1. Bevezetés

A panaszt benyújtó személyek személyes adatainak kezelése mellett az ombudsmannak az ügy tényállásától függően más személyekkel (a továbbiakban: harmadik felek érintettjei) kapcsolatos személyes adatokat is fel kell dolgoznia.

A panasz beérkezését követően az ombudsman értékeli, hogy a benyújtott információk tartalmaznak-e harmadik felek személyes adatait, azaz a panaszostól eltérő azonosított vagy azonosítható természetes személyre vonatkozó információkat.

A személyes adatok fogalma igen tág [1]. Például magában foglalja az adott személy személyazonosságára és személyes jellemzőire, nyilatkozataira és véleményeire, valamint polgári és foglalkoztatási helyzetére vonatkozó információkat [2].

Ez a politika arra vonatkozik, hogy az ombudsman hogyan érvényesíti azt a kötelezettségét, hogy tájékoztassa az érintetteket a személyes adataik panasz vagy vizsgálat keretében történő kezeléséről, amennyiben az adatokat nem ezektől az érintettektől szerezték be. E politika kidolgozása során az ombudsman figyelembe vette az európai adatvédelmi biztos iránymutatását [3].

2. Tájékoztatási kötelezettség

Ha egy harmadik fél érintettjének személyes adatait panasz vagy egyéb vizsgálattal kapcsolatos dokumentumok tartalmazzák, az ombudsman köteles az érintett személy rendelkezésére bocsátani bizonyos információkat [4], nevezetesen:

a) az adatkezelő, azaz az ombudsman kiléte és elérhetőségei [5];

b) az ombudsman adatvédelmi tisztviselőjének elérhetőségei;

c) az adatkezelési művelet célja (például panaszkezelés) és az adatkezelés jogalapja (például a személyes adatok uniós intézmények általi kezelésére vonatkozó szabályok [6] és/vagy az ombudsman alapokmánya [7]);

d) az érintett adatkategóriák (például az érintett személy személyazonossága és foglalkozási viszonya);

e) az adatok címzettjei [8];

f) adott esetben arról, hogy az ombudsman harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a személyes adatokat, valamint arról, hogy a Bizottság megfelelőségi határozatot hozott-e vagy sem, illetve hogy megfelelő vagy alkalmas garanciák állnak-e rendelkezésre, továbbá arról, hogy milyen módon szerezhet be ezekről másolatot, illetve hogy azokat hol bocsátották rendelkezésre; és

g) az érintett személyes adatai tisztességes és átlátható kezelésének biztosításához szükséges következő további információk:

i. a vonatkozó adatok tárolására vonatkozó határidők;

az a tény, hogy az érintett jogosult arra, hogy kérelmezze a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen [9];

iii. az érintett személy azon joga, hogy az európai adatvédelmi biztoshoz forduljon, és

iv. az adatok eredete (beleértve adott esetben a nyilvánosan hozzáférhető forrásokat is).

3. A politika

A – Megbízatáson kívüli panaszok

Ha az ombudsman úgy találja, hogy egy harmadik felek személyes adatait tartalmazó panasz nem tartozik a hatáskörébe, erről tájékoztatja a panaszost, és lehetőség szerint tájékoztatja arról, hogy mely szerv foglalkozhatna a panasszal. Amennyiben a panaszos hozzájárult panaszának továbbításához, amennyiben az ombudsman nem tud foglalkozni vele, az ombudsman továbbítja a panaszt az illetékes szervhez (például egy nemzeti ombudsmanhoz).

Ilyen esetekben az ombudsman nem tartja szükségesnek a fenti 2. pontban említett egyedi információk szolgáltatását, mivel i. az, hogy az ombudsman milyen célból kezeli ezeket a személyes adatokat (annak értékelése, hogy a panasz az ombudsman hatáskörébe tartozik-e, és ha nem, a panasz esetleges továbbítása egy másik szervhez), nem követeli meg, hogy az ombudsman azonosítsa az érintett harmadik felet [10]; és ii. a harmadik felek érintettjeinek egyéni tájékoztatása arról, hogy az ombudsman – még ha lehetséges is – a rájuk vonatkozó adatokat kezelheti, a személyes adatok szükségtelen megsokszorozódását eredményezné, és ezért aránytalanul nagy erőfeszítést igényelne [11].

Ehelyett az ombudsman honlapján tájékoztató feljegyzést tesz közzé, amelyben tájékoztatja a nyilvánosságot arról, hogy panaszainak kezelésével összefüggésben a panaszostól eltérő személyek személyes adatait is kezelheti. Ez a feljegyzés linket tartalmaz ehhez a politikához, valamint a panaszok és vizsgálatok ombudsman általi kezelésével összefüggésben a személyes adatok kezelésére vonatkozó nyilatkozathoz. Ez a feljegyzés, ez a politika és a nyilatkozat elegendőnek tekinthető ahhoz, hogy minden releváns információt megadjon azoknak a személyeknek, akiknek a személyes adatait az ombudsman kezelheti [12], és lehetővé tegye számukra, hogy kérelmezzék a személyes adataikhoz való hozzáférést, azok helyesbítését, törlését és feldolgozásuk korlátozását, ha úgy kívánják [13].

B - Meghatalmazáson belüli, de elfogadhatatlan és elfogadható jogalap nélküli panaszok

A fenti esetekben az ombudsman nem tartja szükségesnek a fenti 2. pontban említett egyedi információk szolgáltatását, mivel a harmadik felek érintettjeinek egyéni tájékoztatása arról, hogy az ombudsman – még ha lehetséges is – a rájuk vonatkozó adatokat kezelheti, a személyes adatok szükségtelen megsokszorozódását eredményezné, ami – tekintettel az érintett korlátozott intézkedésekre, nevezetesen arra, hogy a panaszt nem továbbítják az ombudsman hivatalán kívülre – aránytalan erőfeszítést igényelne [14].

Az ombudsman honlapján közzétett tájékoztató feljegyzés, valamint a jelenlegi politika és nyilatkozat elegendőnek tekinthető ahhoz, hogy minden releváns információt megadjon azoknak a személyeknek, akiknek a személyes adatait az ombudsman kezelheti [15], és lehetővé tegye számukra, hogy amennyiben úgy kívánják, személyes adataikhoz való hozzáférést, azok helyesbítését, törlését és feldolgozásuk korlátozását kérjék [16].

C – Vizsgálatok

A fenti esetekben az ombudsmannak először el kell döntenie, hogy a harmadik felekre vonatkozó adatok relevánsak-e a vizsgálat tárgya szempontjából. Ennek egyik módja annak vizsgálata, hogy az ombudsman másként kezelné-e a vizsgálatot, ha a harmadik fél érintettet nem említették vagy azonosították volna a vizsgálati aktában.

Releváns adat lehet például az olyan uniós tisztviselő korábbi szakmai tapasztalatára vonatkozó adat, aki egy állítólagosan összeférhetetlen vizsgabizottság tagja. Irreleváns adatok lehetnek például az adott uniós tisztviselő családi állapotára vonatkozó adatok. További irreleváns adatok, amelyeket az ombudsman vizsgálata során valószínűleg csak mellékesen gyűjtenek, például az érintett intézmény határozataiban említett más uniós tisztviselők nevei és az ombudsman vizsgálata során gyűjtött dokumentumok.

Az ezen adatok relevanciájára vonatkozó döntést és az alapul szolgáló elemzést az ombudsman ügyviteli rendszerének (CMS) vonatkozó ügyiratában rögzített összefoglaló tartalmazza.

Irreleváns adatok

Azokban az esetekben, amikor az adatok a vizsgálat tárgya szempontjából irrelevánsak, az ombudsman úgy véli, hogy nem szükséges egyedi tájékoztatást nyújtani a harmadik félnek, mivel i. mivel az adatok irrelevánsak, az a cél, amelyre az ombudsman ezeket a személyes adatokat kezeli (a panasz/vizsgálat kezelése), nem követeli meg a harmadik fél érintettek ombudsman általi azonosítását [17]; és ii. az ilyen harmadik fél érintettek egyéni tájékoztatása – még ha lehetséges is – a személyes adatok szükségtelen megsokszorozódását eredményezné, és aránytalan erőfeszítést igényelne, tekintettel arra, hogy az ombudsman a vizsgálatával összefüggésben nem használja fel a szóban forgó adatokat [18]. A panasz szövegében szereplő, nyilvánvalóan irreleváns adatokat az ombudsman a továbbiakban nem dolgozza fel [19].

Az ombudsman honlapján közzétett tájékoztató feljegyzés, a jelenlegi politika és a nyilatkozat elegendőnek tekinthető ahhoz, hogy minden releváns információt megadjon azoknak a magánszemélyeknek, akiknek a személyes adatait az ombudsman kezelheti [20], és lehetővé tegye számukra, hogy kérelmezzék a személyes adataikhoz való hozzáférést, azok helyesbítését, törlését és feldolgozásuk korlátozását, ha úgy kívánják [21].

Releváns adatok

Ha az adatok relevánsak, az ombudsman úgy véli, hogy a fenti 2. pontban szereplő információkat az érintett harmadik fél rendelkezésére bocsátja.

Ha azonban a panasz értékelése lehetővé teszi annak megállapítását, hogy az érintett harmadik fél már rendelkezik az információkkal (ha például az állítólagos összeférhetetlenséggel rendelkező uniós tisztviselő rendelkezik a panasz és az igazoló dokumentumok teljes másolatával)[22], vagy hogy az információk rendelkezésre bocsátása lehetetlen vagy aránytalanul nagy erőfeszítést igényel (ha például az érintett személy időközben elhagyta a szolgálatot és nem követhető nyomon)[23], az ombudsman az ügy összefoglalójában rögzíti az e következtetéshez vezető részletes értékelést, és az ombudsman honlapján közzétett feljegyzés e politikával és nyilatkozattal együtt elegendőnek tekinthető ahhoz, hogy biztosítsa a szükséges információkat azon személyek számára, akiknek személyes adatait az ombudsman kezelheti [24], és lehetővé tegye számukra, hogy amennyiben úgy kívánják, kérelmezzék a személyes adataikhoz való hozzáférést, azok helyesbítését, törlését és kezelésük korlátozását [25].

Azokban az esetekben, amikor a harmadik fél érintett nem rendelkezik az információkkal, és amennyiben az érintett tájékoztatása lehetséges és nem jár aránytalan erőfeszítéssel, az ombudsman megvizsgálja, hogy a harmadik fél érintett tájékoztatása valószínűsíthetően lehetetlenné tenné-e vagy súlyosan veszélyeztetné-e az adatkezelés céljainak elérését, nevezetesen azt, hogy valamely alapvető jog gyakorlását követően (az ombudsmanhoz benyújtott panasz) vagy az ombudsman saját kezdeményezésére [26] megfelelően kivizsgálják az uniós intézmények, szervek vagy hivatalok tevékenységei során felmerülő esetleges hivatali visszásságokat, és döntsenek azokról.

Ez lenne a helyzet például akkor, ha a harmadik fél érintettnek módjában állna befolyásolni a vizsgálatot: fontos bizonyítékok elrejtésével például, vagy a panaszossal szembeni megtorlással, amiért alapvető jogát gyakorolta (panasztétel az ombudsmannál), és ez hatással volt a vizsgálatra (például a panaszos már nem hajlandó hozzájárulni a vizsgálathoz).

Ha a fenti elemzést követően az ombudsman arra a következtetésre jut, hogy a harmadik fél érintett tájékoztatása valószínűleg lehetetlenné tenné vagy súlyosan veszélyeztetné a vizsgálatot és az ombudsman azon képességét, hogy döntést hozzon a hivatali visszásságra vonatkozó állításokról, az értékelést és az abból eredő következtetést rögzítik az ügy iratanyagában a CMS-ben. Az ombudsman honlapján közzétett feljegyzés e politikával és nyilatkozattal együtt elegendőnek tekinthető ahhoz, hogy biztosítsa a szükséges információkat azon személyek számára, akiknek a személyes adatait az ombudsman ilyen kivételes esetekben kezelheti [27], és lehetővé tegye számukra, hogy kérelmezzék a személyes adataikhoz való hozzáférést, azok helyesbítését, törlését és feldolgozásuk korlátozását, ha úgy kívánják [28].

Ha ezzel szemben az ombudsman arra a következtetésre jut, hogy a harmadik fél érintett tájékoztatása nem valószínű, hogy lehetetlenné tenné vagy súlyosan veszélyeztetné a vizsgálatot és az ombudsman azon képességét, hogy döntést hozzon a hivatali visszásságra vonatkozó állításokról, a panasz kivizsgálásának befejezését és az intézmény tájékoztatását követően haladéktalanul a fenti 2. pontban meghatározott információkat bocsátja a harmadik fél érintett rendelkezésére [29].

4. Az ombudsman nyilvános konzultációira adott válaszok

Az e szabályzatban meghatározott elvek az ombudsman nyilvános konzultációi keretében kapott személyes adatokra is vonatkoznak.

 

Emily O'Reilly

Strasbourg, 2019. 07. 16.

 

[1] A természetes személyeknek a személyes adatok uniós intézmények, szervek, hivatalok és ügynökségek általi kezelése tekintetében való védelméről és az ilyen adatok szabad áramlásáról, valamint a 45/2001/EK rendelet és az 1247/2002/EK határozat hatályon kívül helyezéséről szóló, 2018. október 23-i (EU) 2018/1725 európai parlamenti és tanácsi rendelet (HL 2018. L 295., 39. o.) 3. cikkének (1) bekezdése: „»személyes adat«: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható”.

[2] A személyes adatok fogalmának részletes elemzését lásd a 29. cikk szerinti adatvédelmi munkacsoport 4/2007. sz. véleményében, amely itt érhető el: http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2007/wp136_en.pdf

[3] https://secure.edps.europa.eu/EDPSWEB/

[4] Az (EU) 2018/1725 rendelet 16. cikkének (1) és (2) bekezdése.

[5] Az (EU) 2018/1725 rendelet 3. cikkének (8) bekezdése: „»adatkezelő«: az az uniós intézmény vagy szerv, főigazgatóság vagy bármely más szervezeti egység, amely önállóan vagy másokkal együtt meghatározza a személyes adatok kezelésének céljait és eszközeit; amennyiben az ilyen adatkezelés céljait és eszközeit külön uniós jogi aktus határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós jog is meghatározhatja.”

[6] Az (EU) 2018/1725 rendelet 5. cikke.

[7] Az ombudsman feladatainak ellátására vonatkozó szabályokról és általános feltételekről szóló, 1994. március 9-i 94/262/ESZAK, EK, Euratom európai parlamenti határozat (HL 1994. L 113., 15. o.), amelyet a 2002. március 14-i (HL 2002. L 92., 13. o.) és a 2008. június 18-i (HL 2008. L 189., 25. o.) határozata módosított.

[8] Az (EU) 2018/1725 rendelet 3. cikkének 13. pontja: „címzett”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Nem tekintendők azonban címzettnek azok a közhatalmi szervek, amelyek egy konkrét vizsgálat keretében az uniós vagy a tagállami joggal összhangban személyes adatokat kaphatnak; az említett adatok e hatóságok általi kezelésének meg kell felelnie az adatkezelés céljainak megfelelően alkalmazandó adatvédelmi szabályoknak.”

[9] Az (EU) 2018/1725 rendelet 17–20. és 23. cikke.

[10] Az (EU) 2018/1725 rendelet 12. cikkének (1) bekezdése: „Ha azok a célok, amelyekből az adatkezelő a személyes adatokat kezeli, nem vagy már nem teszik szükségessé az érintett adatkezelő általi azonosítását, az adatkezelő nem köteles további információkat megőrizni, beszerezni vagy kezelni az érintett azonosítása érdekében, kizárólag az e rendeletnek való megfelelés céljából.”

[11] Az (EU) 2018/1725 rendelet 16. cikke (5) bekezdésének b) pontja: „Az (1)–(4) bekezdés nem alkalmazandó, ha és amennyiben: [...] az ilyen információk rendelkezésre bocsátása lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényelne [...].”

[12] Az (EU) 2018/1725 rendelet 16. cikkének (6) bekezdése: „Az (5) bekezdés b) pontjában említett esetekben az adatkezelő megfelelő intézkedéseket hoz az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében, ideértve az információk nyilvánosan hozzáférhetővé tételét is.”

[13] Az (EU) 2018/1725 rendelet 12. cikkének (2) bekezdése: „Amennyiben az e cikk (1) bekezdésében említett esetekben az adatkezelő bizonyítani tudja, hogy nincs abban a helyzetben, hogy azonosítsa az érintettet, erről lehetőség szerint tájékoztatja az érintettet. Ilyen esetekben a 17–22. cikk nem alkalmazandó, kivéve, ha az érintett az említett cikkek szerinti jogainak gyakorlása céljából az azonosítását lehetővé tevő további információkat szolgáltat.” Ez lehet a helyzet például akkor, ha egy harmadik fél érintett hozzáférést kér az ombudsman által kezelt személyes adataihoz, és az ombudsman ügyviteli rendszerében (CMS) végzett keresést követően az ombudsman tájékoztatja arról, hogy adatai nem találhatók. Ha azonban az érintett ezt követően további információkat szolgáltat, például a panasz számát vagy a panaszos nevét, ez lehetővé teheti az ombudsman aktáiban való azonosítását, és az ombudsman számára, hogy határozatot hozzon a kérelemről.

[14] Az (EU) 2018/1725 rendelet 16. cikke (5) bekezdésének b) pontja.

[15] Az (EU) 2018/1725 rendelet 16. cikkének (6) bekezdése.

[16] Az (EU) 2018/1725 rendelet 12. cikkének (2) bekezdése. Lásd a fenti 13. lábjegyzetet.

[17] Az (EU) 2018/1725 rendelet 12. cikkének (1) bekezdése

[18] Az (EU) 2018/1725 rendelet 16. cikke (5) bekezdésének b) pontja.

[19] Lehetséges azonban, hogy azok az adatok, amelyek a vizsgálat korai szakaszában nem tekinthetők relevánsnak a vizsgálat tárgya szempontjából, végső soron felhasználhatók a vizsgálat céljaira, és hatással lehetnek annak kimenetelére.

[20] Az (EU) 2018/1725 rendelet 16. cikkének (6) bekezdése.

[21] Az (EU) 2018/1725 rendelet 12. cikkének (2) bekezdése. Lásd a fenti 13. lábjegyzetet.

[22] Az (EU) 2018/1725 rendelet 16. cikke (5) bekezdésének a) pontja: „Az (1)–(4) bekezdés nem alkalmazandó, ha és amennyiben:  az érintett már rendelkezik a szükséges információkkal...”

[23] Az (EU) 2018/1725 rendelet 16. cikke (5) bekezdésének b) pontja: „Az (1)–(4) bekezdés nem alkalmazandó, ha és amennyiben: [...] az ilyen információk rendelkezésre bocsátása lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényelne [...].”

[24] Az (EU) 2018/1725 rendelet 16. cikkének (6) bekezdése.

[25] Az (EU) 2018/1725 rendelet 12. cikkének (2) bekezdése. Lásd a fenti 13. lábjegyzetet.

[26] Az (EU) 2018/1725 rendelet 16. cikke (5) bekezdésének b) pontja: „Az (1)–(4) bekezdés nem alkalmazandó, amennyiben: [...] az e cikk (1) bekezdésében említett kötelezettség valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné az adatkezelés céljainak elérését [...]”

[27] Az (EU) 2018/1725 rendelet 16. cikkének (6) bekezdése.

[28] Az (EU) 2018/1725 rendelet 12. cikkének (2) bekezdése. Lásd a fenti 13. lábjegyzetet.

[29] Az (EU) 2018/1725 rendelet 16. cikkének (3) bekezdése: „Az adatkezelő megadja az (1) és (2) bekezdésben említett információkat:... c) ha egy másik címzettel való közlést terveznek, legkésőbb a személyes adatok első közlésekor.”