1.   V tomto rozhodnutí sa stanovujú pravidlá týkajúce sa podmienok, za ktorých úrad EFSA v rámci svojich postupov stanovených v odseku 2 môže podľa článku 25 nariadenia (EÚ) 2018/1725 obmedziť uplatňovanie práv zakotvených v článkoch 14 až 21, 35 a 36, ako aj v jeho článku 4.

2.   V rámci administratívnej činnosti úradu EFSA sa toto rozhodnutie vzťahuje na operácie spracúvania osobných údajov, ktoré vykonáva na účely: administratívnych vyšetrovaní, disciplinárnych konaní, predbežných činností týkajúcich sa prípadov možných nezrovnalostí nahlasovaných úradu OLAF, spracúvania prípadov oznamovania protispoločenskej činnosti, vybavovania (formálnych a neformálnych) postupov zameraných na prípady obťažovania, vybavovania interných a externých sťažností, vykonávania vnútorných auditov, vyšetrovaní, ktoré vykonáva zodpovedná osoba v súlade s článkom 45 ods. 2 nariadenia (EÚ) 2018/1725 a vyšetrovaní v oblasti bezpečnosti informačných technológií realizovaných interne alebo so zapojením externých subjektov (napr. CERT-EU).

3.   Kategórie dotknutých osobných údajov predstavujú tzv. tvrdé údaje („objektívne“ údaje, ako sú identifikačné údaje, kontaktné údaje, služobné údaje, správne údaje, údaje získané z konkrétnych zdrojov, elektronické komunikácie a prevádzkové údaje) a/alebo tzv. mäkké údaje („subjektívne“ údaje týkajúce sa konkrétneho prípadu, ako napríklad odôvodnenie, údaje o správaní, hodnotenia, údaje o výkonnosti a výkone povolania a údaje súvisiace s predmetom alebo predložené v súvislosti s predmetom postupu alebo činnosti).

4.   Ak úrad EFSA vykonáva svoje povinnosti s ohľadom na práva dotknutej osoby podľa nariadenia (EÚ) 2018/1725, vezme do úvahy, či sa uplatňuje niektorá z výnimiek stanovených v tomto nariadení.

5.   S výhradou podmienok stanovených v tomto rozhodnutí sa obmedzenia môžu vzťahovať na ďalej uvedené práva: poskytovanie informácií dotknutým osobám, právo na prístup k údajom, právo na opravu údajov, právo na vymazanie údajov, obmedzenie spracúvania údajov, oznamovanie porušenia ochrany osobných údajov dotknutej osobe alebo dôvernosť elektronickej komunikácie.

1.   Existujúce záruky na zabránenie prípadom porušenia ochrany údajov, únikom alebo neoprávnenému zverejneniu sú tieto:

2.   Prevádzkovateľom spracovateľských operácií je úrad EFSA, zastupovaný svojím výkonným riaditeľom, ktorý môže funkciu prevádzkovateľa delegovať. Dotknuté osoby sú o delegovanom prevádzkovateľovi informované prostredníctvom oznámení o ochrane údajov alebo záznamov uverejnených na webovej stránke, intranetovom portáli a/alebo v katalógu služieb pre podniky úradu EFSA.

3.   Obdobie uchovávania osobných údajov uvedené v článku 1 ods. 3 nesmie byť dlhšie, ako je potrebné a primerané na účely, na ktoré sa údaje spracúvajú. V žiadnom prípade nesmie byť dlhšie, než je obdobie uchovávania údajov uvedené v oznámeniach o ochrane údajov, vyhláseniach o ochrane osobných údajov alebo v záznamoch uvedených v článku 5 ods. 1

4.   Ak úrad EFSA uvažuje o uplatnení obmedzenia, zváži riziko spojené s právami a slobodami dotknutej osoby, najmä v porovnaní s rizikom pre práva a slobody iných dotknutých osôb a rizikom, že oslabuje účinnosť vyšetrovaní alebo postupov úradu EFSA, napríklad tým, že zničí dôkazy. Riziká pre práva a slobody dotknutej osoby sa týkajú predovšetkým, avšak nie výlučne, rizika poškodenia dobrej povesti a rizík spojených s právom na obhajobu a právom na vypočutie.

1.   Úrad EFSA uplatní akékoľvek obmedzenie len s cieľom zaistiť:

2.   Ako osobitné uplatňovanie účelov opísaných v odseku 1 môže úrad EFSA použiť obmedzenia vo vzťahu k osobným údajom vymieňaným s útvarmi Komisie alebo inými inštitúciami, orgánmi, agentúrami a úradmi Únie, príslušnými orgánmi členských štátov alebo tretích krajín alebo medzinárodnými organizáciami za týchto okolností:

Pred uplatnením obmedzení za okolností uvedených v prvom pododseku písm. a) a b) sa úrad EFSA poradí s príslušnými útvarmi Komisie, inštitúciami, orgánmi, úradmi a agentúrami Únie alebo príslušnými orgánmi členských štátov, pokiaľ nie je úradu EFSA zrejmé, že uplatnenie obmedzenia sa stanovuje v niektorom z právnych aktov uvedených v týchto písmenách.

3.   Každé obmedzenie má byť potrebné a primerané vzhľadom na riziká spojené s právami a slobodami dotknutých osôb a má rešpektovať podstatu základných práv a slobôd v demokratickej spoločnosti.

4.   V prípade, že sa zvažuje uplatnenie obmedzenia, na základe týchto predpisov sa vykoná test nevyhnutnosti a primeranosti. V každom jednotlivom prípade sa zdokumentuje prostredníctvom oznámenia o vnútornom posúdení na účely vyvodenia zodpovednosti.

5.   Obmedzenia sa zrušia, len čo prestanú existovať okolnosti, na základe ktorých boli zavedené. Platí to najmä v prípade, že sa predpokladá, že výkon práva, na ktoré sa obmedzenie vzťahuje, by už nezrušil účinok uloženého obmedzenia ani nepriaznivo neovplyvňoval práva alebo slobody iných dotknutých osôb. V takom prípade sa obmedzenia zrušia čo najskôr a spravidla do piatich pracovných dní od zmeny právnych alebo skutkových okolností.

1.   Úrad EFSA bez zbytočného odkladu informuje svoju zodpovednú osobu vždy, keď prevádzkovateľ obmedzí uplatňovanie práv dotknutých osôb alebo rozšíri obmedzenie v súlade s týmto rozhodnutím. Prevádzkovateľ poskytne zodpovednej osobe prístup k záznamu, ktorý obsahuje posúdenie nevyhnutnosti a primeranosti obmedzenia, a v zázname uvedie dátum informovania zodpovednej osoby.

2.   Zodpovedná osoba môže písomne požiadať prevádzkovateľa o preskúmanie uplatňovania obmedzení. Prevádzkovateľ písomne informuje zodpovednú osobu o výsledku požadovaného preskúmania.

3.   Prevádzkovateľ informuje zodpovednú osobu o zrušení obmedzenia.

1.   V riadne odôvodnených prípadoch a za podmienok stanovených v tomto rozhodnutí môže prevádzkovateľ obmedziť právo na informácie v súvislosti s týmito spracovateľskými operáciami:

Úrad EFSA zahrnie do oznámení o ochrane osobných údajov, vyhlásení o ochrane osobných údajov alebo záznamov v zmysle článku 31 nariadenia (EÚ) 2018/1725, ktoré sú uverejnené na jej webovej stránke a/alebo na intranete, v ktorých informuje dotknuté osoby o ich právach v rámci príslušného postupu, informácie týkajúce sa možného obmedzenia týchto práv. Tieto informácie zahŕňajú, ktoré práva môžu byť obmedzené, odôvodnenie a možné trvanie obmedzenia.

2.   Bez toho, aby boli dotknuté ustanovenia v odseku 3, úrad EFSA, ak je to primerané, individuálne, bez zbytočného odkladu a písomne informuje všetky dotknuté osoby, o ktorých sa domnieva, že sa ich týka konkrétna spracovateľská operácia, o ich právach v súvislosti so súčasnými alebo budúcimi obmedzeniami.

3.   Ak úrad EFSA úplne alebo čiastočne obmedzí poskytnutie informácií dotknutým osobám podľa odseku 2, zaznamená dôvody tohto obmedzenia a právny základ v súlade s článkom 3 tohto rozhodnutia vrátane posúdenia nevyhnutnosti a primeranosti obmedzenia.

Uvedený záznam a v náležitých prípadoch aj dokumenty obsahujúce súvisiace skutkové a právne prvky sa zaregistrujú. Na požiadanie sa sprístupnia európskemu dozornému úradníkovi pre ochranu údajov.

4.   Obmedzenie uvedené v odseku 3 sa uplatňuje dovtedy, kým platia dôvody, ktoré jeho platnosť opodstatňujú, a prestane platiť čo najskôr a spravidla do piatich pracovných dní od zmeny právnych alebo skutkových okolností.

Ak dôvody na obmedzenie už neplatia, úrad EFSA poskytne dotknutej osobe informácie o hlavných dôvodoch, na základe ktorých bolo obmedzenie uplatnené. Súčasne bude úrad EFSA dotknutú osobu informovať o práve podať kedykoľvek sťažnosť európskemu dozornému úradníkovi pre ochranu údajov, alebo žiadať o súdne prostriedky nápravy na Súdnom dvore Európskej únie.

Úrad EFSA preskúma uplatňovanie obmedzenia každých šesť mesiacov od jeho prijatia a pri ukončení príslušného zisťovania, postupu alebo vyšetrovania.

1.   V riadne odôvodnených prípadoch a za podmienok stanovených v tomto rozhodnutí môže prevádzkovateľ, ak je to potrebné a primerané, obmedziť právo na prístup k údajom v súvislosti s týmito spracovateľskými operáciami:

Ak dotknuté osoby žiadajú o prístup k svojim osobným údajom spracúvaným v súvislosti s jedným alebo viacerými konkrétnymi prípadmi alebo s konkrétnou spracovateľskou operáciou v súlade s článkom 17 nariadenia (EÚ) 2018/1725, úrad EFSA obmedzí svoje posúdenie žiadosti len na takéto osobné údaje.

2.   Ak úrad EFSA úplne alebo čiastočne obmedzí právo prístupu uvedené v článku 17 nariadenia (EÚ) 2018/1725, podnikne tieto kroky:

Poskytnutie informácií uvedených v písmene a) sa môže odložiť, môže sa od neho upustiť alebo sa môže zamietnuť, ak by sa ním zrušil účinok obmedzenia v súlade s článkom 25 ods. 8 nariadenia (EÚ) 2018/1725.

Úrad EFSA preskúma uplatňovanie obmedzenia každých šesť mesiacov od jeho prijatia a pri ukončení príslušného vyšetrovania.

3.   Uvedený záznam a v náležitých prípadoch aj dokumenty obsahujúce súvisiace skutkové a právne prvky sa zaregistrujú. Na požiadanie sa sprístupnia európskemu dozornému úradníkovi pre ochranu údajov.

1.   V riadne odôvodnených prípadoch a za podmienok stanovených v tomto rozhodnutí môže prevádzkovateľ, ak je to potrebné a primerané, obmedziť právo na opravu údajov, vymazanie údajov a obmedzenie spracúvania údajov v súvislosti s týmito spracovateľskými operáciami:

2.   Ak úrad EFSA úplne alebo čiastočne obmedzí uplatňovanie práva na opravu údajov, vymazanie a obmedzenie spracúvania údajov uvedené v článkoch 18, 19 ods. 1 a 20 ods. 1 nariadenia (EÚ) 2018/1725, podnikne kroky stanovené v článku 6 ods. 2 tohto rozhodnutia a záznam zaregistruje v súlade s článkom 6 ods. 3 tohto rozhodnutia.

1.   V riadne odôvodnených prípadoch a za podmienok stanovených v tomto rozhodnutí môže prevádzkovateľ, ak je to potrebné a vhodné, obmedziť právo na oznamovanie porušenia ochrany osobných údajov v súvislosti s týmito spracovateľskými operáciami:

2.   V riadne odôvodnených prípadoch a za podmienok stanovených v tomto rozhodnutí môže prevádzkovateľ, ak je to potrebné a primerané, obmedziť právo na dôvernosť elektronických komunikácií v súvislosti s týmito spracovateľskými operáciami:

3.   Ak úrad EFSA obmedzí oznámenie porušenia ochrany osobných údajov dotknutej osobe alebo dôvernosť elektronických komunikácií uvedených v článkoch 35 a 36 nariadenia (EÚ) 2018/1725, zaznamená a zaregistruje dôvody obmedzenia v súlade s článkom 5 ods. 3 tohto rozhodnutia. Uplatní sa článok 5 ods. 4 tohto rozhodnutia.