Ozadje pritožbe

1. Skupina za sodelovanje na področju omrežij in informacijskih sistemov (v nadaljnjem besedilu: skupina za sodelovanje na področju varnosti omrežij in informacij) je bila ustanovljena [1], da bi zagotovila sodelovanje in izmenjavo informacij med državami članicami na področju kibernetske varnosti. Skupino za sodelovanje na področju varnosti omrežij in informacij sestavljajo predstavniki držav članic EU, Evropske komisije in Agencije EU za kibernetsko varnost (ENISA). Skupina za sodelovanje na področju varnosti omrežij in informacij med drugim pripravlja nezavezujoče smernice za države članice za obravnavanje vprašanj politike kibernetske varnosti, kot so grožnje volilnim procesom, varnost omrežja 5G ali „registri vrhnjih domenskih imen“[2].

2. Pritožnik je julija 2023 Komisijo pozval, naj javnosti odobri dostop do dokumentov [3] v zvezi s sestanki skupine za sodelovanje na področju varnosti omrežij in informacij, in sicer do vseh dnevnih redov in zapisnikov sestankov. Zahteval je tudi dostop javnosti do smernic in navodil, ki jih je Komisija pripravila v skladu z veljavnimi pravili [4].

3. Komisija je v prvotnem odgovoru z dne 28. septembra 2023 pojasnila, da so vsi dnevni redi sestankov skupine za sodelovanje na področju varnosti omrežij in informacij objavljeni na spletu.[5] Opredelila je 24 dokumentov v zvezi z zapisnikom vsakega sestanka skupine za sodelovanje na področju varnosti omrežij in informacij od leta 2017 in zavrnila dostop do vseh dokumentov. Pri tem se je sklicevala na izjemo v skladu z zakonodajo EU o dostopu javnosti do dokumentov, pri čemer je trdila, da bi njihovo razkritje oslabilo varstvo javnega interesa, kar zadeva javno varnost [6]. Pritožnika je tudi obvestila, da ni opredelila nobenega dokumenta v zvezi s „smernicami ali navodili“.

4. Pritožnik je oktobra 2023 Komisijo pozval, naj pregleda svojo odločitev (s „potrdilno prošnjo“), pri čemer je trdil, da dokumentov ni mogoče razumno v celoti zajeti z izjemo za „javno varnost“. Po njegovem mnenju bi bilo treba razkriti zapisnike sestankov v zvezi z notranjimi pravili skupine za sodelovanje na področju varnosti omrežij in informacij ali njenim delovnim programom. Enako velja za vse informacije v zvezi z izmenjavo dobrih praks, saj bi verjetno opisovale vprašanja digitalne varnosti, ki so splošno znana. Poleg tega, ker so nekatere minute stare več kot pet let, je trdil, da je potek časa verjetno odpravil tveganje razkritja njihove vsebine. Trdil je tudi, da bi morala Komisija pripraviti več zapisnikov sej.

5. Komisija je potrdila prejem potrdilne prošnje in navedla, da bo odgovorila v veljavnih rokih, in sicer pred 30. novembrom 2023. Potem ko je pritožnik poslal dva opomina, na katera Komisija ni odgovorila, se je januarja 2024 obrnil na varuhinjo človekovih pravic.

Preiskava

6. Varuhinja človekovih pravic je začela preiskavo, ker Komisija ni odgovorila na potrdilno prošnjo, ki jo je vložil pritožnik.

7. Zaradi dolgotrajne zamude je preiskovalna skupina varuha človekovih pravic pregledala zadevne dokumente.[7] Varuh človekovih pravic je po pregledu dokumentov predlagal rešitev, da Komisija omogoči čim širši dostop do dokumentov.

8. Komisija je 20. avgusta 2024, tj. po skoraj enoletni znatni zamudi, odgovorila na potrdilno prošnjo in dva meseca pozneje na predlog varuhinje človekovih pravic za rešitev. Varuhinja človekovih pravic je pritožniku dala možnost, da predloži pripombe na odgovor Komisije, vendar jih ni prejela.

Predlog varuhinje človekovih pravic za rešitev

9. Potem ko je preiskovalna skupina pregledala dokumente, je varuhinja človekovih pravic menila, da bi morala Komisija odobriti delni dostop do dokumentov, in marca 2024 predlagala rešitev v zvezi s tem.

10. Varuhinja človekovih pravic je menila, da zadevni dokumenti v veliki meri ne vsebujejo občutljivih informacij, katerih razkritje bi lahko pomenilo razumno predvidljivo (in ne zgolj hipotetično) tveganje za javno varnost.[8] Večina zapisnikov je splošnih in ne vsebuje občutljivih podrobnosti o konkretnem operativnem delu ustreznih nacionalnih organov, specializiranih za kibernetsko varnost. Poleg tega velik del zapisnikov zajema posodobitve držav članic o tem, kako so prenesle zadevni direktivi EU.[9] Zdi se, da ti deli zaradi pretečenega časa niso zajeti v izjemi glede javne varnosti. Nazadnje je varuhinja človekovih pravic predlagala, da bi bilo treba opredeliti tri dodatne dokumente [10].

11. Varuhinja človekovih pravic je ugotovila, da se je Komisija v svoji prvotni odločitvi o zavrnitvi dostopa oprla na notranja pravila [11], ki izrecno določajo, da razprave skupine za sodelovanje na področju varnosti omrežij in informacij ne bi smele biti odprte za javnost. Dejala je, da bi morala Komisija svojo oceno pritožnikove prošnje za dostop javnosti utemeljiti na določbah Uredbe 1049/2001.

12. Varuhinja človekovih pravic je predlagala naslednjo rešitev:

Komisija bi morala ponovno preučiti svoje stališče o pritožnikovi zahtevi, da bi omogočila čim širši dostop do dokumentov, vključno s tremi dodatnimi dokumenti, ki v začetni fazi niso bili opredeljeni [12].

13. Komisija je na predlog rešitve varuhinje človekovih pravic avgusta 2024 odgovorila na potrdilno prošnjo pritožnika. Komisija je odobrila dostop do delov 27 dokumentov: 24 zapisnikov sej, opredeljenih v začetni fazi, in tri dodatne zapisnike, navedene v predlogu za rešitev, ki ga je pripravila varuhinja človekovih pravic.

14. Komisija je zavrnila razkritje nekaterih delov dokumentov z obrazložitvijo, da bi njihovo razkritje oslabilo varstvo javnega interesa, kar zadeva javno varnost. Trdila je, da dokumenti vsebujejo podrobne in občutljive informacije o kibernetski varnosti, vključno z varnostnimi ukrepi, sprejetimi v odziv na posebne krize, ter izmenjavami med organi za kibernetsko varnost o morebitnih tveganjih in grožnjah. Po mnenju Komisije bi razkritje teh informacij ogrozilo javno varnost EU, saj bi javnosti, vključno z zlonamernimi skupinami, zagotovilo koristne informacije o kibernetski varnosti in tako oslabilo pripravljenost držav članic. Komisija je prikrila tudi nekatere dele dokumentov, saj bi lahko informacije, čeprav bi se na prvi pogled zdele neškodljive, potencialnim storilcem kibernetskih kaznivih dejanj zagotovile dragocen vpogled.

15. Komisija je prikrila tudi nekatere osebne podatke uslužbencev Komisije in članov drugih organov. Poleg tega je Komisija pritožnika obvestila, da so smernice Komisije o direktivi o varnosti omrežij in informacij (ki jih je pritožnik zahteval v svoji prvotni zahtevi) javno dostopne na njenem spletišču ^[13].

16. Komisija je po zamudi oktobra 2024 sprejela odgovor na predlog varuhinje človekovih pravic za rešitev [14]. Komisija je menila, da je predlog varuhinje človekovih pravic izpolnila tako, da je odobrila najširši možni dostop do zadevnih dokumentov, pri čemer je upoštevala tveganja za javno varnost, ki bi jih povzročilo širše razkritje, kot je podrobno pojasnjeno v potrdilnem sklepu.

17. Komisija se ni strinjala s stališčem varuhinje človekovih pravic iz predloga rešitve, da se zdi, da večina dokumentov ne vsebuje občutljive vsebine. Kot je pojasnjeno v potrdilnem sklepu, deli dokumentov vsebujejo mnenja in stališča držav članic o sedanjih in prihodnjih ukrepih ter razpravah na nacionalni in čezmejni ravni. Vsebujejo tudi informacije o incidentih in drugih ukrepih, ki se izvajajo v državah članicah. Odražajo razprave o kibernetski varnosti v zvezi s posebnimi povezanimi vprašanji, kot so evropske volitve leta 2019, izvajanje priporočil Komisije, trenutno stanje in posodobitve različnih ukrepov, vključno z izvajanjem priporočil skupine, delo v zvezi z mrežo skupin za odzivanje na incidente na področju računalniške varnosti (CSIRT) in strategijo EU za kibernetsko varnost [15].

18. Komisija je menila, da bi javno razkritje teh delov dokumentov ogrozilo zaščito javne varnosti, saj bi širši javnosti, vključno z zlonamernimi posamezniki ali skupinami, zagotovilo ustrezne informacije o boju proti kibernetskim napadom. Komisija je menila, da bi bile zaradi tega države članice in Evropa izpostavljene varnostnim incidentom in grožnjam.

19. Komisija je vztrajala, da njena notranja pravila [16] določajo, da razprave skupine ne smejo biti odprte za javnost. Komisija je menila, da pri presoji prošnje za dostop javnosti na podlagi Uredbe št. 1049/2001 ne more prezreti občutljive narave dejavnosti, ki se odražajo v dokumentih, in namenov sodelovanja na tem področju.

20. Splošna naloga skupine za sodelovanje na področju varnosti omrežij in informacij, kot je določena v direktivi o varnosti omrežij in informacij, je podpirati strateško sodelovanje in izmenjavo informacij ter krepiti zaupanje med državami članicami. Ker kibernetske varnosti ni mogoče doseči brez sodelovanja organov držav članic, je Komisija menila, da bi razkritje razprav, povzetih v zahtevanih dokumentih, ogrozilo zaupanje in sodelovanje na področju kibernetske varnosti. Dejstvo, da nekateri dokumenti izvirajo iz leta 2017, ne spremeni stopnje tveganja, če bi bili razkriti, saj so tesno povezani s sedanjimi razpravami.

21. Poleg tega se Komisija ni strinjala s stališčem varuhinje človekovih pravic, da deli dokumentov, ki se nanašajo na posodobitve v zvezi s prenosom direktiv o varnosti omrežij in informacij ter direktive o varnosti omrežij in informacij 2, niso občutljivi. Komisija je trdila, da prenos direktive NIS2 še vedno poteka. Čeprav je bil prenos direktive o varnosti omrežij in informacij končan, se razprave, povzete v zapisniku, nanašajo na različne ukrepe, ki so jih države članice sprejele v zvezi s tem, vključno z možnostmi, ki niso bile sprejete. Razkritje teh delov dokumentov bi negativno vplivalo na javno varnost, kar zadeva ukrepe, sprejete na nacionalni ravni. Čas, ki preteče, ne spremeni ravni tveganja, saj so opisani ukrepi še vedno pomembni za boj proti kibernetski kriminaliteti.

Ocena varuha človekovih pravic po predlogu rešitve

22. Institucije Unije imajo široko polje proste presoje pri ugotavljanju, ali bi razkritje dokumenta oslabilo varstvo javnega interesa, kar zadeva javno varnost. Vendar morajo še vedno dokazati „posebno in dejansko tveganje“, ki je razumno predvidljivo in ne zgolj hipotetično [17].

23. Komisija je zdaj omogočila delni dostop do spornih dokumentov, kar varuhinja človekovih pravic pozdravlja. Varuhinja človekovih pravic pozdravlja tudi utemeljitev Komisije v zvezi s preostalimi redigiranji.

24. Varuhinja človekovih pravic na podlagi predloženih pojasnil meni, da ni bilo očitno napačno, da je Komisija trdila, da nekatere razprave o posebnih vprašanjih, povezanih s kibernetsko varnostjo, kot so evropske volitve leta 2019 ali vaje kibernetske pripravljenosti (CyCLONe in Blue OLEx), vsebujejo občutljive elemente, ki bi lahko ogrozili javno varnost. Poleg tega se zdi redigiranje osebnih podatkov razumno, pritožnik pa jih ni izpodbijal.

25. Kljub temu varuhinja človekovih pravic ugotavlja, da je Komisija zavrnila dostop do celotnih oddelkov v zvezi s povzetki razprav med člani skupine za sodelovanje na področju varnosti omrežij in informacij o tekočem delu.

26. Opravljeni inšpekcijski pregled je pokazal, da so povzetki pripravljeni na splošno, v njih pa so opisani glavni izzivi in priložnosti v zvezi s posamezno temo ali možnimi konvergencami. Varuh človekovih pravic težko razume, kako bi lahko taki splošni povzetki ogrozili javno varnost, če bi bili razkriti. Zato je težko razumeti, kako in zakaj bi v primeru razkritja teh delov dokumentov obstajalo konkretno in dejansko tveganje za javno varnost.

27. Komisija je trdila, da bi ti deli dokumentov lahko zagotovili dragocene informacije morebitnim storilcem kibernetskih kaznivih dejanj, če bi bili razkriti. Vendar je ta razlaga v nasprotju z dejstvom, da nekateri redigirani deli vsebujejo informacije, ki so že javno dostopne.

28. Varuhinja človekovih pravic zato meni, da bi lahko Komisija bolje obrazložila nekatera redigiranja, zlasti tista, ki zajemajo splošne povzetke razprav skupine za sodelovanje na področju varnosti omrežij in informacij. Ker pa je Komisija zdaj odobrila delni dostop do zapisnika sestanka in pritožnik ni predložil dodatnih pripomb na odgovor Komisije, varuhinja človekovih pravic meni, da nadaljnje preiskave v zvezi s to zadevo niso upravičene.

29. Varuh človekovih pravic ugotavlja, da se je Komisija v prvotnem sklepu o zavrnitvi dostopa oprla na notranja pravila [18], da bi zavrnila dostop do vseh dokumentov. Komisija je v odgovor na predlog varuhinje človekovih pravic za rešitev pojasnila, da je svojo oceno prošnje za dostop javnosti utemeljila na Uredbi 1049/2001, vendar ni mogla prezreti občutljive narave razprav skupine za sodelovanje na področju varnosti omrežij in informacij, pri čemer je vztrajala, da notranja pravila določajo, da razprave niso odprte za javnost. Varuhinja človekovih pravic je zadovoljna, da je bila v tem primeru ocena Komisije v skladu z določbami Uredbe 1049/2001 in da se Komisija strinja, da notranjih pravil, ki se uporabljajo v tem primeru, nikakor ni mogoče razlagati kot posredno domnevo nerazkritja ali celo kot razlog za zavrnitev dostopa javnosti. Varuhinja človekovih pravic zato pozdravlja pojasnilo Komisije, da bi morale zahteve za dostop javnosti do dokumentov v zvezi s sestanki skupine za sodelovanje na področju varnosti omrežij in informacij temeljiti le na določbah iz Uredbe 1049/2001 [19].

30. Varuhinja človekovih pravic je zaskrbljena zaradi velike zamude pri odgovoru na pritožnikovo zahtevo za dostop v tej zadevi. V skladu z Uredbo 1049/2001 bi morala institucija EU v 15 delovnih dneh od evidentiranja potrdilne prošnje odobriti dostop do zahtevanega dokumenta ali v pisnem odgovoru navesti razloge za popolno ali delno zavrnitev. Rok 15 delovnih dni se lahko v izjemnih okoliščinah podaljša za nadaljnjih 15 delovnih dni [20].

31. V tem primeru je Komisija potrebovala skoraj enajst mesecev, da je sprejela odločitev o potrdilni prošnji pritožnika.

32. Varuh človekovih pravic je Komisijo že pozval, naj obravnava sistemske zamude na tem področju in spoštuje roke iz Uredbe 1049/2001 [21].

33. Varuhinja človekovih pravic obžaluje veliko zamudo Komisije pri odgovoru na pritožnikovo zahtevo in jo ponovno poziva, naj obravnava vprašanje zamud na tem področju.

Sklepne ugotovitve

Varuhinja človekovih pravic je na podlagi preiskave zadevo zaključila z naslednjimi ugotovitvami:

Ker je Komisija zdaj odobrila širši dostop do spornih dokumentov, varuhinja človekovih pravic meni, da je bil predlog rešitve delno sprejet, in primer zaključuje.

Varuhinja človekovih pravic obžaluje veliko zamudo Komisije pri odgovoru na pritožnikovo zahtevo. Očitno neupoštevanje rokov, ki jih je zakonodajalec določil v Uredbi št. 1049/2001, ne more biti dobro upravljanje.

Pritožnik in Komisija bosta obveščena o tej odločitvi.

Teresa Anjinho
Evropska varuhinja človekovih pravic

Strasbourg, 14. aprila 2025

 

[1] Skupina je bila ustanovljena na podlagi Direktive (EU) 2016/1148 o ukrepih za visoko skupno raven varnosti omrežij in informacijskih sistemov v Uniji (direktiva o varnosti omrežij in informacij), ki je na voljo na: https://eur-lex.europa.eu/eli/dir/2016/1148/oj/eng .

[2] Več informacij je na voljo na: https://digital-strategy.ec.europa.eu/en/policies/nis-cooperation-group

[3] V skladu s pravili iz Uredbe Evropskega parlamenta in Sveta (ES) št. 1049/2001 z dne 30. maja 2001 o dostopu javnosti do dokumentov Evropskega parlamenta, Sveta in Komisije, ki so na voljo na: https://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX%3A32001R1049

[4] Uvodni izjavi 20 in 21 ter člen 4 direktive VOIS 2, na voljo na: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32022L2555

[5] Glej https://digital-strategy.ec.europa.eu/en/library/nis-cooperation-group-meetings-agendas.

[6] Člen 4(1)(a), prva alinea, Uredbe št. 1049/2001.

[7] Obseg preiskave varuha človekovih pravic je zajemal le zapisnik sestanka, saj pritožnik ni izpodbijal tega, kako je Komisija obravnavala druge vidike njegove prvotne zahteve (ki se je nanašala na dnevne rede sestankov ter smernice in navodila).

[8] Glej sodbo Sodišča z dne 3. julija 2014 v zadevi C-350/12 P, Svet proti in 't Veld, točki 52 in 64, na voljo na: https://curia.europa.eu/juris/liste.jsf?num=C-350/12

[9] Direktiva (EU) 2016/1148 in Direktiva (EU) 2018/1972, direktivi VOIS in VOIS 2, glej opombi 1 in 4.

[10] Zapisniki 16., 17. in 27. sestanka skupine za sodelovanje na področju varnosti omrežij in informacij, saj so ti sestanki objavljeni na spletnem mestu Komisije, na katerem so navedeni dnevni redi vseh sestankov skupine za sodelovanje na področju varnosti omrežij in informacij, vendar jih Komisija v prvotnem odgovoru pritožniku ni opredelila.

[11] Izvedbeni sklep Komisije (EU) 2017/179 z dne 1. februarja 2017 o določitvi postopkovne ureditve, potrebne za delovanje skupine za sodelovanje v skladu s členom 11(5) Direktive (EU) 2016/1148 Evropskega parlamenta in Sveta o ukrepih za visoko skupno raven varnosti omrežij in informacijskih sistemov v Uniji, na voljo na https://eur-lex.europa.eu/eli/dec_impl/2017/179/oj/eng.

[12] Celotno besedilo predloga varuha človekovih pravic za rešitev je na voljo na: https://www.ombudsman.europa.eu/solution/200856

[13] https://digital-strategy.ec.europa.eu/en/library/commission-guidelines-application-article-34-directive-eu-20222555-nis-2-directive in https://digital-strategy.ec.europa.eu/en/library/commission-guidelines-application-article-4-1-and-2-directive-eu-20222555-nis-2-directive

[14] Odgovor Komisije je na voljo na spletni strani: https://www.ombudsman.europa.eu/doc/correspondence/200857

[15] https://digital-strategy.ec.europa.eu/en/policies/cybersecurity

[16] Člen 10 Izvedbenega sklepa Komisije (EU) 2017/179 (glej opombo 11).

[17] Sodba Splošnega sodišča z dne 27. novembra 2019, Izuzquiza in Semsrott proti Frontexu, zadeva T-31/18, točke 65–66: https://curia.europa.eu/juris/liste.jsf?num=T-31/18.

[18] Izvedbeni sklep Komisije (EU) 2017/179 (glej opombo 11).

[19] Splošno sodišče je v sodbi v zadevi Pollinis pojasnilo, da poslovnik, ki ga je Komisija sprejela za posebne odbore, ne prevlada nad Uredbo 1049/2001 o dostopu javnosti do dokumentov EU, kar pomeni, da ta poslovnik na splošno ne more preprečiti razkritja posameznih stališč držav članic, izraženih med razpravami o komitologiji. Glej sodbo Splošnega sodišča z dne 14. septembra 2022, Pollinis France/Evropska komisija, združeni zadevi T‑371/20 in T‑554/20, točka 96, na voljo na: https://curia.europa.eu/juris/liste.jsf?language=en&td=ALL&num=T-371/20

[20] Člen 8 Uredbe št. 1049/2001.

[21] Priporočilo o času, ki ga Evropska komisija potrebuje za obravnavo prošenj za dostop javnosti do dokumentov (strateška preiskava OI/2/2022/OAM), na voljo na: https://www.ombudsman.europa.eu/en/recommendation/en/167661.