 36 artiklassa sekä 4 artiklassa vahvistettujen oikeuksien soveltamista asetuksen (EU) 2018/1725 25 artiklan mukaisesti.

2.   EFSAn hallinnollisen toiminnan yhteydessä tätä päätöstä sovelletaan EFSAn seuraavia tarkoituksia varten suorittamiin henkilötietojen käsittelytoimiin: hallinnollisten tutkimusten tekeminen, kurinpitomenettelyt, alustavat toimet, jotka liittyvät Euroopan petostentorjuntavirastolle ilmoitettuihin mahdollisiin säännönvastaisuuksiin, väärinkäytösten paljastamismenettelyjen käsittely, (viralliset ja epäviralliset) häirintätapauksia koskevat menettelyt, sisäisten ja ulkoisten valitusten käsittely, sisäisten tarkastusten tekeminen, tietosuojavastaavan asetuksen (EU) 2018/1725 45 artiklan 2 kohdan mukaisesti tekemät tutkimukset ja sisäisesti tai ulkoisella tuella (esim. EU:n toimielinten, elinten ja virastojen tietotekniikan kriisiryhmän avulla) käsiteltävät (tieto)turvatutkimukset.

3.   Kyseessä olevat tietoryhmät ovat ”kovia” tietoja (objektiivisia tietoja, kuten tunnistetietoja, yhteystietoja, ammatillisia tietoja, hallinnollisia tietoja, erityisistä lähteistä saatuja tietoja, sähköistä viestintää ja tietojen liikennettä koskevia tietoja) ja/tai ”pehmeitä” tietoja (tapaukseen liittyviä subjektiivisia tietoja, kuten päättelyä, käyttäytymistietoja, arviointeja, suorituskykyä ja käytöstä koskevia tietoja ja menettelyn tai toimen aiheeseen liittyviä tai sen yhteydessä esitettyjä tietoja).

4.   Kun EFSA suorittaa rekisteröityjen oikeuksia koskevia velvollisuuksiaan asetuksen (EU) 2018/1725 mukaisesti, sen on harkittava, ovatko jotkin kyseisessä asetuksessa säädetyt poikkeukset sovellettavissa.

5.   Rajoitukset voivat koskea seuraavia oikeuksia, jos tässä päätöksessä esitetyistä ehdoista ei muuta johdu: tietojen antaminen rekisteröidyille, oikeus saada pääsy tietoihin, oikaista tiedot, poistaa tiedot, rajoittaa käsittelyä, oikeus henkilötietojen tietoturvaloukkauksesta ilmoittamiseen rekisteröidylle tai oikeus tietojen luottamuksellisuuteen.

1.   Tietoturvaloukkausten, tietovuotojen tai luvattoman luovuttamisen välttämiseksi käytössä ovat seuraavat takeet:

2.   Käsittelytoimien rekisterinpitäjä on EFSA, jota edustaa sen pääjohtaja, joka voi siirtää rekisterinpitäjän tehtävän eteenpäin. Rekisteröidyille ilmoitetaan rekisterinpitäjän tehtävän siirtämisestä tietosuojaselosteissa tai asiakirjoissa, jotka julkaistaan EFSAn verkkosivustolla ja/tai palveluluettelossa.

3.   Edellä 1 artiklan 3 kohdassa tarkoitettuja henkilötietoja on säilytettävä ainoastaan niin kauan kuin on tarpeellista ja asianmukaista tietojenkäsittelyn tarkoitusta varten. Säilytysaika ei missään tapauksessa saa olla pidempi kuin tietoturvaselosteessa, tietosuojaselosteessa tai 5 artiklan 1 kohdassa tarkoitetuissa tiedoissa määritetty säilytysaika.

4.   Jos EFSA aikoo soveltaa rajoitusta, rekisteröidyn oikeuksia ja vapauksia koskevia riskejä punnitaan erityisesti muiden rekisteröityjen oikeuksia ja vapauksia koskevaan riskiin nähden sekä sen riskin perusteella, että EFSAn tutkimusten tai menettelyjen vaikutus poistuu esimerkiksi todisteiden tuhoutumisen vuoksi. Rekisteröidyn oikeuksia ja vapauksia koskevat riskit liittyvät etupäässä muun muassa maineriskeihin sekä riskeihin, jotka koskevat oikeutta puolustautua ja oikeutta tulla kuulluksi.

1.   EFSAn on sovellettava rajoituksia vain seuraavien takaamiseksi:

2.   EFSA voi edellä 1 kohdassa kuvatun rajoituksen erityisenä soveltamistapana soveltaa rajoituksia komission yksiköiden tai muiden unionin toimielinten, elinten, virastojen ja toimistojen, jäsenvaltioiden toimivaltaisten viranomaisten tai kolmansien maiden tai kansainvälisten järjestöjen kanssa vaihdettaviin henkilötietoihin seuraavissa olosuhteissa:

Ennen rajoitusten soveltamista edellä kohdissa a ja b tarkoitetuissa olosuhteissa EFSA:n on kuultava asianomaisia komission yksiköitä, unionin toimielimiä, elimiä, virastoja ja toimistoja tai jäsenvaltioiden toimivaltaisia viranomaisia, paitsi jos EFSA:lle on selvää, että rajoituksen soveltamisesta säädetään jossakin kyseisissä kohdissa tarkoitetussa säädöksessä.

3.   Kaikkien rajoitusten on oltava tarpeellisia ja oikeasuhteisia, ja niissä on otettava huomioon riskit rekisteröityjen oikeuksille ja vapauksille ja noudatettava olennaisilta osin demokraattisen yhteiskunnan perusoikeuksia ja -vapauksia.

4.   Jos rajoituksen soveltamista harkitaan, on tehtävä tarpeellisuuden ja oikeasuhteisuuden testi näiden sääntöjen perusteella. Se on dokumentoitava sisäisessä arviointimuistiossa tapauskohtaisesti vastuuvelvollisuutta varten.

5.   Rajoitukset on poistettava heti, kun ne oikeuttavat olosuhteet eivät ole enää olemassa, varsinkin kun katsotaan, että rajoitetun oikeuden käyttäminen ei enää poistaisi rajoituksen vaikutusta tai haittaisi muiden rekisteröityjen oikeuksia ja vapauksia. Sellaisessa tapauksessa rajoitukset on poistettava mahdollisimman pian, periaatteessa viiden työpäivän kuluessa siitä, kun oikeudelliset tai tosiasialliset olosuhteet ovat muuttuneet.

1.   EFSA:n on ilmoitettava tietosuojavastaavalleen ilman aiheetonta viivytystä aina, kun rekisterinpitäjä rajoittaa rekisteröityjen oikeuksien soveltamista tai jatkaa rajoitusta tämän päätöksen mukaisesti. Rekisterinpitäjän on annettava tietosuojavastaavalle pääsy kirjattuihin tietoihin, jotka sisältävät rajoituksen tarpeellisuuden ja oikeasuhteisuuden arvioinnin, ja dokumentoitava päivämäärä, jona tietosuojavastaavalle on ilmoitettu kirjatuista tiedoista.

2.   Tietosuojavastaava voi pyytää rekisterinpitäjää kirjallisesti tarkastelemaan uudelleen rajoitusten soveltamista. Rekisterinpitäjän on ilmoitettava tietosuojavastaavalle kirjallisesti pyydetyn uudelleentarkastelun tuloksista.

3.   Rekisterinpitäjän on ilmoitettava tietosuojavastaavalle, kun rajoitus on poistettu.

1.   Asianmukaisesti perustelluissa tapauksissa ja tässä päätöksessä esitetyin ehdoin rekisterinpitäjä voi rajoittaa oikeutta tietojen saamiseen seuraavien käsittelytoimien yhteydessä:

EFSAn on liitettävä tietoturvaselosteisiin, tietosuojaselosteisiin tai asetuksen (EU) 2018/1725 31 artiklassa tarkoitettuihin tietoihin, jotka julkaistaan sen verkkosivustolla ja/tai intranetissä ja joilla ilmoitetaan rekisteröidyille näiden oikeuksista tietyn menettelyn yhteydessä, tiedot näiden oikeuksien mahdollisesta rajoittamisesta. Tiedoissa on ilmoitettava, mitä oikeuksia voidaan rajoittaa, rajoittamisen syyt ja mahdollinen kesto.

2.   Sanotun rajoittamatta 3 kohdan säännöksiä ja kun se on oikeasuhteista, EFSAn on myös ilmoitettava ilman aiheetonta viivytystä kirjallisesti yksittäin kaikille rekisteröidyille, jotka katsotaan tietyssä käsittelytoimessa asianomaisiksi henkilöiksi, näiden oikeuksista, jotka koskevat nykyisiä tai tulevia rajoituksia.

3.   Jos EFSA rajoittaa kokonaan tai osittain 2 kohdassa tarkoitettua tietojen antamista rekisteröidyille, sen on kirjattava rajoituksen syyt ja oikeusperusta tämän päätöksen 3 artiklan mukaisesti sekä rajoituksen tarpeellisuuden ja oikeasuhteisuuden arviointi.

Kirjatut tiedot ja mahdolliset asiakirjat, joista perusteena olevat seikat tai oikeudelliset syyt käyvät ilmi, on rekisteröitävä. Ne on pyynnöstä annettava Euroopan tietosuojavaltuutetun käyttöön.

4.   Kohdassa 3 tarkoitettua rajoitusta sovelletaan niin kauan kuin sen oikeuttavat syyt ovat olemassa, ja se on poistettava mahdollisimman pian, periaatteessa viiden työpäivän kuluessa oikeudellisten tai tosiasiallisten olosuhteiden muuttumisesta.

Kun rajoituksen syyt eivät ole enää sovellettavissa, EFSAn on ilmoitettava rekisteröidylle pääasialliset syyt, joihin rajoituksen soveltaminen perustuu. EFSAn on samalla ilmoitettava rekisteröidylle mahdollisuudesta tehdä milloin tahansa kantelu Euroopan tietosuojavaltuutetulle tai viedä asia Euroopan unionin tuomioistuimeen.

EFSAn on tarkasteltava rajoituksen soveltamista uudelleen kuuden kuukauden välein sen käyttöön ottamisesta sekä kyseisen tutkimuksen tai menettelyn päättämisen yhteydessä.

1.   Asianmukaisesti perustelluissa tapauksissa ja tässä päätöksessä esitetyin ehdoin rekisterinpitäjä voi rajoittaa oikeutta saada pääsy tietoihin seuraavien käsittelytoimien yhteydessä, kun se on tarpeellista ja oikeasuhteista:

Jos rekisteröity pyytää pääsyä yhden tai useamman erityistapauksen yhteydessä käsiteltäviin henkilötietoihinsa tai tiettyyn käsittelytoimeen asetuksen (EU) 2018/1725 17 artiklan mukaisesti, EFSA rajoittaa pyynnön arvioinnin vain kyseisiin henkilötietoihin.

2.   Kun EFSA rajoittaa kokonaan tai osittain asetuksen (EU) 2018/1725 17 artiklassa tarkoitettua rekisteröityjen oikeutta päästä henkilötietoihin, sen on toteutettava seuraavat toimenpiteet:

Edellä kohdassa a tarkoitettua ilmoitusta voidaan lykätä, se voidaan jättää antamatta tai se voidaan evätä, jos se poistaisi asetuksen (EU) 2018/1725 25 artiklan 8 kohdan mukaisen rajoituksen vaikutuksen.

EFSAn on tarkasteltava rajoituksen soveltamista uudelleen kuuden kuukauden välein sen käyttöön ottamisesta sekä asiaankuuluvan tutkimuksen päättämisen yhteydessä.

3.   Kirjatut tiedot ja mahdolliset asiakirjat, joista perusteena olevat seikat tai oikeudelliset syyt käyvät ilmi, on rekisteröitävä. Ne on pyynnöstä annettava Euroopan tietosuojavaltuutetun käyttöön.

1.   Asianmukaisesti perustelluissa tapauksissa ja tässä päätöksessä esitetyin ehdoin rekisterinpitäjä voi rajoittaa oikeutta tietojen oikaisemiseen, poistamiseen ja käsittelyn rajoittamiseen seuraavien käsittelytoimien yhteydessä, kun se on tarpeellista ja asianmukaista:

2.   Kun EFSA rajoittaa kokonaan tai osittain asetuksen (EU) 2018/1725 18 artiklassa tarkoitettua oikeutta tietojen oikaisemiseen, 19 artiklan 1 kohdassa tarkoitettua oikeutta tietojen poistamiseen tai 20 artiklan 1 kohdassa tarkoitettua oikeutta käsittelyn rajoittamiseen, sen on toteuttava tämän päätöksen 6 artiklan 2 kohdassa tarkoitetut toimenpiteet ja rekisteröitävä kirjatut tiedot päätöksen 6 artiklan 3 kohdan mukaisesti.

1.   Asianmukaisesti perustelluissa tapauksissa ja tässä päätöksessä esitetyin ehdoin rekisterinpitäjä voi rajoittaa oikeutta henkilötietojen tietoturvaloukkauksista ilmoittamiseen seuraavien käsittelytoimien yhteydessä, kun se on tarpeellista ja asianmukaista:

2.   Asianmukaisesti perustelluissa tapauksissa ja tässä päätöksessä esitetyin edellytyksin rekisterinpitäjä voi rajoittaa oikeutta sähköisen viestinnän luottamuksellisuuteen seuraavien käsittelytoimien yhteydessä, kun se on tarpeellista ja asianmukaista:

3.   Jos EFSA rajoittaa asetuksen (EU) 2018/1725 35 artiklassa tarkoitettua henkilötietojen tietoturvaloukkauksesta ilmoittamista rekisteröidyille tai 36 artiklassa tarkoitettua sähköisen viestinnän luottamuksellisuutta, sen on kirjattava ja rekisteröitävä rajoituksen syyt tämän päätöksen 5 artiklan 3 kohdan mukaisesti. Tämän päätöksen 5 artiklan 4 kohtaa on sovellettava.