1.   Ez a határozat azokra a feltételekre vonatkozó szabályokat állapítja meg, amelyekkel az EFSA a (2) bekezdésben meghatározott eljárások keretében korlátozhatja az (EU) 2018/1725 rendelet 14–21., 35. és 36. cikkében említett jogok, továbbá – a 25. cikket követve – a 4. cikk alkalmazását.

2.   Az EFSA adminisztratív működésének keretében ez a határozat az EFSA által személyes adatokon a következő célokból végzett adatkezelési műveletekre alkalmazandó: igazgatási vizsgálatok, fegyelmi eljárások lefolytatása, az OLAF-nak bejelentett lehetséges szabálytalanságok eseteivel kapcsolatos előkészítő tevékenységek végzése, visszaélés bejelentésével kapcsolatos ügyek, (hivatalos és nem hivatalos) zaklatási eljárások, belső és külső panaszok kezelése, belső ellenőrzések végzése, az adatvédelmi tisztviselő által az (EU) 2018/1725 rendelet 45. cikkének (2) bekezdésével összhangban végzett vizsgálatok és a Hatóságon belül kezelt vagy külső felek (pl. a CERT-EU) bevonásával végzett (informatikai) biztonsági vizsgálatok.

3.   Az érintett adatkategóriák: tényszerű adatok („objektív adatok”, mint a személyazonosító adatok, az elérhetőségi adatok, a szakmai adatok, a részletes igazgatási adatok, a meghatározott forrásokból származó adatok, az elektronikus kommunikáció adatai és a forgalmi adatok) és/vagy a véleményeken alapuló adatok (az üggyel kapcsolatos „szubjektív” adatok, mint például az indokolás, a viselkedési adatok, az értékelésre, a teljesítményre és a lebonyolításra vonatkozó adatok, valamint az eljárás vagy tevékenység tárgyára vonatkozó vagy azzal kapcsolatban előterjesztett adatok).

4.   Amennyiben az EFSA a feladatait az érintett (EU) 2018/1725 rendelet szerinti jogaira figyelemmel látja el, meg kell vizsgálnia, hogy az említett rendeletben rögzített mentességek valamelyike nem alkalmazandó-e.

5.   Az e határozatban meghatározott feltételek mellett a korlátozások a következő jogokra vonatkozhatnak: információszolgáltatás az érintettek részére, hozzáférési, helyesbítési, törlési jog, az adatkezelés korlátozásához való jog, az érintett tájékoztatása adatvédelmi incidensekről, illetve az elektronikus közlések bizalmas kezelése.

1.   Az adatvédelmi incidens, adatok kiszivárgása és a jogosulatlan közlés megakadályozására bevezetett garanciák a következők:

2.   Az adatkezelési műveletek adatkezelője az EFSA, amelyet ügyvezető igazgatója képvisel, aki az adatkezelői feladatkört átruházhatja. Az érintetteket az EFSA weboldalán, intranetes felületén és/vagy Üzleti Szolgáltatások Katalógusában közzétett adatvédelmi értesítések vagy nyilvántartások útján tájékoztatni kell a meghatalmazott adatkezelő személyéről.

3.   A személyes adatok 1. cikk (3) bekezdésében említett megőrzési ideje nem lehet hosszabb, mint amennyi az adatkezelés céljához mérten szükséges és megfelelő. Ez semmilyen körülmények között sem haladhatja meg az 5. cikk (1) bekezdésében említett adatvédelmi értesítésekben, adatvédelmi nyilatkozatokban vagy nyilvántartásokban meghatározott megőrzési időtartamot.

4.   Amikor az EFSA korlátozás alkalmazását mérlegeli, számba kell vennie az érintett jogaira és szabadságaira nézve fennálló kockázatokat, különösen a többi érintett jogaira és szabadságaira nézve fennálló kockázat, valamint azon kockázat szempontjából, hogy például a bizonyítékok megsemmisítésével az EFSA vizsgálatai vagy eljárásai hatástalanná válnak. Az érintett jogait és szabadságait érintő kockázatok elsősorban, de nem kizárólag, a jó hírnévvel, valamint a védelemhez és a meghallgatáshoz való joggal kapcsolatos kockázatokat foglalják magukban.

1.   Az EFSA korlátozást kizárólag a következők biztosítása érdekében alkalmazhat:

2.   A fenti (1) bekezdésben ismertetett célok egyedi alkalmazásaként az EFSA az alábbi körülmények fennállása esetén alkalmazhat korlátozásokat a bizottsági szolgálatokkal vagy más uniós intézményekkel, szervekkel, ügynökségekkel és hivatalokkal, a tagállamok vagy harmadik országok illetékes hatóságaival vagy nemzetközi szervezetekkel kicserélt személyes adatok tekintetében:

Mielőtt a fenti a) és b) pontban említett körülmények fennállása esetén a korlátozások alkalmazására sor kerül, az EFSA konzultál az érintett bizottsági szolgálatokkal, uniós intézményekkel, szervekkel, ügynökségekkel, hivatalokkal vagy a tagállamok illetékes hatóságaival, kivéve, ha egyértelmű az EFSA számára, hogy a korlátozás alkalmazásáról a nevezett pontokban említett valamelyik jogi aktus rendelkezik.

3.   Minden korlátozásnak szükségesnek és arányosnak kell lennie, figyelembe véve az érintettek jogaira és szabadságaira nézve fennálló kockázatokat, és tiszteletben kell tartania az alapvető jogok és szabadságok lényeges tartalmát egy demokratikus társadalomban.

4.   Ha egy korlátozás alkalmazása mellett döntenek, a jelen szabályok alapján szükségességi és arányossági vizsgálatot kell végezni. Elszámoltathatósági okokból a vizsgálatot – eseti alapon – belső értékelő feljegyzés útján dokumentálni kell.

5.   A korlátozásokat haladéktalanul meg kell szüntetni, amint az azokat indokoló körülmények már nem állnak fenn, különösen akkor, ha úgy ítélik meg, hogy a korlátozott jog gyakorlása már nem oltaná ki a megállapított korlátozás hatását, vagy nem érintené hátrányosan más érintettek jogait vagy szabadságait. Ebben az esetben a korlátozásokat a lehető leghamarabb, főszabályként a jogi vagy ténybeli körülmények megváltozásától számított öt munkanapon belül megszüntetik.

1.   Az EFSA haladéktalanul tájékoztatja adatvédelmi tisztviselőjét (DPO), amikor az adatkezelő e határozat szerint korlátozza az érintettek jogait, vagy kiterjeszti a korlátozást. Az adatkezelő hozzáférést biztosít az adatvédelmi tisztviselő számára a korlátozás szükségességének és arányosságának értékelését tartalmazó nyilvántartáshoz, és a nyilvántartásban rögzíti az adatvédelmi tisztviselő tájékoztatásának időpontját.

2.   Az adatvédelmi tisztviselő írásban kérheti az adatkezelőt, hogy vizsgálja felül a korlátozások alkalmazását. Az adatkezelő írásban tájékoztatja az adatvédelmi tisztviselőt a kért felülvizsgálat eredményéről.

3.   Az adatkezelő tájékoztatja az adatvédelmi tisztviselőt a korlátozás feloldásáról.

1.   Kellően indokolt esetekben, továbbá az e határozatban meghatározott feltételek mellett az adatkezelő a következő adatkezelési műveletekkel összefüggésben korlátozhatja a tájékoztatáshoz való jogot:

Az EFSA az (EU) 2018/1725 rendelet 31. cikkének értelmében vett adatvédelmi értesítésekben, adatvédelmi nyilatkozatokban vagy nyilvántartásokban, amelyeket a weboldalán és/vagy az intraneten tesz közzé, és amelyekben tájékoztatja az érintetteket a konkrét eljárásban rendelkezésükre álló jogokról, tájékoztatást ad a szóban forgó jogok esetleges korlátozásáról. A tájékoztatás kiterjed arra, hogy a korlátozás adott esetben mely jogokra vonatkozik, valamint a korlátozás okaira és lehetséges időtartamára.

2.   A (3) bekezdés rendelkezéseinek sérelme nélkül, az EFSA – amennyiben arányos – haladéktalanul írásban egyenként is tájékoztat minden olyan érintettet, akit megítélése szerint a konkrét adatkezelési művelet érint, a jelenlegi vagy jövőbeli korlátozásokkal kapcsolatos jogaikról.

3.   Amennyiben az EFSA teljes egészében vagy részben korlátozza az érintettek részére történő, a (2) bekezdésben említett információszolgáltatást, nyilvántartásban dokumentálnia kell a korlátozás okait, a jogalapot e határozat 3. cikkével összhangban, a korlátozás szükségességének és arányosságának értékelését is beleértve.

A nyilvántartást és adott esetben a mögöttes ténybeli és jogi elemeket tartalmazó dokumentumokat regisztrálni kell. Kérésre ezeket az európai adatvédelmi biztos rendelkezésére kell bocsátani.

4.   A (3) bekezdésben említett korlátozást továbbra is alkalmazni kell, mindaddig, amíg az azt indokolttá tevő okok fennállnak, és a jogi vagy ténybeli körülmények megváltozásától számított lehető leghamarabb, és főszabályként öt munkanapon belül el kell törölni.

Ha a korlátozás okai már nem állnak fenn, az EFSA tájékoztatja az érintettet a korlátozás alkalmazásának fő indokairól. Ezzel egyidejűleg az EFSA tájékoztatja az érintettet arról a lehetőségről, hogy bármikor panaszt nyújthat be az európai adatvédelmi biztoshoz, vagy bírósági jogorvoslati kérelmet terjeszthet elő az Európai Unió Bíróságán.

Az EFSA az elfogadásától számított hathavonként, valamint a vonatkozó megkeresés, eljárás vagy vizsgálat lezárásakor felülvizsgálja a korlátozás alkalmazását.

1.   Kellően indokolt esetekben, továbbá az e határozatban meghatározott feltételek mellett az adatkezelő a következő adatkezelési műveletekkel összefüggésben korlátozhatja a hozzáférési jogot, ha szükséges és helyénvaló:

Ha az érintett egy vagy több konkrét esettel vagy egy konkrét adatkezelési művelettel összefüggésben kezelt személyes adataihoz kér hozzáférést az (EU) 2018/1725 rendelet 17. cikkével összhangban, az EFSA a kérelem értékelését kizárólag a szóban forgó személyes adatokra korlátozza.

2.   Ha az EFSA teljes egészében vagy részben korlátozza az (EU) 2018/1725 rendelet 17. cikkében említett hozzáférési jogot, megteszi a következő lépéseket:

Az a) pontban említett tájékoztatást el lehet halasztani, el lehet hagyni vagy meg lehet tagadni, ha a tájékoztatás ellehetetlenítené az (EU) 2018/1725 rendelet 25. cikkének (8) bekezdése értelmében elrendelt korlátozás hatását.

Az EFSA az elfogadásától számított hathavonként, valamint a vonatkozó vizsgálat lezárásakor felülvizsgálja a korlátozás alkalmazását.

3.   A nyilvántartást és adott esetben a mögöttes ténybeli és jogi elemeket tartalmazó dokumentumokat regisztrálni kell. Kérésre ezeket az európai adatvédelmi biztos rendelkezésére kell bocsátani.

1.   Kellően indokolt esetekben, továbbá az e határozatban meghatározott feltételek mellett az adatkezelő a következő adatkezelési műveletekkel összefüggésben korlátozhatja a helyesbítési, törlési és korlátozási jogot, ha szükséges és arányos:

2.   Ha az EFSA teljes egészében vagy részben korlátozza az (EU) 2018/1725 rendelet 18. cikkében, 19. cikke (1) bekezdésében, illetve 20. cikke (1) bekezdésében említett helyesbítési, törlési jogot, illetve az adatkezelés korlátozásához való jogot, meg kell tennie az e határozat 6. cikkének (2) bekezdésében meghatározott lépéseket, és a 6. cikk (3) bekezdése szerint dokumentálnia kell ezt a nyilvántartásban.

1.   Kellően indokolt esetekben, továbbá az e határozatban meghatározott feltételek mellett az adatkezelő a következő adatkezelési műveletekkel összefüggésben korlátozhatja az adatvédelmi incidens közléséhez való jogot, ha szükséges és arányos:

2.   Kellően indokolt esetekben, továbbá az e határozatban meghatározott feltételek mellett az adatkezelő a következő adatkezelési műveletekkel összefüggésben korlátozhatja az elektronikus hírközlés bizalmas kezeléséhez való jogot, ha szükséges és arányos:

3.   Ha az EFSA korlátozza az érintett – az (EU) 2018/1725 rendelet 35. és 36. cikkében említett – adatvédelmi incidensről való tájékoztatását vagy az elektronikus hírközlés bizalmas jellegét, e határozat 5. cikkének (3) bekezdése szerint dokumentálja és nyilvántartásban rögzíti a korlátozás okait. E határozat 5. cikkének (4) bekezdése alkalmazandó.