1.   Detta beslut innehåller regler om de villkor som måste vara uppfyllda för att Efsa inom ramen för de förfaranden som anges i punkt 2 ska få begränsa rättigheterna som avses i artiklarna 14–21, 35 och 36, samt artikel 4 i förordning (EU) 2018/1725, i enlighet med artikel 25 i den förordningen.

2.   Inom ramen för Efsas administrativa verksamhet är detta beslut tillämpligt på Efsas behandling av personuppgifter för följande ändamål: administrativa utredningar, disciplinära förfaranden, förberedande åtgärder vid all av eventuella oegentligheter som anmälts till Olaf, hantering av visselblåsarärenden, (formella och informella) förfaranden för att hantera trakasserier, handläggning av interna och externa klagomål, internrevisioner, utredningar som dataskyddsombudet genomför i enlighet med artikel 45.2 i förordning (EU) 2018/1725 samt utredningar om it-säkerhet som hanteras internt eller med extern hjälp (till exempel av CERT-EU).

3.   Kategorierna av uppgifter som omfattas är objektiva uppgifter (som personidentifierande uppgifter, kontaktuppgifter, yrkesuppgifter, administrativa uppgifter, uppgifter från särskilda källor, elektronisk kommunikation och trafikuppgifter) och/eller subjektiva uppgifter (som rör ärendet, till exempel resonemang, uppgifter om beteende, bedömningar, uppgifter om prestationer och uppförande samt uppgifter som rör eller lagts fram i samband med föremålet för förfarandet eller verksamheten).

4.   När Efsa fullgör sina skyldigheter med avseende på registrerades rättigheter enligt förordning (EU) 2018/1725 ska Efsa undersöka om några av de undantag som anges i den förordningen är tillämpliga.

5.   Enligt villkoren som beskrivs i detta beslut kan begränsningarna gälla följande rättigheter: de registrerades rätt att få ta del av information, rätten till tillgång, rättelse eller radering av personuppgifter, rätten till begränsning av behandlingen, rätten att bli underrättad om personuppgiftsincidenter och rätten till konfidentiell behandling av elektronisk kommunikation.

1.   Följande skyddsåtgärder har vidtagits för att undvika personuppgiftsincidenter, dataläckor och obehörigt utlämnande:

2.   Efsa, företrädd av sin verkställande direktör, fungerar som personuppgiftsansvarig vid behandlingen och får vidaredelegera denna uppgift. Registrerade ska underrättas om vem som delegerats personuppgiftsansvaret genom dataskyddsmeddelanden eller dokumentation som publiceras på Efsas webbplats, intranät och/eller i Business Services Catalogue.

3.   Personuppgifterna som avses i artikel 1.3 får inte lagras längre än vad som är nödvändigt och rimligt för de ändamål som uppgifterna behandlas för. De får dock aldrig lagras längre än den tid som anges i de dataskyddsmeddelanden, meddelanden om skydd av personuppgifter eller dokumentation som avses i artikel 5.1.

4.   Om Efsa överväger att tillämpa en begränsning ska risken för den registrerades fri- och rättigheter vägas särskilt mot risken för andra registrerades fri- och rättigheter samt mot risken att verkningarna av Efsas utredningar eller förfaranden upphävs, till exempel genom att bevis förstörs. Riskerna för den registrerades fri- och rättigheter omfattar i första hand, men är inte begränsade till, risker som rör anseende, rätten till försvar och rätten att höras.

1.   Efsa ska enbart tillämpa begränsningar i syfte att säkerställa

2.   Som en särskild tillämpning av de syften som beskrivs i punkt 1 ovan kan Efsa tillämpa begränsningar avseende personuppgifter som utbyts med kommissionens avdelningar eller unionens övriga institutioner, organ och byråer, behöriga myndigheter i medlemsstaterna eller tredjeländer, eller med internationella organisationer i följande fall:

Innan begränsningar tillämpas i sådana fall som avses i led a och led b ovan ska Efsa samråda med kommissionens berörda avdelningar, unionens institutioner, organ och byråer eller medlemsstaternas behöriga myndigheter såvida det inte är uppenbart för Efsa att tillämpningen av en begränsning föreskrivs genom någon av de rättsakter som det hänvisas till i dessa led.

3.   Alla begränsningar som tillämpas ska vara nödvändiga och proportionella med hänsyn till riskerna för de registrerades fri- och rättigheter och förenliga med andemeningen i de grundläggande fri- och rättigheterna i ett demokratiskt samhälle.

4.   Om Efsa överväger att tillämpa en begränsning ska en bedömning av nödvändigheten och proportionaliteten göras på grundval av dessa regler. Bedömningen ska dokumenteras i redovisningssyfte genom en intern bedömningsnotering i varje enskilt fall.

5.   Begränsningarna ska hävas så snart omständigheterna som motiverar dem inte längre föreligger, särskilt då utövandet av den begränsade rättigheten inte längre kan anses upphäva verkan av en begränsning som införts eller inverkar menligt på andra registrerades fri- eller rättigheter. I sådant fall ska begränsningarna hävas så snart som möjligt och som regel inom fem arbetsdagar från det att de rättsliga eller faktiska omständigheterna ändrades.

1.   Efsa ska utan onödigt dröjsmål underrätta sitt dataskyddsombud när den personuppgiftsansvariga begränsar tillämpningen av de registrerades rättigheter eller utvidgar begränsningen med stöd i detta beslut. Den personuppgiftsansvariga ska ge dataskyddsombudet tillgång till den dokumentation som innehåller bedömningen av begränsningens nödvändighet och proportionalitet, och i dokumentationen ange det datum då dataskyddsombudet underrättades.

2.   Dataskyddsombudet kan skriftligen begära att den personuppgiftsansvariga omprövar tillämpningen av begränsningarna. Den personuppgiftsansvariga ska skriftligen underrätta dataskyddsombudet om resultatet av omprövningen.

3.   Den personuppgiftsansvariga ska även underrätta dataskyddsombudet när begränsningen har upphävts.

1.   I vederbörligen motiverade fall och enligt de villkor som anges i detta beslut, får den personuppgiftsansvariga begränsa rätten till information i samband med följande typer av uppgiftsbehandling:

Efsa ska informera de registrerade om att deras rättigheter kan komma att begränsas i dataskyddsmeddelandena, meddelandena om skydd av personuppgifter eller i den dokumentation som avses i artikel 31 i förordning (EU) 2018/1725 och som offentliggörs på Efsas webbplats och/eller intranät och innehåller information till registrerade om deras rättigheter inom ramen för ett visst förfarande. Informationen ska inbegripa vilka rättigheter som kan begränsas, skälen till detta och hur länge.

2.   Utan att det påverkar tillämpningen av bestämmelserna i punkt 3 ska Efsa där så är proportionellt informera alla registrerade som anses vara berörda i den specifika behandlingen om deras rättigheter vad gäller aktuella eller framtida begränsningar. Informationen ska ges utan onödigt dröjsmål, skriftligen och individuellt.

3.   Om Efsa helt eller delvis begränsar tillhandahållandet av information till registrerade som avses i punkt 2 ska myndigheten notera skälen till begränsningen och den rättsliga grunden i enlighet med artikel 3 i detta beslut, däribland en bedömning av begränsningens nödvändighet och proportionalitet.

Dokumentationen och, i tillämpliga fall, handlingarna som innehåller de bakomliggande faktiska och rättsliga omständigheterna ska registreras. Denna information ska på begäran ställas till Europeiska datatillsynsmannens förfogande.

4.   Den begränsning som avses i punkt 3 ska fortsätta vara tillämplig så länge som skälen som motiverar den föreligger. Begränsningen ska upphävas så snart som möjligt och som regel inom fem arbetsdagar från det att de rättsliga eller faktiska omständigheterna ändrats.

Om skälen till begränsningen inte längre föreligger ska Efsa informera den registrerade om de huvudsakliga skäl som ligger till grund för tillämpningen av en begränsning. Samtidigt ska Efsa informera den registrerade om rätten att när som helst lämna in ett klagomål till Europeiska datatillsynsmannen eller begära rättslig prövning vid Europeiska unionens domstol.

Efsa ska ompröva tillämpningen av begränsningen var sjätte månad från det att den antogs, och när undersökningen, utredningen eller förfarandet avslutas.

1.   I vederbörligen motiverade fall och enligt de villkor som anges i detta beslut får den personuppgiftsansvariga begränsa rätten till tillgång vid följande typer av uppgiftsbehandling när så är nödvändigt och proportionellt:

Om registrerade, i enlighet med artikel 17 i förordning (EU) 2018/1725, begär tillgång till egna personuppgifter som behandlas i samband med ett eller flera specifika fall eller ärenden som inbegriper uppgiftsbehandling, ska Efsa begränsa sin bedömning av denna begäran till att endast avse dessa personuppgifter.

2.   Om Efsa helt eller delvis begränsar rätten till tillgång, som avses i artikel 17 i förordning (EU) 2018/1725, ska följande åtgärder vidtas:

Tillhandahållandet av information som avses i led a får skjutas upp, utelämnas eller nekas om det skulle upphäva verkan av en begränsning som införts i enlighet med artikel 25.8 i förordning (EU) 2018/1725.

Efsa ska ompröva tillämpningen av begränsningen var sjätte månad från det att den antogs, och när utredningen i fråga avslutas.

3.   Dokumentationen och, i tillämpliga fall, handlingarna som innehåller de bakomliggande faktiska och rättsliga omständigheterna ska registreras. De ska på begäran ställas till Europeiska datatillsynsmannens förfogande.

1.   I vederbörligen motiverade fall och enligt villkoren i detta beslut får den personuppgiftsansvariga begränsa rätten till rättelse, radering och begränsning av behandling vid följande typer av uppgiftsbehandling när så är nödvändigt och proportionellt:

2.   Om Efsa helt eller delvis begränsar den rätt till rättelse, radering eller begränsning av behandling som avses i artiklarna 18, 19.1 och 20.1 i förordning (EU) 2018/1725, ska Efsa vidta de åtgärder som anges i artikel 6.2 i detta beslut och registrera dokumentationen i enlighet med artikel 6.3 i beslutet.

1.   I vederbörligen motiverade fall och enligt villkoren i detta beslut får den personuppgiftsansvariga begränsa rätten till information om en personuppgiftsincident vid följande typer av uppgiftsbehandling när så är nödvändigt och proportionellt:

2.   I vederbörligen motiverade fall och enligt villkoren i detta beslut får den personuppgiftsansvariga begränsa rätten till konfidentiell behandling av elektronisk kommunikation vid följande typer av uppgiftsbehandling när så är nödvändigt och proportionellt:

3.   Om Efsa begränsar informationen till den registrerade om en personuppgiftsincident eller konfidentialiteten vid elektronisk kommunikation som avses i artiklarna 35 och 36 i förordning (EU) 2018/1725, ska Efsa dokumentera och registrera skälen till begränsningen i överensstämmelse med artikel 5.3 i detta beslut. Artikel 5.4 i detta beslut ska tillämpas.