Ref. Ares(2024)1197492 – 16/02/2024

1/ Beskrivning av behandlingen

Ombudsmannen genomför undersökningar om potentiella fall av administrativa missförhållanden vid en EU-institution, ett EU-organ eller en EU-byrå (nedan kallad EU-institutionen) och rapporterar om dem.

Ombudsmannen behandlar personuppgifter om enskilda personer för hantering av klagomål och undersökningar på eget initiativ där den samlar in och registrerar personuppgifter i sitt elektroniska system för hantering av klagomål. Ombudsmannen behandlar personuppgifter om klagande och tredje parter som är relaterade till klagomålet/undersökningen, antingen för att de tillhandahålls av klaganden eller samlas in under undersökningen. Ombudsmannen kan överföra personuppgifter till andra EU-institutioner eller ibland till medlemsstaternas myndigheter, enligt beskrivningen nedan.

Den rättsliga grunden för denna behandling är artikel 228 i fördraget om Europeiska unionens funktionssätt (EUF-fördraget) och Europeiska ombudsmannens stadga (nedan kallad stadgan).

Personuppgifter behandlas i enlighet med Europaparlamentets och rådets förordning (EU) 2018/1725 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter.

2/ Vilka personuppgifter samlar vi in, i vilket syfte och med vilka tekniska medel?

Vad

Vid handläggningen av klagomål och undersökningar tar ombudsmannen emot och/eller samlar in handlingar som kan innehålla personuppgifter om

i) fysiska personer som lämnar in klagomål (klagande), och

ii) andra personer som är relevanta för klagomålet/utredningen eller andra tredje parter som nämns i klagomål eller andra utredningsrelaterade handlingar som är irrelevanta eller endast underordnade utredningen.

Dessa personuppgifter inkluderar identifierings- och kontaktuppgifter (namn, adress, e-post, telefon, fax), nationalitet, yrkesinformation och annan information om en individ som är relaterad till förfrågan. Det kan också finnas särskilda kategorier av uppgifter i ett klagomål, t.ex. uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening och uppgifter om hälsa eller sexualliv [1].

Om ombudsmannen beslutar att genomföra ett offentligt samråd (allmänt eller riktat) i samband med handläggningen av ett ärende kommer de svar han eller hon får oftast att innehålla vissa personuppgifter. Bidragsgivare till offentliga samråd (allmänna eller riktade) uppmanas att ange sin tidigare samtyckesnivå när det gäller utlämnande av deras uppgifter. Mer information finns i meddelandet om skydd av personuppgifter om Europeiska ombudsmannens samråd på denna webbplats.

Varför

Ombudsmannen måste behandla personuppgifter för att undersöka eventuella fall av administrativa missförhållanden i syfte att

a) finna en lösning på de specifika frågorna i klagomålet i fråga,

b) identifiera möjliga systemproblem och lägga fram förslag när så är lämpligt, och

c) i samband med detta säkerställa en kontinuerlig och långsiktig konsolidering av de relevanta kunskapsbaser som ligger till grund för dessa verksamheter.

Särskilt när det gäller ärenderelaterade offentliga samråd är syftet att säkerställa att bedömningen av de berörda frågorna är så välinformerad som möjligt.

Personuppgifterna används också för att kommunicera med klagande och för att avgöra om ett klagomål omfattas av ombudsmannens ämbetsområde. Vissa uppgifter används för statistiska ändamål (land, nationalitet, yrkeskategori och språk) på ett anonymiserat sätt för att uppfylla rapporteringskravet i Europeiska ombudsmannens stadga.

Hur

Ombudsmannen samlar normalt in eller tar emot personuppgifterna i handlingar, inklusive formulär, som till största delen är elektroniska.

I vissa fall utgör uppgifterna en del av den information som ursprungligen tas emot muntligen vid möten, inspektioner eller utfrågningar. Under eller omedelbart efter sådana möten registreras den relevanta informationen i handlingarna i ärendet, främst i elektronisk form men i vissa fall även i pappersform.

3/ Vem har tillgång till din information och till vem lämnas den ut?

Ombudsmannens personal

Ombudsmannens personal som är involverad i myndighetens ärendehantering har tillgång till ärendeakterna och deras handlingar, varav vissa innehåller personuppgifter, samt till den databas som innehåller dessa handlingar och tillhörande uppgifter.

EU-institutionerna

När ett klagomål skickas till en EU-institution i samband med en utredning förblir personuppgifterna normalt synliga i handlingarna. Detta är också fallet när den klagande har begärt konfidentiell behandling av sitt klagomål. Sådan sekretess gäller inte för undersökningsrelaterad kommunikation mellan ombudsmannen och institutionen, som har rätt att få fullständig information om all information som rör de anklagelser som den är föremål för. Innan klagomålet och eventuell tillhörande dokumentation skickas kommer ombudsmannens utredare dock att utföra en kontroll för att kontrollera om överföringen av handlingarna skulle innebära en uppenbart onödig överföring av personuppgifter. Redigeringen av de överdrivna personuppgifterna, som beskrivs här, registreras i vederbörlig ordning i den ärendenota som upprättats för inledandet av undersökningen. Om ett klagomål innehåller överdrivna personuppgifter kommer de överdrivna personuppgifterna att raderas.

Om ombudsmannen inte kan hantera eller godta klagomålet kan han eller hon också överföra klagomålet till en annan relevant EU-institution eller ett annat relevant EU-organ som kan vara bättre lämpat att hantera den fråga som klaganden tar upp. Exempel är Europeiska kommissionen när det gäller klagomål om eventuella överträdelser av EU-lagstiftningen, Europaparlamentet när det gäller politiska frågor, Europeiska byrån för bedrägeribekämpning när det gäller bedrägerifrågor och Europeiska datatillsynsmannen.

Ombudsmannen använder "eTranslation" (maskinöversättning) för att automatiskt översätta klagomålsrelaterade handlingar, som kan innehålla personuppgifter. eTranslation är en tjänst som drivs av Europeiska kommissionen, som inte analyserar innehållet i det översatta dokumentet. Översättningar och andra resultat som genereras av tjänsten returneras till sina användare och är utformade för att vara otillgängliga under bearbetningen. Ombudsmannen kan också skicka handlingar för översättning till Europaparlamentets översättningstjänst eller till Översättningscentrum för Europeiska unionens organ när handlingar behöver översättas. Sådana dokument kan ibland innehålla personuppgifter. Översättarna arbetar enligt sekretesskrav som införts av ovannämnda EU-organ.

Andra organ eller organisationer

På samma sätt kan ombudsmannen, när det gäller andra klagomål som han eller hon inte kan behandla, besluta att överföra ett klagomål, utan att redigera personuppgifterna, till nationella institutioner eller organisationer som kan hjälpa den klagande. Han eller hon kan besluta att göra detta om den klagande har gett sitt uttryckliga samtycke. Han eller hon gör endast överföringar till sådana organ eller organisationer som är belägna i EU.

När ombudsmannen får kännedom om omständigheter som kan utgöra eller ha samband med ett brott ska han eller hon rapportera till de behöriga nationella myndigheterna, Europeiska åklagarmyndigheten (Eppo) och/eller Europeiska byrån för bedrägeribekämpning (Olaf).[2] När han eller hon gör detta skickar han eller hon normalt de relevanta handlingarna, oredigerade, till den berörda myndigheten.

Enskilda ansökningar om allmänhetens tillgång till handlingar

EU-medborgare kan utöva sin grundläggande rätt att begära allmänhetens tillgång till alla handlingar som innehas av ombudsmannen, inbegripet handlingar i ärendeakten eller därmed sammanhängande handlingar. En sådan begäran handläggs på grundval av förordning (EG) nr 1049/2001 om allmänhetens tillgång till EU-institutionernas handlingar.

Vid besvarandet av begäranden om allmänhetens tillgång till handlingar redigeras som standard personuppgifterna för klagande och tredje parter, med undantag för EU-personal, innan de handlingar som innehas av ombudsmannen offentliggörs.

De registrerades rättigheter

De registrerade kan utöva sin rätt till tillgång, rättelse eller radering av sina personuppgifter i samband med hanteringen av klagomål genom att skicka en begäran via e-post till den personuppgiftsansvarige i den brevlåda som anges nedan.

De har möjlighet att begära konfidentiell behandling av sitt klagomål eller vissa delar av det genom att ange ett sådant krav i klagomålet och genom att tillhandahålla motivering eller motivering.

Ombudsmannen följer dataskyddsreglerna, inbegripet skyldigheten att informera registrerade tredje parter om behandlingen av deras personuppgifter och dessa registrerades rätt att få tillgång till sina personuppgifter och att få fel i dessa uppgifter rättade, eller att uppgifterna begränsas eller raderas, i enlighet med dessa regler. Med tanke på principen om uppgiftsminimering rekommenderas klaganden att endast lämna information som är relevant för föremålet för klagomålet och att undvika onödiga och irrelevanta detaljer, särskilt om den innehåller tredje parts personuppgifter. Ombudsmannen kommer dock alltid att ta hänsyn till den klagandes omständigheter när han eller hon fullgör sina dataskyddsskyldigheter, särskilt om den klagande befinner sig i en sårbar situation. Ombudsmannen kommer att göra en bedömning från fall till fall och väga klagandens och den registrerade tredje partens rättigheter och berättigade intressen mot varandra.

Om den klagande beslutar att lämna in ett anonymt klagomål kommer ett sådant klagomål alltid att vara otillåtligt.[3] Ombudsmannen kan dock, beroende på den information som anges i ett sådant klagomål, besluta att gå vidare med frågan genom en undersökning på eget initiativ.

4/ Hur skyddar och skyddar vi dina personuppgifter?

Inom organisationen skyddar Europeiska ombudsmannen personuppgifter genom regler och praktiska åtgärder.

All personal informeras om sina strikta sekretesskrav och får tillhörande utbildning och uppdaterad information om praxis och regler.

Varje medlem av ombudsmannens personal har ett primärt ansvar för att föra sina arbetsregister på ett sådant sätt att säkerheten för de personuppgifter som ingår i dem garanteras.

De ärenderelaterade dokumenten och dataformulären hanteras nästan helt elektroniskt, vilket ger konfigurerbara åtkomsträttigheter och minskar risken för oavsiktlig spridning av papperskopior. Som nämnts ovan har ombudsmannens personal som deltar i myndighetens ärendehantering tillgång till ärendeakterna och deras handlingar.

En faktisk eller potentiell klagande kan när som helst lämna in en motiverad begäran om begränsad tillgång till sitt klagomålsärende, en begäran som till exempel kan vara relevant om den klagande är en nuvarande eller tidigare medlem av ombudsmannens personal, annan EU-personal, medlem av nätverk eller liknande grupper med vilka flera anställda vid ombudsmannens kontor har eller kan förväntas ha kontakt. Dokumenten och dataformulären lagras elektroniskt på virtuella servrar som Europaparlamentet ställer till ombudsmannens förfogande. Europaparlamentets tillgång till uppgifter kontrolleras och är strikt för it-administration och it-stöd.

Fysiska arkiv förvaras låsta i separata arkivrum och, i förekommande fall, kassaskåp.

5/ Hur kan du be oss att verifiera, ändra eller radera din information?

De registrerade har rätt att få tillgång till de personuppgifter som vi har om dem och att begära att ombudsmannen rättar, kompletterar eller, i förekommande fall, raderar dem.[4] Varje begäran om tillgång till personuppgifter eller om rättelse, begränsning och/eller radering av personuppgifter ska riktas till den ansvariga utredaren och/eller till den personuppgiftsansvarige (e-post: EO@ombudsman.europa.eu).

Du kan också kontakta Europeiska ombudsmannens dataskyddsombud (DPO-Euro-Ombudsman@ombudsman.europa.eu) om du har några frågor om behandlingen av dina personuppgifter.

Begränsningar enligt artikel 25 i förordning 2018/1725 kan tillämpas, se ombudsmannens beslut av den 9 november 2020 [5].

6/ Hur länge sparar vi dina uppgifter?

Ärendeakter, inklusive dokumentrelaterade uppgifter eller uppgifter som är integrerade i databaser, omfattas av en lagringsperiod på

• Två år för klagomål som faller utanför myndighetens mandat.
• Tio år för klagomål som omfattas av myndighetens mandat. Detta inbegriper klagomål där ombudsmannen inledde en undersökning och klagomål där ombudsmannen inte inledde en undersökning, antingen på grund av att de var otillåtliga eller på grund av bristande motivering. Handlingar som rör klagomål som har stor betydelse för allmänheten eller som på annat sätt betraktas som större ärenden arkiveras senare, i anonymiserad form, för historiska ändamål. I undantagsfall får dock personuppgifter bevaras om det är nödvändigt för att tjäna historiska eller allmänna intressen.

Kortare lagringstider gäller för konfidentiella handlingar som ingår i ärendeakten. I synnerhet ska konfidentiella handlingar i allmänhet raderas när ärendet har avslutats och, om en klagande är inblandad, tidsfristen för att behandla en begäran om omprövning har löpt ut.

I undantagsfall ska den normala lagringstiden på tio år tillämpas på konfidentiella handlingar om

• a) det är uppenbart att informationen i fråga är, eller mycket väl kan vara, viktig för en framtida förståelse av ärendet, inbegripet omständigheter under vilka ärendet har företräde eller utbildningsvärde,
• b) det är sannolikt att bevarandet av handlingen tjänar historiska eller allmänna intressen, eller
• c) Bibehållandet av handlingen kan vara relevant i samband med faktiska eller möjliga framtida formella förfaranden.

Alla beslut och åtgärder i samband med hanteringen av ovannämnda konfidentiella handlingar registreras i vederbörlig ordning i ärendeakten.

7/ Användning

De registrerade har när som helst rätt att lämna in ett klagomål till Europeiska datatillsynsmannen (edps@edps.europa.eu ), om de anser att ombudsmannen har kränkt deras rättigheter enligt förordning 2018/1725.

 

[1] Artikel 10 i förordning 2018/1725.

[2] Artikel 9.2 i ombudsmannens stadga.

[3] Artikel 2.2 i ombudsmannens stadga.

[4] Artiklarna 17–20 i förordning 2018/1725.

[5] Europeiska ombudsmannens beslut av den 9 november 2020 om interna regler för att begränsa vissa registrerades rättigheter vid behandling av personuppgifter, finns på https://www.ombudsman.europa.eu/en/document/en/141577.