- DA Dansk
Maskinoversættelser kan indeholde fejl, der potentielt gør teksten mindre klar og nøjagtig. Ombudsmanden påtager sig intet ansvar for eventuelle afvigelser. For de mest pålidelige oplysninger og den største retssikkerhed henvises der til originalversionen på engelsk, som der er linket til ovenfor.
Læs mere i vores sprog- og oversættelsespolitik.
Henstilling om Det Europæiske Databeskyttelsesråds afslag på aktindsigt i de forberedende dokumenter til dets erklæring om internationale aftaler (forenede sager 509/2022/JK og 1698/2022/FA)
Henstilling
Sag 509/2022/JK - Indledt den Torsdag | 03 marts 2022 - Henstilling om Onsdag | 29 marts 2023 - Afgørelse af Tirsdag | 31 oktober 2023 - Den vedrørte institution Det Europæiske Databeskyttelsesråd ( Henstilling godkendt af institutionen ) - Land Frankrig
Sag 1698/2022/FA - Indledt den Fredag | 23 september 2022 - Henstilling om Onsdag | 29 marts 2023 - Afgørelse af Tirsdag | 31 oktober 2023 - Den vedrørte institution Det Europæiske Databeskyttelsesråd ( Henstilling godkendt af institutionen ) - Land Frankrig
Sagen vedrørte et afslag fra Det Europæiske Databeskyttelsesråd (EDPB) på at give aktindsigt i forberedende dokumenter vedrørende dets erklæring om internationale aftaler, herunder overførsel af personoplysninger til tredjelande eller internationale organisationer. Klageren var uenig i Databeskyttelsesrådets holdning om, at udbredelsen af dokumenterne ville være til skade for dets beslutningsproces, og hævdede, at der uanset dette er en mere tungtvejende offentlig interesse i udbredelsen af dokumenterne.
Efter en undersøgelse af dokumenterne foretaget af hendes undersøgelseshold var Ombudsmanden ikke overbevist af de grunde, som Databeskyttelsesrådet havde anført til at nægte aktindsigt. Hun foreslog derfor, at Databeskyttelsesrådet revurderer anmodningen og genovervejer sin afgørelse om at give afslag på aktindsigt i de dokumenter, der er omfattet af klagen.
Databeskyttelsesrådet fulgte ikke dette løsningsforslag og søgte at påberåbe sig en yderligere undtagelse fra aktindsigt, der vedrører beskyttelse af internationale forbindelser. Da Ombudsmanden mener, at Databeskyttelsesrådets behandling af klagerens anmodning om aktindsigt udgør fejl eller forsømmelser, fremsætter hun en tilsvarende henstilling.
Udarbejdet i overensstemmelse med artikel 4, stk. 1, i statutten for Den Europæiske Ombudsmand [1]
Baggrunden for klagen
1. I december 2021 anmodede klageren Databeskyttelsesrådet om at give ham aktindsigt i forberedende dokumenter vedrørende dets erklæring om internationale aftaler, herunder overførsler af personoplysninger til tredjelande eller internationale organisationer. Dette omfattede udvekslinger mellem Databeskyttelsesrådet og Europa-Kommissionen, medlemsstaterne og databeskyttelsesmyndighederne samt udkast til dets erklæring om internationale aftaler, herunder overførsler.
2. Databeskyttelsesrådet identificerede 26 [2] dokumenter, der var omfattet af klagerens første anmodning. Den gav delvis aktindsigt i tre dokumenter, som fuldt ud var omfattet af begæringen, delvis aktindsigt i elleve dokumenter og gav afslag på fuld aktindsigt i de resterende tolv dokumenter. Databeskyttelsesrådet identificerede endvidere syv dokumenter, der var omfattet af klagerens anden anmodning, og som alle blev nægtet fuld aktindsigt.[3] Databeskyttelsesrådet afslog aktindsigt i dokumenterne under henvisning til behovet for at beskytte sin beslutningsproces og sine personoplysninger. Databeskyttelsesrådet fandt, at der ikke var nogen mere tungtvejende offentlig interesse i udbredelsen af dokumenterne.
3. Klageren henvendte sig til Ombudsmanden. Han anfægtede Databeskyttelsesrådets holdning om, at udbredelsen af dokumenterne ville være til skade for dets beslutningsproces, og hævdede, at der uanset dette er en mere tungtvejende offentlig interesse i udbredelsen af dokumenterne.
4. Ombudsmanden indledte en undersøgelse. Hun undersøgte de dokumenter, der ikke var blevet fremlagt for klageren, helt eller delvist. Ombudsmandens undersøgelseshold afholdt også et møde med repræsentanter for Databeskyttelsesrådet [4].
5. Databeskyttelsesrådet hævdede, at yderligere udbredelse af de ønskede dokumenter ville være til alvorlig skade for dets beslutningsproces, da dokumenterne indeholder drøftelser, synspunkter og udtalelser fra Databeskyttelsesrådets medlemmer og/eller dets sekretariat, som er en del af deres interne drøftelser og holdninger. Udbredelse af disse dokumenter vil således skabe usikkerhed eller forvirring for offentligheden, indskrænke medlemmernes "tænkerum" og underminere Databeskyttelsesrådets opgave med at tale med én stemme. Navnlig kan nogle bemærkninger blive fejlfortolket med det resultat, at det vil påvirke det vedtagne dokuments klarhed og skabe tvetydighed. Desuden ville offentliggørelsen af disse udtalelser forringe kvaliteten af beslutningsprocessen, da nogle medlemmer af Databeskyttelsesrådet ville være tilbageholdende med at give udtryk for deres ucensurerede udtalelser vel vidende, at disse ville blive offentliggjort. Som følge heraf hævdede Databeskyttelsesrådet, at aktindsigt i disse dokumenter ville undergrave dets mission om at sikre en konsekvent fortolkning af databeskyttelsesreglerne.
6. Databeskyttelsesrådet hævdede endvidere, at videregivelse af interne drøftelser er i strid med den generelle forordning om databeskyttelse (GDPR), da lovgiveren i forbindelse med vedtagelsen af GDPR gav det mulighed for at have fortrolige udvekslinger, hvor Databeskyttelsesrådet finder det nødvendigt [5]. Databeskyttelsesrådet fandt, at dette afspejler lovgiverens vilje til at beskytte Databeskyttelsesrådet mod eksternt pres, da videregivelsen af disse forberedende dokumenter ville gribe ind i Databeskyttelsesrådets uafhængige rolle [6]. Databeskyttelsesrådet hævdede også, at videregivelse ville påvirke Databeskyttelsesrådets myndighed som helhed og tilskynde interessenterne til ikke at følge Databeskyttelsesrådets vedtagne holdning. Databeskyttelsesrådet hævdede endvidere, at fremlæggelse af oplysninger ville forringe opmærksomheden i forhold til den offentliggjorte udgave og tilskynde interessenterne til ikke at følge denne endelige holdning. Endelig hævdede Databeskyttelsesrådet, at dets fremtidige holdning, herunder med hensyn til forhandlingerne om USA's Foreign Account Tax Compliance Act (FATCA), ville blive undergravet af offentliggørelsen af et af de ønskede dokumenter.
Ombudsmandens forslag til en løsning
7. På grundlag af sin vurdering af de omtvistede dokumenter fandt Ombudsmanden, at Databeskyttelsesrådet ikke havde givet klageren tilstrækkelig bred aktindsigt.
8. Mere specifikt fandt Ombudsmanden, at det ikke var klart, hvordan Databeskyttelsesrådets beslutningsproces kunne blive alvorligt undermineret af udbredelsen af disse forberedende dokumenter i betragtning af deres art og indhold, og at Databeskyttelsesrådet ikke havde påvist de faktiske og specifikke risici, der ville opstå ved at give bredere adgang til disse dokumenter.
9. Ombudsmanden foreslog, at Databeskyttelsesrådet foretager en ny vurdering af klagerens anmodning om aktindsigt og giver den bredest mulige aktindsigt i disse dokumenter [7], herunder i et anonymiseret format uden at tillægge specifikke parter de synspunkter, de har givet udtryk for.
10. Databeskyttelsesrådet fastholdt som svar på Ombudsmandens løsningsforslag sin holdning og afviste yderligere fremlæggelse af oplysninger. Den gentog de tidligere nævnte argumenter og hævdede desuden, at udbredelsen af udkast til de ønskede dokumenter ville skade den effektive beskyttelse af personoplysninger. Databeskyttelsesrådet påberåbte sig også behovet for at beskytte internationale forbindelser som begrundelse for ikke at videregive de omtvistede dokumenter [8] Databeskyttelsesrådet forklarede specifikt, at den pågældende internationale erklæring blev vedtaget for at opfordre medlemsstaterne til at vurdere og revidere deres internationale aftaler, der omfatter overførsler af personoplysninger, herunder dem, der vedrører beskatning. Databeskyttelsesrådet anførte, at offentliggørelse af anonymiserede udgaver af dokumenter på grundlag af dets tidligere erfaringer ikke ville forhindre, at bestemte parter blev tillagt synspunkter, og at offentliggørelse derfor ikke kun ville skade dets beslutningsproces.
Ombudsmandens vurdering efter forslaget til løsning
11. Databeskyttelsesrådet er et uafhængigt EU-organ, der består af repræsentanter for EU's nationale databeskyttelsesmyndigheder og Den Europæiske Tilsynsførende for Databeskyttelse (EDPS) sammen med EFTA-EØS-staternes tilsynsmyndigheder for så vidt angår GDPR-relaterede spørgsmål. Europa-Kommissionen og, for så vidt angår GDPR-relaterede spørgsmål, EFTA-Tilsynsmyndigheden har ret til at deltage i Databeskyttelsesrådets aktiviteter og møder uden stemmeret.
12. Databeskyttelsesrådets rolle er at bidrage til en konsekvent anvendelse af databeskyttelsesreglerne i hele EU og fremme samarbejdet mellem EU's databeskyttelsesmyndigheder. Med henblik herpå giver Databeskyttelsesrådet generelle retningslinjer (herunder retningslinjer, henstillinger og bedste praksis) for at præcisere lovgivningen og fremme en fælles forståelse af EU's databeskyttelseslovgivning. Databeskyttelsesrådet vedtager også udtalelser rettet til Kommissionen eller de nationale tilsynsmyndigheder. Endelig kan Databeskyttelsesrådet vedtage bindende afgørelser rettet til de nationale tilsynsmyndigheder med henblik på at bilægge tvister, der opstår mellem dem, når de samarbejder om at håndhæve GDPR. Databeskyttelsesrådet spiller således en central rolle, når det drejer sig om en konsekvent anvendelse og fortolkning af EU's databeskyttelsesregler i hele EU – et område af stor offentlig betydning, der berører en grundlæggende rettighed.
13. De dokumenter, der er genstand for denne undersøgelse, vedrører forberedende materiale til vedtagelsen af Databeskyttelsesrådets erklæring om internationale aftaler, herunder overførsler [9]. De kan opdeles i tre kategorier, nemlig i) udkast til udgaver af Databeskyttelsesrådets erklæring, ii) referater og udkast til referater af møder i ekspertundergrupper og iii) e-mailudvekslinger mellem Europa-Kommissionen og Databeskyttelsesrådet samt Databeskyttelsesrådets medlemmer og Databeskyttelsesrådets sekretariat.[10] I sit svar til Ombudsmanden forklarede Databeskyttelsesrådet, at nogle af de forberedende dokumenter er rene udkast til udgaver, hvilket betyder, at de ikke indeholder sporændringer eller bemærkninger, nogle er udkast til udgaver, der indeholder sporændringer uden bemærkninger, og andre indeholder bemærkninger.
14. Databeskyttelsesrådets erklæring omfatter i sin endelige form en opfordring og henstilling til medlemsstaterne om at revidere deres eksisterende internationale aftaler for at sikre, at de er i overensstemmelse med EU-lovgivningen og retspraksis om databeskyttelse. Erklæringen blev udarbejdet som reaktion på Europa-Parlamentets beslutning af 5. juli 2018 om FATCA's negative virkninger for EU-borgere [11] og klagernes anmodninger til Artikel 29-Gruppen [12] i denne henseende.
15. Det er vigtigt at præcisere, at Databeskyttelsesrådets erklæring ikke er en fortolkning af bestemmelserne i GDPR. Det er et formelt svar fra Databeskyttelsesrådet på de spørgsmål, det har modtaget, hvori det gentager kravene i databeskyttelsesforordningen og retshåndhævelsesdirektivet i lyset af den seneste retspraksis. Som sådan er de dokumenter, der er omhandlet i den foreliggende undersøgelse, og dokumenterne i Ombudsmandens tidligere sag 386/2021/AMF, som vedrørte dokumenter, der var udarbejdet i forbindelse med udarbejdelsen af en retningslinje fra Databeskyttelsesrådet, der indeholdt en autoritativ fortolkning af databeskyttelsesforordningen, ikke af samme art.
16. Når dette er sagt, vil Ombudsmanden gerne understrege, at forordning 1049/2001 finder anvendelse på alle dokumenter, som institutionerne er i besiddelse af [13], og er baseret på den antagelse, at "åbenhed gør det muligt for borgerne i højere grad at deltage i beslutningsprocessen og garanterer, at forvaltningen har større legitimitet og er mere effektiv og mere ansvarlig over for borgerne i et demokratisk system".[14] Dette princip om gennemsigtighed gælder, uanset om dokumenterne indgår i Unionens lovgivningsproces eller ej. Aktindsigt kan kun begrænses, hvis en (eller flere) af et begrænset antal undtagelser i forordning 1049/2001 finder anvendelse [15].
17. Databeskyttelsesrådet påberåbte sig i denne sag flere undtagelser i forordning 1049/2001 for at give afslag på (fuld) aktindsigt i de ønskede forberedende dokumenter, nemlig behovet for at beskytte dets beslutningsproces, personoplysninger og offentlighedens interesser med hensyn til internationale forbindelser.
18. I sin klage til Ombudsmanden bestrider klageren ikke redigeringen af personoplysninger i de dokumenter, han har anmodet om. Det er derfor ikke nødvendigt, at Ombudsmanden vurderer, om Databeskyttelsesrådets påberåbelse af denne undtagelse var berettiget.
19. Den vigtigste grund, som Databeskyttelsesrådet har påberåbt sig for at afslå aktindsigt i de ønskede dokumenter, er at beskytte dets beslutningsproces ved at beskytte dets bestyrelsesmedlemmer mod eksternt pres med henblik på at skabe et "tænkerum", der muliggør åbenhjertig drøftelse og udveksling af "ucensurerede udtalelser" i Databeskyttelsesrådet. Databeskyttelsesrådet er også bekymret for, at de forberedende dokumenter kan blive fejlfortolket, hvilket vil påvirke det vedtagne dokuments klarhed og skabe forvirring og tvetydighed. Databeskyttelsesrådet er endvidere bekymret for, at videregivelse af de forberedende dokumenter, der viser de konstituerende medlemmers synspunkter, vil underminere Databeskyttelsesrådets myndighed eller uafhængighed.
20. Databeskyttelsesrådets argumenter om eksistensen af eksternt pres i forbindelse med de forberedende dokumenter er fortsat vage og af generel karakter. Domstolen har anerkendt, at beskyttelsen af beslutningsprocessen mod målrettet pres udefra kan udgøre en legitim grund til at begrænse aktindsigten i dokumenter . Den har imidlertid også understreget, at eksistensen af et sådant eksternt pres »skal godtgøres med sikkerhed«, og at »der skal føres bevis for, at der var en rimeligt forudsigelig risiko« for, at den pågældende beslutning i væsentlig grad blev påvirket af dette eksterne pres [16].
21. Selv hvis det blev påvist, at der forelå et sådant eksternt pres, er det under alle omstændigheder uklart, hvordan Databeskyttelsesrådets evne til at udveksle oplysninger frit ville blive alvorligt undermineret af et sådant pres, navnlig i betragtning af, at den beslutningsproces, der førte til vedtagelsen af erklæringen, var afsluttet på det tidspunkt, hvor de bekræftende afgørelser blev vedtaget. Gennemgangen af de tre kategorier af forberedende dokumenter viste, at disse for det meste indeholder redaktionelle ændringer samt præciseringer eller forenklinger af visse dele af teksten, som ikke forekommer særligt følsomme. Ombudsmanden bemærker endvidere, at de generelt ikke indeholder nogen fortolkning af databeskyttelsesreglerne eller illustrerer forskellige synspunkter i Databeskyttelsesrådet.
22. I lyset af ovenstående analyse finder Ombudsmanden, at Databeskyttelsesrådet ikke fremlagde tilstrækkeligt overbevisende argumenter til at fastslå en "specifik og faktisk risiko" for dets beslutningsproces. På dette grundlag er det ikke nødvendigt for Ombudsmanden at undersøge, om der foreligger en mere tungtvejende offentlig interesse.
23. For så vidt angår Databeskyttelsesrådets argument i dets svar på Ombudsmandens løsningsforslag om, at udbredelsen af de omtvistede dokumenter ville skade internationale forbindelser, har Databeskyttelsesrådet ikke givet nogen begrundelse for at påberåbe sig denne undtagelse. Databeskyttelsesrådet bemærker blot, at det i sin erklæring opfordrede medlemsstaterne til at vurdere og revidere sine internationale aftaler, der omfatter overførsler af personoplysninger, herunder dem, der vedrører beskatning.
24. Selv om EU-institutionerne råder over en vid skønsmargen, når de træffer afgørelse om, hvad beskyttelsen af internationale forbindelser kræver med hensyn til udbredelse af dokumenter, er de stadig forpligtet til at påvise en »specifik og faktisk risiko«. Den blotte omstændighed, at Databeskyttelsesrådet opfordrede medlemsstaterne til at vurdere og gennemgå dets internationale forbindelser, illustrerer ikke i sig selv, hvordan de internationale forbindelser konkret og faktisk ville blive påvirket negativt, hvis dokumenterne blev offentliggjort.
25. Ombudsmanden har delt et særskilt fortroligt notat med Databeskyttelsesrådet, der er knyttet som bilag til denne henstilling, og som indeholder en mere detaljeret vurdering af arten og indholdet af de forberedende dokumenter i lyset af de undtagelser, som Databeskyttelsesrådet har påberåbt sig for at nægte aktindsigt.
26. Databeskyttelsesrådet hævdede endvidere, at databeskyttelsesforordningen indfører en yderligere undtagelse fra retten til aktindsigt i dets dokumenter på grundlag af det forhold, at det er et uafhængigt organ. Ombudsmanden mener ikke, at denne fortolkning støttes af ordlyden af databeskyttelsesforordningen, når den læses i sin helhed, eller af EU-domstolenes retspraksis [17]. Databeskyttelsesforordningen fastsætter udtrykkeligt, at Databeskyttelsesrådets dokumenter er omfattet af bestemmelserne i forordning (EF) nr. 1049/2001.
27. Databeskyttelsesrådet har også henvist til sin forretningsorden, hvori det fastsættes, at Databeskyttelsesrådets drøftelser kan betragtes som fortrolige. I denne forbindelse bemærker Ombudsmanden, at interne forretningsordener ikke kan have retlig forrang for en forordning. Enhver forretningsorden skal være i overensstemmelse med forordning 1049/2001 [18]. Databeskyttelsesrådet kan derfor ikke benytte sig af sit råds forretningsorden til at nægte aktindsigt i dokumenter, hvis den primære eller afledte EU-ret kræver, at de offentliggøres.
28. I lyset af ovenstående finder Ombudsmanden, at Databeskyttelsesrådets anvendelse af undtagelserne for beskyttelse af dets beslutningsprocesser og internationale forbindelser udgør fejl eller forsømmelser. Hun fremsætter derfor en tilsvarende anbefaling nedenfor.
Henstilling
På grundlag af undersøgelsen af denne klage fremsætter Ombudsmanden følgende henstilling til Databeskyttelsesrådet:
Databeskyttelsesrådet bør give klageren den bredest mulige adgang til de ønskede dokumenter.
Databeskyttelsesrådet og klageren vil blive underrettet om denne henstilling. I overensstemmelse med artikel 4, stk. 2, i Den Europæiske Ombudsmands statut sender Databeskyttelsesrådet en detaljeret udtalelse senest den 28. juni 2023.
Emily O'Reilly
Den Europæiske Ombudsmand
Strasbourg, den 29. marts 2023
[1] Tilgængelig på: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv%3AOJ.L_.2021.253.01.0001.01.ENG&toc=OJ%3AL%3A2021%3A253%3ATOC
[2] Databeskyttelsesrådet medtog ikke seks dokumenter, der allerede var blevet offentliggjort fuldt ud i klagerens tidligere anmodninger om aktindsigt.
[3] I løbet af undersøgelsen af 509/2022/JK (første anmodning) viste det sig, at ikke alle udkast til Databeskyttelsesrådets erklæring 01/2019 om "US Foreign Account Tax Compliance Act" (FATCA) blev vurderet i de indledende og bekræftende faser. I overensstemmelse med Ombudsmandens forslag blev disse dokumenter behandlet som en særskilt anmodning om aktindsigt, hvilket førte til den efterfølgende klage til Ombudsmanden (klage 1698/2022/FA) (anden anmodning) og sammenlægningen af disse undersøgelser.
[4] https://www.ombudsman.europa.eu/en/doc/inspection-report/en/156601.
[5] Artikel 76, stk. 1, i GDPR og artikel 33, litra c), i Databeskyttelsesrådets forretningsorden.
[6] Databeskyttelsesforordningens artikel 52 og 69 og chartrets artikel 8, stk. 3
[7] For yderligere oplysninger om baggrunden for klagen, parternes argumenter og Ombudsmandens undersøgelse henvises til den fulde ordlyd af Ombudsmandens forslag til en løsning.
[8] Artikel 4, stk. 1, litra a), tredje led, i forordning 1049/2001.
[9] Databeskyttelsesrådets erklæring 04/2021 om "Internationale aftaler, herunder overførsler".
[10] Det Europæiske Databeskyttelsesråds formelle svar af 3. juni 2022, som blev delt med klageren.
[11] http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+TA+P8-TA-2018-0316+0+DOC+XML+V0//EN&language=DA
[12] Artikel 29-Gruppen var en uafhængig europæisk arbejdsgruppe, der behandlede spørgsmål vedrørende beskyttelse af privatlivets fred og personoplysninger indtil den 25. maj 2018 (anvendelse af GDPR).
[13] Betragtning 11 i forordning (EF) nr. 1049/2001 om aktindsigt i Europa-Parlamentets, Rådets og Kommissionens dokumenter: https://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX%3A32001R1049
[14] Anden betragtning til forordning (EF) nr. 1049/2001.
[15] Artikel 1 i forordning (EF) nr. 1049/2001.
[16] Dom afsagt af Retten i Første Instans (Syvende Afdeling) den 18. december 2008, Pablo Muñiz mod Kommissionen for De Europæiske Fællesskaber, sag T‑144/05, præmis 86; Rettens dom (Syvende Udvidede Afdeling) af 22. marts 2018, Emilio de Capitani mod Europa-Parlamentet, sag T‑540/15, præmis 99.
[17] Se artikel 76 i GDPR, Domstolens dom (Store Afdeling) af 19. juni 2018 i sagen Baumeister, C‑15/16, præmis 46.
[18] Rettens dom af 14. september 2022 i de forenede sager T‑371/20 og T‑554/20, Pollinis France mod Kommissionen, præmis 96 (under appel)