1.   Dit besluit bevat voorschriften betreffende de voorwaarden waaronder EFSA in het kader van haar in lid 2 beschreven procedures de toepassing kan beperken van de in de artikelen 14 tot en met 21, 35 en 36 vervatte rechten, alsmede van artikel 4, in overeenstemming met artikel 25 van Verordening (EU) 2018/1725.

2.   In het kader van de administratieve werking van EFSA is dit besluit van toepassing op de verwerking van persoonsgegevens door EFSA met als doel: het instellen van administratieve onderzoeken, het inleiden van tuchtprocedures, het verrichten van voorbereidende activiteiten in verband met mogelijke, bij OLAF aangemelde onregelmatigheden, het verwerken van klokkenluidersprocedures, het verwerken van (formele en informele) procedures in verband met intimidatie, het verwerken van interne en externe klachten, het uitvoeren van interne audits en het uitvoeren van onderzoek via de functionaris voor gegevensbescherming in overeenstemming met artikel 45, lid 2, van Verordening (EU) 2018/1725 en (IT‐)veiligheidsonderzoeken die intern of met externe betrokkenheid (bijvoorbeeld CERT‐EU) worden behandeld.

3.   De betreffende gegevenscategorieën zijn harde gegevens (“objectieve” gegevens zoals identificatiegegevens, contactgegevens, professionele gegevens, administratieve gegevens, gegevens uit specifieke bronnen, elektronische communicatie en verkeersgegevens) en/of zachte gegevens (“subjectieve” gegevens met betrekking tot de zaak, zoals redeneringen, gedragsgegevens, beoordelingen, prestatiegegevens en gegevens met betrekking tot of naar voren gebracht in verband met het voorwerp van de procedure of activiteit).

4.   Wanneer EFSA haar verplichtingen met betrekking tot de rechten van betrokkenen uit hoofde van Verordening (EU) 2018/1725 vervult, gaat zij na of een van de in die verordening vastgestelde vrijstellingen van toepassing is.

5.   Onder voorbehoud van de voorwaarden van dit besluit kunnen de beperkingen van toepassing zijn op de volgende rechten: informatieverstrekking aan betrokkenen, toegang, rectificatie, wissing, beperking van de verwerking, mededeling van een inbreuk in verband met persoonsgegevens aan de betrokkene of vertrouwelijkheid van elektronische communicatie.

1.   Teneinde gegevensinbreuken, gegevensverlies of ongeoorloofde onthulling van gegevens te voorkomen, zijn de volgende waarborgen ingevoerd:

2.   De verantwoordelijke voor de verwerkingsactiviteiten is EFSA, vertegenwoordigd door haar uitvoerend directeur, die deze verantwoordelijkheid kan delegeren. Betrokkenen worden over de gedelegeerde verantwoordelijke geïnformeerd door middel van mededelingen omtrent gegevensbescherming, of het register op EFSA’s website, intranetportaal en/of de dienstencatalogus.

3.   De in artikel 1, lid 3, bedoelde persoonsgegevens worden niet langer bewaard dan noodzakelijk en passend is voor de doeleinden waarvoor de gegevens worden verwerkt. In geen geval worden zij langer bewaard dan de retentieperiode die is aangegeven in de gegevensbeschermingsmededelingen, de privacyverklaringen of het register vermeld in artikel 5, lid 1.

4.   Wanneer EFSA overweegt een beperking in te stellen, wordt het risico voor de rechten en vrijheden van de betrokkene in het bijzonder afgewogen tegen het risico voor de rechten en vrijheden van andere betrokkenen en het risico van teloorgang van het effect van de onderzoeken of procedures van EFSA, bijvoorbeeld door het vernietigen van bewijsmateriaal. De risico’s voor de rechten en vrijheden van de betrokkene hebben voornamelijk betrekking op, maar zijn niet beperkt tot, reputatieschade en het recht zich te verdedigen en gehoord te worden.

1.   EFSA zal iedere beperking uitsluitend toepassen om het volgende te waarborgen:

2.   Als een specifieke toepassing van de in lid 1 beschreven doeleinden kan EFSA beperkingen opleggen met betrekking tot persoonsgegevens die worden uitgewisseld met de diensten van de Commissie of andere instellingen, organen en instanties van de Unie, bevoegde autoriteiten van lidstaten of derde landen of internationale organisaties, in de volgende situaties:

Alvorens beperkingen op te leggen in de omstandigheden bedoeld onder a) en b) hierboven, raadpleegt EFSA de desbetreffende diensten van de Commissie, instellingen, organen of instanties van de Unie of de bevoegde autoriteiten van de lidstaten, tenzij het haar duidelijk is dat de toepassing van een beperking is geboden door een van de in die punten genoemde handelingen.

3.   Elke beperking is noodzakelijk en evenredig, waarbij rekening wordt gehouden met de risico’s voor de rechten en vrijheden van betrokkenen en de essentie van de fundamentele rechten en vrijheden in een democratische samenleving onverlet wordt gelaten.

4.   Als een beperking wordt overwogen, wordt een noodzakelijkheids- en evenredigheidsonderzoek verricht op basis van onderhavige voorschriften. Ieder geval wordt voor verantwoordingsdoeleinden gedocumenteerd in een interne beoordelingsnota.

5.   Beperkingen worden opgeheven zodra de omstandigheden die de beperkingen rechtvaardigen niet meer gelden, met name wanneer wordt aangenomen dat de uitoefening van het beperkte recht de gevolgen van de opgelegde beperking niet langer tenietdoet of de rechten of vrijheden van andere betrokkenen niet langer aantast. In dat geval worden de beperkingen zo snel mogelijk opgeheven, in de regel binnen vijf werkdagen nadat de juridische of feitelijke omstandigheden veranderd zijn.

1.   EFSA informeert haar functionaris voor gegevensbescherming onverwijld wanneer de verwerkingsverantwoordelijke de toepassing van rechten van betrokkenen beperkt of de beperking verlengt overeenkomstig dit besluit. De verwerkingsverantwoordelijke geeft de functionaris voor gegevensbescherming toegang tot de beoordeling van de noodzaak en evenredigheid van de beperking en legt daarbij ook de datum vast waarop de functionaris voor gegevensbescherming werd geïnformeerd.

2.   De functionaris voor gegevensbescherming kan de verwerkingsverantwoordelijke schriftelijk verzoeken de toepassing van de beperkingen opnieuw te beoordelen. De verwerkingsverantwoordelijke informeert de functionaris voor gegevensbescherming schriftelijk over de uitkomst van de gevraagde beoordeling.

3.   De verwerkingsverantwoordelijke informeert de functionaris voor gegevensbescherming wanneer de beperking is opgeheven.

1.   In naar behoren gemotiveerde gevallen en onder de voorwaarden die in dit besluit zijn vastgelegd, kan de verwerkingsverantwoordelijke het recht op informatie beperken in het kader van de volgende verwerkingen:

In de gegevensbeschermingsmededelingen, de privacyverklaringen of het register in de zin van artikel 31 van Verordening (EU) 2018/1725, die op de website en/of het intranet van EFSA worden gepubliceerd en waarin betrokkenen worden geïnformeerd over hun rechten in het kader van een gegeven procedure, neemt EFSA informatie op over mogelijke beperkingen van deze rechten. Aangegeven wordt welke rechten kunnen worden beperkt, de redenen daarvan en de potentiële duur.

2.   Onverminderd het bepaalde in lid 3 informeert EFSA, voor zover dit redelijkerwijs mogelijk is, zonder onnodige vertraging en in schriftelijke vorm alle personen die als betrokkenen bij een specifieke verwerkingshandeling worden beschouwd, individueel over hun rechten met betrekking tot huidige of toekomstige beperkingen.

3.   Wanneer EFSA het verstrekken van informatie aan de in lid 2 bedoelde betrokkenen geheel of gedeeltelijk beperkt, legt zij de redenen voor de beperking, de rechtsgrond in overeenstemming met artikel 3 van dit besluit, alsook een beoordeling van de noodzaak en evenredigheid van de beperking vast.

De aantekening en, indien van toepassing, de documenten met onderliggende feitelijke en juridische elementen worden geregistreerd. Ze worden desgevraagd aan de Europese Toezichthouder voor gegevensbescherming verstrekt.

4.   De in lid 3 bedoelde beperking blijft van toepassing zolang de redenen die de beperking rechtvaardigen geldig blijven, en wordt zo snel mogelijk opgeheven, in de regel binnen vijf werkdagen nadat de juridische of feitelijke omstandigheden veranderd zijn.

Wanneer de redenen voor de beperking niet langer gelden, verstrekt EFSA de betrokkene informatie over de voornaamste redenen waarop de toepassing van een beperking is gebaseerd. Tegelijkertijd informeert EFSA de betrokkene over de mogelijkheid om te allen tijde bij de Europese Toezichthouder voor gegevensbescherming een klacht in te dienen of bij het Hof van Justitie van de Europese Unie beroep in te stellen.

EFSA herziet de toepassing van de beperking om de zes maanden vanaf de vaststelling ervan en bij de afsluiting van de enquête, de procedure of het onderzoek in kwestie.

1.   In naar behoren gemotiveerde gevallen en onder de voorwaarden van dit besluit kan de verwerkingsverantwoordelijke, indien noodzakelijk en evenredig, het recht op inzage beperken in het kader van de volgende verwerkingen:

Wanneer betrokkenen op grond van artikel 17 van Verordening (EU) 2018/1725 toegang vragen tot hun persoonsgegevens die worden verwerkt in de context van een of meer specifieke gevallen of tot een bepaalde verwerkingshandeling, beperkt EFSA haar beoordeling van het verzoek uitsluitend tot deze persoonsgegevens.

2.   Wanneer EFSA het recht van inzage als bedoeld in artikel 17 van Verordening (EU) 2018/1725 geheel of gedeeltelijk beperkt, neemt zij de volgende stappen:

De verstrekking van de onder a) bedoelde informatie kan overeenkomstig artikel 25, lid 8, van Verordening (EU) 2018/1725 worden uitgesteld, achterwege gelaten of geweigerd als daardoor het effect van de beperking teniet zouden worden gedaan.

EFSA herziet de toepassing van de beperking om de zes maanden vanaf de vaststelling ervan en bij de afsluiting van het desbetreffende onderzoek.

3.   De aantekening en, indien van toepassing, de documenten met onderliggende feitelijke en juridische elementen worden geregistreerd. Ze worden desgevraagd aan de Europese Toezichthouder voor gegevensbescherming verstrekt.

1.   In naar behoren gemotiveerde gevallen en onder de voorwaarden van dit besluit kan de verwerkingsverantwoordelijke, indien noodzakelijk en evenredig, het recht op rectificatie, wissing en beperking beperken in het kader van de volgende verwerkingen:

2.   Wanneer EFSA de toepassing van het recht op rectificatie, wissing en beperking van de verwerking als bedoeld in artikel 18, artikel 19, lid 1, en artikel 20, lid 1, van Verordening (EU) 2018/1725 geheel of gedeeltelijk beperkt, neemt zij de stappen die in artikel 6, lid 2, van dit besluit zijn beschreven, en registreert zij de aantekening overeenkomstig artikel 6, lid 3, van dit besluit.

1.   In naar behoren gemotiveerde gevallen en onder de voorwaarden van dit besluit kan de verwerkingsverantwoordelijke, indien noodzakelijk en evenredig, het recht op mededeling van een inbreuk in verband met persoonsgegevens beperken in het kader van de volgende verwerkingen:

2.   In naar behoren gemotiveerde gevallen en onder de voorwaarden van dit besluit kan de verwerkingsverantwoordelijke, indien noodzakelijk en evenredig, het recht op vertrouwelijkheid van elektronische communicatie beperken in het kader van de volgende verwerkingen:

3.   Wanneer EFSA de mededeling van een inbreuk in verband met persoonsgegevens aan de betrokkene of de vertrouwelijkheid van elektronische communicatie als bedoeld in de artikelen 35 en 36 van Verordening (EU) 2018/1725 beperkt, legt zij de redenen voor de beperking vast en registreert zij deze aantekening in overeenstemming met artikel 5, lid 3, van dit besluit. Artikel 5, lid 4, van dit besluit is van toepassing.