1. Inledning

Förutom att behandla personuppgifter om enskilda personer som lämnar in klagomål kan ombudsmannen, beroende på omständigheterna i ärendet, behöva behandla personuppgifter i förhållande till andra personer (nedan kallade registrerade tredje parter).

Vid mottagandet av ett klagomål bedömer ombudsmannen om den tillhandahållna informationen innehåller några personuppgifter om tredje part, det vill säga någon information som rör en identifierad eller identifierbar fysisk person, annan än klaganden.

Begreppet personuppgifter är mycket brett [1]. Som exempel kan nämnas uppgifter om en persons identitet och personliga egenskaper, uttalanden och åsikter samt civilstånd och anställningsstatus [2].

Denna policy rör det sätt på vilket ombudsmannen genomför skyldigheten att informera registrerade om behandlingen av deras personuppgifter i samband med ett klagomål eller en undersökning, om uppgifterna inte har erhållits från dessa registrerade. Vid utarbetandet av denna policy har ombudsmannen tagit hänsyn till Europeiska datatillsynsmannens (nedan kallad datatillsynsmannen) riktlinjer [3].

2. Skyldigheten att informera

När en registrerad tredje parts personuppgifter ingår i ett klagomål eller andra undersökningsrelaterade handlingar är ombudsmannen skyldig att förse den berörda personen med viss information [4], nämligen följande:

a) Den personuppgiftsansvariges, dvs. ombudsmannens, identitet och kontaktuppgifter [5].

b) Kontaktuppgifter till ombudsmannens dataskyddsombud.

c) Ändamålet med behandlingen (t.ex. handläggningen av ett klagomål) och den rättsliga grunden för behandlingen (t.ex. reglerna om EU-institutionernas behandling av personuppgifter [6] och/eller ombudsmannens stadga [7]).

d) De kategorier av uppgifter som berörs (t.ex. den berörda personens identitet och sysselsättningsstatus).

e) Mottagarna av uppgifterna [8].

f) I tillämpliga fall, att ombudsmannen avser att överföra personuppgifterna till ett tredjeland eller en internationell organisation och förekomsten eller avsaknaden av ett beslut av kommissionen om adekvat skyddsnivå eller lämpliga eller lämpliga skyddsåtgärder och medlen för att erhålla en kopia av dem eller var de har gjorts tillgängliga. och

g) Följande ytterligare information som är nödvändig för att garantera en rättvis och öppen behandling av personens personuppgifter:

i) tidsfristerna för lagring av de relevanta uppgifterna,

ii) Det faktum att personen har rätt att begära tillgång till, rättelse, radering eller begränsning av behandlingen av sina personuppgifter eller rätt att invända mot behandlingen [9].

iii) personens rätt att vända sig till Europeiska datatillsynsmannen, och

iv) uppgifternas ursprung (inklusive, i tillämpliga fall, offentligt tillgängliga källor).

3. Politiken

A – Klagomål utanför mandatet

Om ombudsmannen finner att ett klagomål som innehåller personuppgifter om tredje part inte omfattas av ombudsmannens ämbetsområde ska ombudsmannen informera den klagande om detta och om möjligt ge honom eller henne råd om vilket organ som kan behandla klagomålet. Om den klagande har samtyckt till att hans eller hennes klagomål överförs om ombudsmannen inte kan hantera det, vidarebefordrar ombudsmannen klagomålet till det behöriga organet (t.ex. en nationell ombudsman).

I sådana fall anser ombudsmannen att tillhandahållandet av den individuella information som nämns i punkt 2 ovan inte är nödvändigt eftersom i) det ändamål för vilket ombudsmannen behandlar dessa personuppgifter (bedömning av huruvida klagomålet omfattas av ombudsmannens ämbetsområde och, om så inte är fallet, eventuell överföring av klagomålet till ett annat organ) inte kräver att den registrerade tredje parten identifieras av ombudsmannen [10], och ii) individuell information till registrerade tredje parter om att ombudsmannen kan behandla uppgifter som rör dem, även om det är möjligt, skulle leda till en onödig mångfaldigande av personuppgifter och därför innebära en oproportionerlig ansträngning [11].

I stället offentliggör ombudsmannen ett informationsmeddelande på sin webbplats där allmänheten informeras om att hon kan komma att behandla personuppgifter om andra personer än den klagande i samband med sin hantering av klagomål. Detta meddelande innehåller en länk till denna policy och till ett uttalande om behandling av personuppgifter i samband med ombudsmannens hantering av klagomål och undersökningar. Denna not, denna policy och uttalandet anses vara tillräckliga för att ge all relevant information till enskilda vars personuppgifter ombudsmannen kan komma att behandla [12] och för att göra det möjligt för dem att begära tillgång till, rättelse, radering och begränsning av behandlingen av sina personuppgifter om de så önskar [13].

B - Inom ramen för mandatet men otillåtliga och tillåtliga ingen grund klagomål

I ovannämnda fall anser ombudsmannen inte att tillhandahållandet av individuell information som nämns i punkt 2 ovan är nödvändigt, eftersom det skulle leda till en onödig mångfald av personuppgifter som, med tanke på de begränsade åtgärder som krävs, nämligen att klagomålet inte överförs från ombudsmannens kontor, skulle innebära en oproportionerlig ansträngning [14].

Det informationsmeddelande som offentliggörs på ombudsmannens webbplats och denna policy och detta uttalande anses vara tillräckligt för att ge all relevant information till enskilda vars personuppgifter ombudsmannen kan komma att behandla [15] och för att ge dem möjlighet att begära tillgång till, rättelse, radering och begränsning av behandlingen av sina personuppgifter om de så önskar [16].

C - Förfrågningar

I ovanstående fall måste ombudsmannen först avgöra om uppgifterna om tredje part är relevanta eller inte för föremålet för undersökningen. Ett sätt att göra detta är att undersöka om ombudsmannen skulle hantera undersökningen annorlunda om den registrerade tredje parten inte hade nämnts eller identifierats i undersökningsakten.

Relevanta uppgifter kan till exempel vara uppgifter om tidigare yrkeserfarenhet för en EU-tjänsteman som är medlem i en uttagningskommitté och som påstås ha en intressekonflikt. Irrelevanta uppgifter kan till exempel vara de som rör den EU-tjänstemannens civilstånd. Ytterligare irrelevanta uppgifter som sannolikt kommer att samlas in under ombudsmannens undersökning på ett rent tillfälligt sätt är till exempel namnen på andra EU-tjänstemän som nämns i den berörda institutionens beslut och handlingar som samlats in under ombudsmannens undersökning.

Beslutet om relevansen av dessa uppgifter och den underliggande analysen kommer att anges i den sammanfattning som registreras i den relevanta ärendeakten i ombudsmannens ärendehanteringssystem.

Irrelevanta uppgifter

I fall där uppgifterna är irrelevanta för föremålet för undersökningen anser ombudsmannen inte att tillhandahållandet av individuell information till den tredje parten är nödvändigt eftersom i) eftersom uppgifterna är irrelevanta kräver det ändamål för vilket ombudsmannen behandlar dessa personuppgifter (hantering av klagomålet/undersökningen) inte att ombudsmannen identifierar de registrerade tredje parterna [17], och ii) att informera sådana registrerade tredje parter individuellt, även om det är möjligt, skulle leda till en onödig mångfald av personuppgifter och innebära en oproportionerlig ansträngning med tanke på att ombudsmannen inte använder uppgifterna i fråga inom ramen för sin undersökning [18]. Uppenbart irrelevanta uppgifter i klagomålet kommer inte att behandlas vidare av ombudsmannen [19].

Det informationsmeddelande som offentliggörs på ombudsmannens webbplats, denna policy och uttalandet anses vara tillräckligt för att ge all relevant information till enskilda vars personuppgifter ombudsmannen kan komma att behandla [20] och för att ge dem möjlighet att begära tillgång till, rättelse, radering och begränsning av behandlingen av sina personuppgifter om de så önskar [21].

Relevanta uppgifter

Om uppgifterna är relevanta överväger ombudsmannen att lämna informationen i punkt 2 ovan till den registrerade tredje parten.

Om bedömningen av klagomålet gör det möjligt att dra slutsatsen att den registrerade tredje parten redan har informationen (t.ex. när den EU-tjänsteman som påstås ha en intressekonflikt har en fullständig kopia av klagomålet och de styrkande handlingarna)[22] eller att tillhandahållandet av informationen är omöjligt eller innebär en oproportionerlig ansträngning (t.ex. när den berörda personen under tiden har lämnat tjänsten och inte kan spåras)[23] registrerar ombudsmannen den detaljerade bedömning som leder till denna slutsats i sammanfattningen av ärendet i ärendehanteringssystemet och i det meddelande som offentliggörs på ombudsmannens webbplats, tillsammans med denna policy och detta uttalande, anses vara tillräckliga för att tillhandahålla nödvändig information till enskilda personer vars personuppgifter ombudsmannen kan komma att behandla [24] och ge dem möjlighet att begära tillgång till, rättelse, radering och begränsning av behandlingen av deras personuppgifter om de så önskar [25].

I fall där den registrerade tredje parten inte har informationen och där det är möjligt att informera honom eller henne och inte innebär en oproportionerlig ansträngning, undersöker ombudsmannen om det är sannolikt att det skulle bli omöjligt eller allvarligt försvåra uppnåendet av målen för denna behandling att informera den registrerade tredje parten, nämligen att grundligt undersöka och besluta om eventuella administrativa missförhållanden i verksamheten vid EU:s institutioner, organ eller byråer, till följd av utövandet av en grundläggande rättighet (ett klagomål till ombudsmannen) eller på ombudsmannens eget initiativ [26].

Detta skulle till exempel vara fallet om den registrerade tredje parten kunde påverka utredningen: t.ex. genom att dölja viktiga bevis eller genom att hämnas på den klagande för att han eller hon har utövat en grundläggande rättighet (att klaga till ombudsmannen) och detta påverkar utredningen (t.ex. genom att den klagande inte längre är villig att bidra till undersökningen).

Om ombudsmannen efter ovanstående analys drar slutsatsen att tillhandahållandet av information till den registrerade tredje parten sannolikt kommer att omöjliggöra eller allvarligt försämra undersökningen och ombudsmannens förmåga att fatta beslut om påståendena om administrativa missförhållanden, kommer bedömningen och den därav följande slutsatsen att registreras i ärendeakten i ärendehanteringssystemet. Det meddelande som offentliggörs på ombudsmannens webbplats tillsammans med denna policy och detta uttalande anses vara tillräckligt för att ge nödvändig information till enskilda vars personuppgifter ombudsmannen kan komma att behandla i sådana undantagsfall [27] och för att ge dem möjlighet att begära tillgång till, rättelse, radering och begränsning av behandlingen av sina personuppgifter om de så önskar [28].

Om ombudsmannen däremot drar slutsatsen att tillhandahållandet av information till den registrerade tredje parten sannolikt inte kommer att omöjliggöra eller allvarligt försämra undersökningen och ombudsmannens förmåga att fatta beslut om påståendena om administrativa missförhållanden, ska ombudsmannen förse den registrerade tredje parten med den information som anges i punkt 2 ovan så snart som granskningen av klagomålet har slutförts och institutionen har informerats [29].

4. Bidrag som svar på ombudsmannens offentliga samråd

Principerna i denna policy gäller även alla personuppgifter som tas emot i samband med ombudsmannens offentliga samråd.

 

Emily O'Reilly

Strasbourg den 16 juli 2019

 

[1] Artikel 3.1 i Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 2018, s. 39): personuppgifter: varje upplysning som avser en identifierad eller identifierbar fysisk person (den registrerade). en identifierbar fysisk person är en person som kan identifieras, direkt eller indirekt, särskilt med hänvisning till en identifierare såsom ett namn, ett identifikationsnummer, en lokaliseringsuppgift, en onlineidentifierare eller till en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.”

[2] En detaljerad analys av begreppet personuppgifter finns i artikel 29-gruppens yttrande 4/2007, som finns här: http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2007/wp136_en.pdf

[3] https://secure.edps.europa.eu/EDPSWEB/

[4] Artikel 16.1 och 16.2 i förordning 2018/1725.

[5] Artikel 3.8 i förordning 2018/1725: personuppgiftsansvarig: den unionsinstitution eller det unionsorgan eller det generaldirektorat eller varje annan organisatorisk enhet som ensam eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Om ändamålen och medlen för sådan behandling fastställs i en särskild unionsakt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten.”

[6] Artikel 5 i förordning 2018/1725.

[7] Europaparlamentets beslut av den 9 mars 1994 om föreskrifter och allmänna villkor för ombudsmannens ämbetsutövning (94/262/EKSG, EG, Euratom), EGT L 113, 1994, s. 15, ändrat genom Europaparlamentets beslut av den 14 mars 2002, EGT L 92, 2002, s. 13, och av den 18 juni 2008, EUT L 189, 2008, s. 25.

[8] Artikel 3.13 i förordning 2018/1725: mottagare: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ till vilket personuppgifterna lämnas ut, oavsett om det är en tredje part eller inte. Offentliga myndigheter som får ta emot personuppgifter inom ramen för en särskild utredning i enlighet med unionsrätten eller medlemsstaternas nationella rätt ska dock inte betraktas som mottagare. Dessa offentliga myndigheters behandling av dessa uppgifter ska vara förenlig med tillämpliga dataskyddsregler i enlighet med ändamålen med behandlingen.”

[9] Artiklarna 17–20 och 23 i förordning 2018/1725.

[10] Artikel 12.1 i förordning 2018/1725: ”Om de ändamål för vilka en personuppgiftsansvarig behandlar personuppgifter inte kräver eller inte längre kräver att den registrerade identifieras av den personuppgiftsansvarige, ska den personuppgiftsansvarige inte vara skyldig att behålla, förvärva eller behandla ytterligare information för att identifiera den registrerade endast i syfte att följa denna förordning.”

[11] Artikel 16.5 b i förordning 2018/1725: ”Punkterna 1–4 ska inte tillämpas om och i den mån ... tillhandahållandet av sådan information visar sig vara omöjligt eller skulle innebära en oproportionerlig ansträngning ...”

[12] Artikel 16.6 i förordning 2018/1725: ”I de fall som avses i punkt 5 b ska den personuppgiftsansvarige vidta lämpliga åtgärder för att skydda den registrerades rättigheter, friheter och berättigade intressen, inbegripet att göra informationen allmänt tillgänglig.”

[13] Artikel 12.2 i förordning 2018/1725: ”Om den registeransvarige, i de fall som avses i punkt 1 i denna artikel, kan visa att den inte kan identifiera den registrerade, ska den registeransvarige om möjligt informera den registrerade om detta. I sådana fall ska artiklarna 17–22 inte tillämpas utom när den registrerade, i syfte att utöva sina rättigheter enligt dessa artiklar, tillhandahåller ytterligare information som gör det möjligt att identifiera honom eller henne.” Detta kan till exempel vara fallet när en registrerad tredje part begär tillgång till sina personuppgifter som behandlas av ombudsmannen och ombudsmannen, efter en sökning i ombudsmannens ärendehanteringssystem, informerar honom eller henne om att hans eller hennes uppgifter inte kunde hittas. Om den registrerade senare lämnar ytterligare information, t.ex. klagomålets nummer eller den klagandes namn, kan detta dock göra det möjligt för honom eller henne att identifieras i ombudsmannens akter och för ombudsmannen att fatta ett beslut om begäran.

[14] Artikel 16.5 b i förordning 2018/1725.

[15] Artikel 16.6 i förordning 2018/1725.

[16] Artikel 12.2 i förordning 2018/1725. Se fotnot 13 ovan.

[17] Artikel 12.1 i förordning 2018/1725

[18] Artikel 16.5 b i förordning 2018/1725.

[19] Det är möjligt att uppgifter som inte kan anses vara relevanta för föremålet för en utredning i ett tidigt skede, dock i slutändan kan användas för utredningens syften och påverka dess resultat.

[20] Artikel 16.6 i förordning 2018/1725.

[21] Artikel 12.2 i förordning 2018/1725. Se fotnot 13 ovan.

[22] Artikel 16.5 a i förordning 2018/1725: ”Punkterna 1–4 ska inte tillämpas om och i den mån ...  den registrerade redan har informationen ...”

[23] Artikel 16.5 b i förordning 2018/1725: ”Punkterna 1–4 ska inte tillämpas om och i den mån ... tillhandahållandet av sådan information visar sig vara omöjligt eller skulle innebära en oproportionerlig ansträngning ...”

[24] Artikel 16.6 i förordning 2018/1725.

[25] Artikel 12.2 i förordning 2018/1725. Se fotnot 13 ovan.

[26] Artikel 16.5 b i förordning 2018/1725: ”Punkterna 1–4 ska inte tillämpas om och i den mån ... den skyldighet som avses i punkt 1 i denna artikel sannolikt kommer att göra det omöjligt eller avsevärt svårare att uppnå ändamålen med behandlingen ...”

[27] Artikel 16.6 i förordning 2018/1725.

[28] Artikel 12.2 i förordning 2018/1725. Se fotnot 13 ovan.

[29] Artikel 16.3 i förordning 2018/1725: ”Den registeransvarige ska tillhandahålla den information som avses i punkterna 1 och 2 ... c) om ett utlämnande till en annan mottagare planeras, senast när personuppgifterna lämnas ut för första gången.”