You have a complaint against an EU institution or body?

Beslut av Europeiska Ombudsmannen av den 9 november 2020 om interna regler för att begränsa vissa av de rättigheter som registrerade har vid behandling av personuppgifter

EUROPEISKA OMBUDSMANNEN HAR FATTAT DETTA BESLUT

med beaktande av fördraget om Europeiska unionens funktionssätt,

med beaktande av Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (1), särskilt artikel 25,

efter att ha hört Europeiska datatillsynsmannen, och

av följande skäl:

(1)

Europeiska ombudsmannen är bemyndigad att utföra administrativa utredningar, förfaranden som föregår disciplinära förfaranden, disciplinära förfaranden och avstängningsförfaranden i enlighet med tjänsteföreskrifterna för tjänstemän i Europeiska unionen och anställningsvillkor för övriga anställda i Europeiska unionen, som fastställs i rådets förordning (EEG, Euratom, EKSG) nr 259/68 (2) (nedan kallade tjänsteföreskrifterna), och i enlighet med Europeiska ombudsmannens beslut av den 4 november 2004 om antagande av genomförandebestämmelser för utförandet av administrativa utredningar och disciplinära förfaranden. Vid behov anmäler Europeiska ombudsmannen också ärenden till Olaf.

(2)

Europeiska ombudsmannens personal är skyldig att rapportera potentiellt olaglig verksamhet, inklusive bedrägeri och korruption, som kan skada unionens intressen. Personalen är även skyldig att rapportera uppträdande i tjänsten som kan innebära ett allvarligt avsteg från skyldigheterna för unionens tjänstemän. Detta regleras i Europeiska ombudsmannens beslut om interna bestämmelser beträffande uppgiftslämnande (whistleblowing) av den 20 februari 2015.

(3)

Europeiska ombudsmannen har antagit en policy för att förebygga och hantera faktiska eller eventuella fall av mobbning och sexuella trakasserier på arbetsplatsen, såsom föreskrivs i dess beslut av den 18 december 2017. I beslutet fastställs ett informellt förfarande genom vilket den som påstår sig ha utsatts för trakasserierna kan kontakta Europeiska ombudsmannens ”etikkontaktpersoner” och/eller förlikningskommittén.

(4)

Europeiska ombudsmannen kan även utreda potentiella överträdelser av säkerhetsbestämmelser för säkerhetsskyddsklassificerade EU-uppgifter.

(5)

Europeiska ombudsmannens verksamhet är föremål för både interna och externa revisioner.

(6)

I samband med sådana administrativa utredningar, revisioner och undersökningar samarbetar Europeiska ombudsmannen med andra av unionens institutioner, organ och byråer.

(7)

Europeiska ombudsmannen kan samarbeta med nationella myndigheter i tredjeländer och internationella organisationer, på deras begäran eller på eget initiativ.

(8)

Europeiska ombudsmannen kan även samarbeta med medlemsstaternas offentliga myndigheter, på deras begäran eller på eget initiativ.

(9)

Europeiska ombudsmannen utför utredningar av påstådda fall av administrativt missförhållande i den verksamhet som utförs av unionens institutioner, organ eller byråer, med undantag för Europeiska unionens domstol då den utövar sina domstolsfunktioner. I samband med detta kan Europeiska ombudsmannen behöva säkerställa konfidentialiteten för personuppgifter som finns i handlingar från parterna och under utredningarna. Europeiska ombudsmannen kan också behöva skydda rättigheterna och friheterna för såväl klagande som andra berörda personer.

(10)

För att utföra sina arbetsuppgifter samlar Europeiska ombudsmannen in och behandlar information och flera olika kategorier av personuppgifter, inbegripet personidentifieringsuppgifter från fysiska personer, kontaktuppgifter, yrkesroller och -uppgifter, information om privat och yrkesmässig etik och prestation samt finansiella uppgifter. Europeiska ombudsmannen fungerar som personuppgiftsansvarig.

(11)

Enligt förordning (EU) 2018/1725 (förordningen) ska Europeiska ombudsmannen därför tillhandahålla de registrerade information om denna behandling och respektera deras rättigheter som registrerade.

(12)

Europeiska ombudsmannen kan behöva förena dessa rättigheter med syftena med administrativa utredningar, revisioner, undersökningar och domstolsförfaranden. Europeiska ombudsmannen kan även behöva ställa de registrerades rättigheter mot andra registrerades grundläggande rättigheter och friheter. I detta syfte föreskrivs i artikel 25 i förordningen en möjlighet för Europeiska ombudsmannen att, under stränga villkor, begränsa tillämpningen av artiklarna 14–22, 35 och 36 samt artikel 4 i förordningen, i den mån som bestämmelserna motsvarar de rättigheter och skyldigheter som föreskrivs i artiklarna 14–20. Om begränsningar inte föreskrivs i en rättsakt som har antagits på grundval av fördragen är det nödvändigt att anta interna bestämmelser enligt vilka Europeiska ombudsmannen får begränsa dessa rättigheter.

(13)

Europeiska ombudsmannen kan exempelvis behöva begränsa sitt tillhandahållande av information om behandling av personuppgifter till en registrerad vid den preliminära bedömningsfasen i en administrativ utredning eller under själva utredningen, före en eventuell avvisning av ärendet eller i ett skede som föregår ett disciplinärt förfarande. Under vissa omständigheter kan ett tillhandahållande av sådan information allvarligt påverka Europeiska ombudsmannens förmåga att genomföra utredningen på ett effektivt sätt, till exempel när det finns en risk att den berörda personen förstör bevisning eller påverkar eventuella vittnen innan de kan höras. Europeiska ombudsmannen kan också behöva skydda rättigheterna och friheterna för såväl vittnen som andra berörda personer.

(14)

Det kan vara nödvändigt att garantera anonymiteten för ett vittne eller en uppgiftslämnare som har bett om att inte bli identifierad. I ett sådant fall kan Europeiska ombudsmannen besluta att begränsa åtkomsten vad gäller identiteten, uttalanden och andra personuppgifter från sådana personer för att skydda deras rättigheter och friheter.

(15)

Det kan vara nödvändigt att skydda konfidentiella uppgifter om en anställd som har kontaktat Europeiska ombudsmannens etikkontaktpersoner och/eller förlikningskommittén inom ramen för ett förfarande beträffande trakasserier. I sådana fall kan Europeiska ombudsmannen behöva begränsa åtkomsten vad gäller identiteten, uttalanden och andra personuppgifter från det påstådda offret, den påstådda gärningsmannen och andra berörda personer för att skydda rättigheterna och friheterna för alla parter.

(16)

Europeiska ombudsmannen kan till exempel behöva begränsa sitt tillhandahållande av information till en registrerad som nämns i ett klagomål eller utredningshandlingar om behandling av personuppgifter under utredningar av ett påstått fall av administrativt missförhållande i EU:s institutioner, organ eller byråer. Ett tillhandahållande av sådan information kan allvarligt påverka Europeiska ombudsmannens förmåga att genomföra utredningen på ett effektivt sätt, till exempel när det finns en risk att den berörda personen äventyrar utredningen. Europeiska ombudsmannen kan också behöva skydda rättigheterna och friheterna för såväl klagande som andra berörda personer.

(17)

Europeiska ombudsmannen bör endast tillämpa begränsningar om de respekterar andemeningen i de grundläggande rättigheterna och friheterna och utgör en absolut nödvändig och proportionell åtgärd i ett demokratiskt samhälle. Europeiska ombudsmannen ska motivera skälen för dessa begränsningar.

(18)

Med tillämpning av principen om ansvarsskyldighet är Europeiska ombudsmannen skyldig att registrera tillämpningen av begränsningar.

(19)

När Europeiska ombudsmannen behandlar personuppgifter som utbyts med andra organisationer i samband med dess arbetsuppgifter, ska byrån samråda med dessa organisationer om potentiella grunder för att införa begränsningar och om frågan huruvida begränsningarna är nödvändiga och proportionella, såvida detta inte skulle äventyra Europeiska ombudsmannens verksamhet.

(20)

Enligt artikel 25.6 i förordningen ska den personuppgiftsansvarige informera de registrerade om de huvudsakliga skälen till begränsningen och om deras rätt att ge in ett klagomål till Europeiska datatillsynsmannen.

(21)

Enligt artikel 25.8 i förordningen får Europeiska ombudsmannen skjuta upp, utelämna eller neka tillhandahållande av information till den registrerade om skälen till begränsningen, om det på något sätt skulle upphäva verkan av begränsningen. Europeiska ombudsmannen ska göra en bedömning i varje enskilt fall huruvida meddelandet av begränsningen skulle upphäva dess verkan.

(22)

Europeiska ombudsmannen ska upphäva begränsningen så snart som de förhållanden som motiverar begränsningen inte längre är tillämpliga och bedöma detta med jämna mellanrum.

(23)

För att garantera maximalt skydd för de registrerades rättigheter och friheter och i enlighet med artikel 44.1 i förordningen, ska dataskyddsombudet rådfrågas i tid om tillämpningen av eventuella begränsningar och kontrollera efterlevnaden av detta beslut.

(24)

I artiklarna 16.5 och 17.4 i förordningen föreskrivs undantag för registrerades rätt till information och rätt till tillgång. Om dessa undantag är tillämpliga behöver Europeiska ombudsmannen inte tillämpa en begränsning enligt detta beslut.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

Artikel 1- Syfte och tillämpningsområde

1. I detta beslut fastställs bestämmelser om de villkor på vilka Europeiska ombudsmannen får begränsa tillämpningen av artiklarna 4, 14–22, 35 och 36, i enlighet med artikel 25 i förordningen.

2. Europeiska ombudsmannen kontor, som personuppgiftsansvarig, representeras av Europeiska ombudsmannen.

Artikel 2- Begränsningar

1. Europeiska ombudsmannen får begränsa tillämpningen av artiklarna 14–22, 35 och 36 samt artikel 4, i den mån bestämmelserna motsvarar de rättigheter och skyldigheter som föreskrivs i artiklarna 14–20, när byrån

a)

i enlighet med artikel 25.1 b, c, f, g och h i förordningen utför administrativa utredningar, förfaranden som föregår disciplinära förfaranden, disciplinära förfaranden eller avstängningsförfaranden enligt tjänsteföreskrifternas artikel 86 och bilaga IX och enligt Europeiska ombudsmannens beslut av den 4 november 2004 om utförandet av administrativa utredningar och disciplinära förfaranden, samt när den anmäler ärenden till Olaf,

b)

i enlighet med artikel 25.1 h i förordningen säkerställer att Europeiska ombudsmannens personal konfidentiellt får rapportera uppgifter när de anser att det föreligger betydande oegentligheter, såsom föreskrivs i Europeiska ombudsmannens beslut av den 20 februari 2015 om interna bestämmelser för visselblåsning,

c)

i enlighet med artikel 25.1 h i förordningen säkerställer att Europeiska ombudsmannens personal förmår rapportera till etikkontaktpersoner och/eller förlikningskommittén inom ramen för ett förfarande beträffande trakasserier, såsom föreskrivs i Europeiska ombudsmannens beslut om en policy för förebyggande av och skydd mot trakasserier i ombudsmannens kontor,

d)

i enlighet med artikel 25.1 c, g och h i förordningen genomför internrevisioner med avseende på Europeiska ombudsmannens åtgärder eller avdelningar,

e)

i enlighet med artikel 25.1 c, d, g och h i förordningen tillhandahåller eller tar emot bistånd samt samarbetar med andra av unionens institutioner, organ och byråer, i samband med de arbetsuppgifter som avses i leden a–d i denna punkt och i enlighet med relevanta servicenivåavtal, samarbetsavtal och samarbetsavtal,

f)

i enlighet med artikel 25.1 c, g och h i förordningen tillhandahåller eller tar emot bistånd samt samarbetar med tredjeländers nationella myndigheter och internationella organisationer, på deras begäran eller på eget initiativ,

g)

i enlighet med artikel 25.1 c, g och h i förordningen tillhandahåller eller tar emot bistånd samt samarbetar med medlemsstaternas offentliga myndigheter, på deras begäran eller på eget initiativ,

h)

i enlighet med artikel 25.1 e i förordningen behandlar personuppgifter som finns i handlingar från parter eller intervenienter i samband med ett förfarande vid Europeiska unionens domstol,

i)

i enlighet med artikel 25.1 h i förordningen utför utredningar av påstådda fall av administrativt missförhållande i den verksamhet som utförs av unionens institutioner, organ eller byråer, i enlighet med artikel 228 i fördraget om Europeiska unionens funktionssätt och ombudsmannens stadga och genomförandebestämmelser.

2. Eventuella begränsningar ska respektera andemeningen i de grundläggande rättigheterna och friheterna och vara nödvändiga och proportionella i ett demokratiskt samhälle.

3. En bedömning av behovet och proportionaliteten ska göras i varje enskilt fall innan begränsningar börjar tillämpas. Begränsningar ska endast tillämpas där det är absolut nödvändigt för att uppnå målet med dem.

4. Europeiska ombudsmannen ska i redovisningssyfte registrera skälen för de begränsningar som tillämpas, vilka av de grunder som anges i punkt 1 som är tillämpliga och resultatet av bedömningen av behovet och proportionaliteten. Dessa uppgifter ska utgöra del av ett register som på begäran ska göras tillgängligt för Europeiska datatillsynsmannen. Europeiska ombudsmannen ska sammanställa regelbundna rapporter om tillämpningen av artikel 25 i förordningen.

5. När Europeiska ombudsmannen behandlar personuppgifter som mottagits från andra organisationer i samband med dess arbetsuppgifter, ska byrån samråda med dessa organisationer om potentiella grunder för att införa begränsningar och om frågan huruvida begränsningarna är nödvändiga och proportionella, såvida detta inte skulle äventyra Europeiska ombudsmannens verksamhet.

Artikel 3- Risker för de registrerades rättigheter och friheter

1. Bedömningar av riskerna med begränsningar för de registrerades rättigheter och friheter samt uppgifter om tillämpningsperioden för begränsningarna ska anges i det register över behandling som förs av Europeiska ombudsmannen enligt artikel 31 i förordningen. De ska även anges i de konsekvensbedömningar avseende uppgiftsskydd som görs för dessa begränsningar och som utförs enligt artikel 39 i förordningen.

2. Vid bedömning av en begränsnings nödvändighet och proportionalitet ska Europeiska ombudsmannen alltid beakta de potentiella riskerna för den registrerades rättigheter och friheter.

Artikel 4- Skyddsåtgärder och lagringsperioder

1. Europeiska ombudsmannen ska genomföra skyddsåtgärder för att förhindra missbruk och olaglig tillgång till eller överföring av personuppgifter som är eller kan vara föremål för begränsningar. Dessa skyddsåtgärder ska omfatta tekniska och organisatoriska åtgärder och ska, om så behövs, specificeras i Europeiska ombudsmannens interna beslut, förfaranden och genomförandebestämmelser. Skyddsåtgärderna ska omfatta följande:

a)

En tydlig definition av funktioner, ansvar och olika steg i förfarandet.

b)

I förekommande fall en säker elektronisk miljö som förebygger olaglig och oavsiktlig tillgång till eller överföring av elektroniska uppgifter till obehöriga personer.

c)

I förekommande fall säker lagring och behandling av dokument i pappersform.

d)

Vederbörlig kontroll av begränsningar och regelbunden översyn av tillämpningen av dem.

De översyner som avses i led d ska genomföras åtminstone var sjätte månad.

2. Begränsningarna ska upphävas så snart som de omständigheter som motiverat dem inte längre gäller.

3. Personuppgifterna ska lagras i enlighet med de lagringsbestämmelser som är tillämpliga för Europeiska ombudsmannen, såsom de definieras i de dataskyddsregister som förs enligt artikel 31 i förordningen. I slutet av lagringsperioden ska personuppgifterna raderas, anonymiseras eller överföras till arkiv i enlighet med artikel 13 i förordningen.

Artikel 5- Dataskyddsombudets roll

1. Europeiska ombudsmannens dataskyddsombud ska informeras utan onödigt dröjsmål när registrerades rättigheter begränsas i enlighet med detta beslut. Han eller hon ska få tillgång till de tillhörande registren och alla dokument som rör faktiska och rättsliga delar.

2. Europeiska ombudsmannens dataskyddsombud får begära en översyn av tillämpningen av en begränsning. Europeiska ombudsmannen ska skriftligen informera sitt dataskyddsombud om resultatet av översynen.

3. Europeiska ombudsmannen ska dokumentera dataskyddsombudets deltagande i tillämpningen av begränsningar, inklusive vilken information som delas med honom eller henne.

Artikel 6- Information till registrerade om begränsning av deras rättigheter

1. Europeiska ombudsmannen ska i meddelanden om uppgiftsskydd som offentliggörs på dess webbplats införa ett avsnitt med allmän information till de registrerade om att deras rättigheter kan komma att begränsas i enlighet med artikel 2.1. Informationen ska omfatta vilka rättigheter som kan komma att begränsas, skälen till detta och möjlig varaktighet.

2. Europeiska ombudsmannen ska skriftligen och utan onödigt dröjsmål informera de registrerade individuellt om nuvarande eller framtida begränsningar av deras rättigheter. Europeiska ombudsmannen ska informera de registrerade om de huvudsakliga skälen till begränsningen, om deras rätt att rådfråga dataskyddsombudet i syfte att överklaga begränsningen och om deras rätt att ge in ett klagomål till Europeiska datatillsynsmannen.

3. Europeiska ombudsmannen får skjuta upp, utelämna eller neka tillhandahållande av information om skälen till en begränsning och rätten att ge in ett klagomål till Europeiska datatillsynsmannen, så länge som det skulle upphäva verkan av begränsningen. En bedömning av huruvida detta är motiverat ska göras i varje enskilt fall. Europeiska ombudsmannen ska tillhandahålla de registrerade denna information så snart detta inte längre skulle upphäva verkan av begränsningen.

Artikel 7- Information till den registrerade om en personuppgiftsincident

1. Om Europeiska ombudsmannen är skyldig att informera om en personuppgiftsincident enligt artikel 35.1 i förordningen får byrån under exceptionella omständigheter begränsa sådan information helt eller delvis. Europeiska ombudsmannen ska i en not ange skälen till begränsningen, den rättsliga grunden för den enligt artikel 2 och en bedömning av begränsningens nödvändighet och proportionalitet. Noten ska överlämnas till Europeiska datatillsynsmannen vid tidpunkten för anmälan av personuppgiftsincidenten.

2. När skälen till begränsningen inte längre är tillämpliga ska Europeiska ombudsmannen meddela den registrerade i fråga om personuppgiftsincidenten och informera honom eller henne om de huvudsakliga skälen till begränsningen och om rätten att ge in ett klagomål till Europeiska datatillsynsmannen.

Artikel 8- Konfidentialitet för elektronisk kommunikation

1. Under exceptionella omständigheter får Europeiska ombudsmannen begränsa rätten till konfidentialitet för elektronisk kommunikation enligt artikel 36 i förordningen. Sådana begränsningar ska vara förenliga med Europaparlamentets och rådets direktiv 2002/58/EG (3).

2. Om Europeiska ombudsmannen begränsar rätten till konfidentialitet för elektronisk kommunikation ska Europeiska ombudsmannen i sitt svar på begäran informera den berörda registrerade om de huvudsakliga skälen till begränsningen och om dennes rätt att ge in ett klagomål till Europeiska datatillsynsmannen.

3. Europeiska ombudsmannen får skjuta upp, utelämna eller neka tillhandahållande av information om skälen till en begränsning och rätten att ge in ett klagomål till Europeiska datatillsynsmannen, så länge som det skulle upphäva verkan av begränsningen. En bedömning av huruvida detta är motiverat ska göras i varje enskilt fall. Europeiska ombudsmannen ska tillhandahålla de registrerade denna information så snart detta inte längre skulle upphäva verkan av begränsningen.

Artikel 9- Ikraftträdande

Detta beslut träder i kraft den tjugonde dagen efter det att det har offentliggjorts i Europeiska unionens officiella tidning.

Utfärdat i Strasbourg den 9 november 2020.

För Europeiska ombudsmannen

Emily O’REILLY


(1) EUT L 295, 21.11.2018, s. 39.

(2) Rådets förordning (EEG, Euratom, EKSG) nr 259/68 av den 29 februari 1968 om fastställande av tjänsteföreskrifter för tjänstemännen i Europeiska gemenskaperna och anställningsvillkor för övriga anställda i dessa gemenskaper samt om införande av särskilda tillfälliga åtgärder beträffande kommissionens tjänstemän (EGT L 56, 4.3.1968, s. 1).

(3) Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) (EGT L 201, 31.7.2002, s. 37).

Beslut av Europeiska Ombudsmannen av den 9 november 2020 om interna regler för att begränsa vissa av de rättigheter som registrerade har vid behandling av personuppgifter