1.   Ta sklep določa pravila v zvezi s pogoji, pod katerimi sme agencija EFSA v okviru svojih postopkov iz odstavka 2 omejiti uporabo pravic iz členov 14 do 21, 35 in 36 ter člena 4 navedene uredbe, na podlagi člena 25 Uredbe (EU) 2018/1725.

2.   V okviru upravnega delovanja agencije EFSA se ta sklep uporablja za postopke obdelave osebnih podatkov, ki jih izvaja agencija za namene: opravljanja upravnih preiskav, disciplinskih postopkov, predhodnih dejavnosti v zvezi s primeri morebitnih nepravilnosti, ki se prijavijo uradu OLAF, obdelovanja postopkov za prijavljanje nepravilnosti, (uradnih in neuradnih) postopkov v zvezi z nadlegovanjem, obdelovanja notranjih in zunanjih pritožb, izvajanja notranjih revizij, preiskav, ki jih izvaja pooblaščena oseba za varstvo podatkov v skladu s členom 45(2) Uredbe (EU) 2018/1725, in preiskav v zvezi z (informacijsko-tehnološko) varnostjo, ki se izvajajo interno ali z zunanjim sodelovanjem (npr. CERT-EU).

3.   Kategorije zadevnih podatkov so zanesljivi podatki („objektivni“ podatki, kot so identifikacijski podatki, kontaktni podatki, strokovni podatki, upravni podatki, podatki, ki so bili prejeti iz posebnih virov, elektronski komunikacijski in prometni podatki) in/ali nezanesljivi podatki („subjektivni“ podatki, povezani s primerom, kot so utemeljitev, vedenjski podatki, ocene, podatki o učinkovitosti in vodenju ter podatki, povezani s predmetom urejanja postopka ali dejavnosti).

4.   Če agencija EFSA opravlja te naloge v zvezi s pravicami posameznika, na katerega se nanašajo osebni podatki, v skladu z Uredbo (EU) 2018/1725, prouči, ali velja katera od izjem iz navedene uredbe.

5.   Ob upoštevanju pogojev iz tega sklepa lahko omejitve veljajo za naslednje pravice: zagotavljanje informacij posameznikom, na katere se nanašajo osebni podatki, pravica do dostopa, popravka, izbrisa, omejitve obdelave, obveščanja posameznika, na katerega se nanašajo osebni podatki, o kršitvi varstva osebnih podatkov ali zaupnosti elektronskega obveščanja.

1.   Zaščitni ukrepi, ki so vzpostavljeni za preprečevanje kršitev varstva osebnih podatkov, uhajanj ali nedovoljenega razkritja, so naslednji:

2.   Upravljavec postopkov obdelave je agencija EFSA, ki jo zastopa izvršni direktor, ki lahko funkcijo upravljavca prenese. Osebe, na katere se podatki nanašajo, se obvesti o pooblaščenem upravljavcu prek obvestil ali evidenc o varstvu podatkov, objavljenih na spletni strani in/ali intranetu agencije EFSA in/ali v katalogu poslovnih storitev.

3.   Obdobje hrambe osebnih podatkov iz člena 1(3) ni daljše, kot je nujno in primerno za namene, za katere se podatki obdelujejo. V nobenem primeru ne presega obdobja hrambe, določenega v obvestilih o varstvu podatkov, izjavah o varstvu podatkov ali evidencah iz člena 5(1).

4.   Če agencija EFSA meni, da mora uporabiti omejitev, se pretehta tveganje za pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, zlasti v primerjavi s tveganjem za pravice in svoboščine drugih posameznikov, na katere se nanašajo osebni podatki, in tveganjem preklica učinka preiskav ali postopkov agencije EFSA, na primer z uničenjem dokazov. Tveganja za pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, so povezana predvsem s tveganjem izgube ugleda ter tveganjem za pravico do obrambe in pravico do izjave, vendar nanje niso omejena.

1.   Agencija EFSA lahko kakršno koli omejitev uporabi samo za zaščito:

2.   Agencija EFSA lahko kot posebno uporabo namenov iz odstavka 1 uporablja omejitve v zvezi z osebnimi podatki, ki se izmenjujejo s službami Komisije ali drugimi institucijami Unije, organi, agencijami in uradi, pristojnimi organi držav članic ali tretjih držav ali mednarodnih organizacij, v naslednjih okoliščinah:

Pred uporabo omejitev v okoliščinah iz točk (a) in (b) prvega pododstavka se agencija EFSA posvetuje z ustreznimi službami Komisije, institucijami, organi, agencijami ali uradi Unije ali pristojnimi organi držav članic, razen če jasno ugotovi, da je uporaba omejitve določena z enim od aktov iz navedenih točk.

3.   Vse omejitve so nujne in sorazmerne, pri čemer se upoštevajo tveganja za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, ter se spoštuje bistvo temeljnih pravic in svoboščin v demokratični družbi.

4.   Če se preuči uporaba omejitve, se na podlagi sedanjih pravil opravi preskus nujnosti in sorazmernosti. Dokumentira se s sporočilom o notranji oceni za namene odgovornosti za vsak primer posebej.

5.   Omejitve se odpravijo takoj, ko se okoliščine, ki jih upravičujejo, ne uporabljajo več, zlasti kjer se predvideva, da izvajanje omejene pravice ne bi več izničilo učinka uvedene omejitve ali negativno vplivalo na pravice ali svoboščine drugih posameznikov, na katere se nanašajo osebni podatki. V takem primeru se omejitve odpravijo takoj, ko je mogoče, in praviloma v petih delovnih dneh od spremembe pravnih ali dejanskih okoliščin.

1.   Agencija EFSA svojo pooblaščeno osebo za varstvo podatkov nemudoma obvesti vsakič, kadar upravljavec omeji uveljavljanje pravic posameznikov, na katere se nanašajo osebni podatki, ali omejitev podaljša v skladu s tem sklepom. Upravljavec pooblaščeni osebi za varstvo podatkov zagotovi dostop do evidence, ki vsebuje oceno nujnosti in sorazmernosti omejitve, ter dokumentira datum, ko pooblaščeno osebo za varstvo podatkov obvesti o evidenci.

2.   Pooblaščena oseba za varstvo podatkov lahko od upravljavca pisno zahteva, da pregleda uporabo omejitev. Upravljavec pisno obvesti pooblaščeno osebo za varstvo podatkov o rezultatu zahtevanega pregleda.

3.   Upravljavec obvesti pooblaščeno osebo za varstvo podatkov, ko je omejitev odpravljena.

1.   V ustrezno utemeljenih primerih in pod pogoji, določenimi v tem sklepu, lahko upravljavec omeji pravico do informacij v okviru naslednjih postopkov obdelave:

Agencija EFSA v obvestila o varstvu podatkov, izjave o varstvu podatkov ali evidence v smislu člena 31 Uredbe (EU) 2018/1725, ki so objavljeni na njenem spletnem mestu in/ali na intranetu in z njimi posameznike, na katere se nanašajo osebni podatki, obvesti o njihovih pravicah v okviru določenega postopka, vključi informacije v zvezi z morebitno omejitvijo teh pravic. Informacije zajemajo navedbo pravic, ki se lahko omejijo, razloge in morebitno trajanje.

2.   Kadar je sorazmerno, agencija EFSA brez poseganja v določbe odstavka 3 o svojih pravicah v zvezi s sedanjimi ali prihodnjimi omejitvami brez nepotrebnega odlašanja in v pisni obliki posamično obvesti tudi posameznike, na katere se nanašajo osebni podatki, ki se v posebnem postopku obdelave obravnavajo kot osebe, ki jih zadeva določen postopek obdelave.

3.   Če agencija EFSA omeji, v celoti ali delno, zagotavljanje informacij posameznikom, na katere se nanašajo osebni podatki, iz odstavka 2, navede razloge za omejitev, pravno podlago v skladu s členom 3 tega sklepa, vključno z oceno nujnosti in sorazmernosti omejitve.

Evidenca in po potrebi dokumenti, ki vsebujejo temeljna dejstva in pravne elemente, se registrirajo. Na zahtevo so na voljo Evropskemu nadzorniku za varstvo podatkov.

4.   Omejitev iz odstavka 3 se še naprej uporablja, dokler se razlogi, ki jo upravičujejo, še naprej uporabljajo, in se odpravijo takoj, ko je mogoče, in praviloma v petih delovnih dneh od spremembe pravnih ali dejanskih okoliščin.

Kadar razlogi za omejitev ne veljajo več, agencija EFSA posamezniku, na katerega se nanašajo osebni podatki, posreduje informacije o glavnih razlogih, na katerih temelji uporaba omejitve. Hkrati agencija posameznika, na katerega se nanašajo osebni podatki, obvesti o tem, da lahko kadar koli vloži pritožbo pri Evropskem nadzorniku za varstvo podatkov ali da lahko uveljavlja pravno sredstvo na Sodišču Evropske unije.

Agencija EFSA pregleda uporabo omejitve vsakih šest mesecev od njenega sprejetja in ob zaključku zadevne poizvedbe, postopka ali preiskave.

1.   V ustrezno utemeljenih primerih in pod pogoji, določenimi v tem sklepu, lahko upravljavec omeji pravico do dostopa v okviru naslednjih postopkov obdelave, kadar je to nujno in sorazmerno:

Če posamezniki, na katere se nanašajo osebni podatki, zahtevajo dostop do svojih osebnih podatkov, ki se obdelujejo v okviru enega ali več določenih primerov ali posebnega postopka obdelave, agencija EFSA v skladu s členom 17 Uredbe (EU) 2018/1725 svojo oceno zahteve omeji le na te osebne podatke.

2.   Če agencija EFSA v celoti ali delno omeji pravico do dostopa iz člena 17 Uredbe (EU) 2018/1725, sprejme naslednje ukrepe:

Posredovanje informacij iz točke (a) se lahko odloži, opusti ali zavrne, če bi se s tem izničil učinek omejitve v skladu s členom 25(8) Uredbe (EU) 2018/1725.

Agencija EFSA pregleda uporabo omejitve vsakih šest mesecev od njenega sprejetja in ob zaključku zadevne preiskave.

3.   Evidenca in po potrebi dokumenti, ki vsebujejo temeljna dejstva in pravne elemente, se registrirajo. Na zahtevo so na voljo Evropskemu nadzorniku za varstvo podatkov.

1.   V ustrezno utemeljenih primerih in pod pogoji, določenimi v tem sklepu, lahko upravljavec omeji pravico do popravka, izbrisa in omejitve v okviru naslednjih postopkov obdelave, kadar je to nujno in sorazmerno:

2.   Če agencija EFSA v celoti ali delno omeji uporabo pravice do popravka, izbrisa in omejitve obdelave iz členov 18, 19(1) in 20(1) Uredbe (EU) 2018/1725, sprejme ukrepe iz člena 6(2) tega sklepa in registrira evidenco v skladu s členom 6(3) tega sklepa.

1.   V ustrezno utemeljenih primerih in pod pogoji, določenimi v tem sklepu, lahko upravljavec omeji pravico do obveščanja o kršitvi varnosti osebnih podatkov v okviru naslednjih postopkov obdelave, kadar je to nujno in sorazmerno:

2.   V ustrezno utemeljenih primerih in pod pogoji, določenimi v tem sklepu, lahko upravljavec omeji pravico do zaupnosti elektronskih komunikacij v okviru naslednjih postopkov obdelave, kadar je to nujno in sorazmerno:

3.   Če agencija EFSA omeji obveščanje posameznika, na katerega se nanašajo osebni podatki, o kršitvi varnosti osebnih podatkov, ali zaupnosti elektronskih komunikacij iz členov 35 in 36 Uredbe (EU) 2018/1725, v skladu s členom 5(3) tega sklepa registrira in evidentira razloge za omejitev. Uporablja se člen 5(4) tega sklepa.