Bakgrund till klagomålet

1. Europeiska utrikestjänsten kräver att dess anställda använder säkra system när de utbyter känsliga och säkerhetsskyddsklassificerade uppgifter sinsemellan. Ett sådant system är ett säkert snabbmeddelandesystem. Detta system är en integrerad del av utrikestjänstens säkerhetsskyddsklassificerade kommunikationssystem ”EU Restricted”.

2. Klaganden begärde allmänhetens tillgång till handlingar som rör denna snabbmeddelandelösning som utrikestjänsten har använt sedan september 2019, inbegripet avtal med externa leverantörer. Han begärde också tillgång till konsekvensbedömningen avseende dataskydd (DPIA) för det sekretessbelagda kommunikationssystemet.^[1]

3. Utrikestjänsten vägrade att lämna ut de begärda handlingarna av säkerhetsskäl och förklarade att det inte fanns någon konsekvensbedömning avseende dataskydd.

4. Klaganden var inte nöjd med utrikestjänstens ståndpunkt i dess bekräftande beslut och vände sig till ombudsmannen.

Utredningen

5. Ombudsmannen inledde en undersökning av utrikestjänstens vägran att bevilja allmänheten tillgång till de begärda handlingarna. Under undersökningens gång träffade ombudsmannens undersökningsgrupp relevant personal vid utrikestjänsten och inspekterade de handlingar som klaganden hade begärt.

Argument som framförts till ombudsmannen

6. Utrikestjänsten förklarade att den inte kunde lämna ut uppgifter om sin säkra kommunikationsutrustning, infrastruktur och sina säkra nät. Ett offentliggörande av sådana uppgifter skulle äventyra den säkerheten genom att offentliggörandet av dokumenten skulle göra systemet mer utsatt för cyberattacker. Ett utlämnande av handlingarna skulle därför undergräva den allmänna säkerheten. ^[2]

7. Utrikestjänsten bekräftade att ingen konsekvensbedömning avseende dataskydd hade utarbetats när det gäller snabbmeddelandelösningen.

8. Klaganden anförde att han bestrider att hans begäran har avslagits generellt och i stor omfattning. Han medgav att utlämnandet av uppgifter om den säkra kommunikationsplattformen måste begränsas i viss utsträckning. Utrikestjänsten bör dock lämna grundläggande information om vilken typ av programvara och systemarkitektur utrikestjänsten använder, om upphandling av programvaran samt vilken typ av protokoll och kryptering den använder. Han anser att tillhandahållandet av sådan information är gängse praxis inom it-säkerhet även när det gäller sätt att utbyta mycket konfidentiell information.

9. Han hävdade att upphandlingsinformation bör vara tillgänglig i samma utsträckning som i andra offentliga upphandlingskontrakt i EU, med undantag för specifik känslig information.

10. Klaganden påpekade att i avsaknad av en konsekvensbedömning avseende dataskydd bör ombudsmannen hänskjuta ärendet till Europeiska datatillsynsmannen för att kontrollera om den håller med om att en sådan storskalig kommunikationsplattform som hanterar mycket känsliga uppgifter verkligen inte behöver en konsekvensbedömning avseende dataskydd.

Ombudsmannens bedömning

11. EU-institutionerna har ett stort utrymme för skönsmässig bedömning när de bedömer huruvida ett utlämnande av en handling skulle kunna äventyra den allmänna säkerheten^[3].

12. Utrikestjänsten uppgav att ett offentliggörande av uppgifter om det säkra kommunikationssystemet skulle äventyra säkerheten genom att göra systemet mer utsatt för cyberattacker. Efter att noggrant ha granskat de kategorier av handlingar som klaganden begärt håller ombudsmannen med om att ett utlämnande av handlingarna skulle undergräva den allmänna säkerheten.

13. Dokumenten innehåller hela tiden känslig information. Det är inte möjligt att bevilja meningsfull partiell tillgång.

14. Ombudsmannen drar därför slutsatsen att utrikestjänsten hade rätt att inte lämna ut de begärda handlingarna.

15. När det gäller klagandens begäran om tillgång till en eventuell konsekvensbedömning avseende dataskydd har utrikestjänsten bekräftat att det inte finns någon sådan handling.

16. Klaganden anser att om det inte finns någon konsekvensbedömning avseende dataskydd bör datatillsynsmannen undersöka frågan om efterlevnaden av dataskyddsreglerna. Ombudsmannen råder därför den klagande att ta upp denna fråga med Europeiska datatillsynsmannen.

Slutsats

På grundval av undersökningen avslutar ombudsmannen detta ärende med följande slutsats:

Europeiska utrikestjänsten har inte gjort sig skyldig till något administrativt missförhållande genom att vägra tillgång till de begärda handlingarna.

Klaganden och Europeiska utrikestjänsten kommer att informeras om detta beslut.

Emily O'Reilly
Europeiska ombudsmannen

Strasbourg den 15 september 2020

[1] I artikel 39.1 i förordning (EU) 2018/1725, som rör skydd för fysiska personer med avseendepå unionsinstitutionernas behandling av personuppgifter, anges att ”[n]är en typ av behandling, särskilt med hjälp av ny teknik, och med beaktande av behandlingens art, omfattning, sammanhang och ändamål, sannolikt kommer att medföra en hög risk för fysiska personers rättigheter och friheter, ska den personuppgiftsansvarige före behandlingen göra en bedömning av den planerade behandlingens inverkan på skyddet av personuppgifter”.

[2] Undantag från allmänhetens rätt till tillgång till handlingar i enlighet med artikel 4.1 a i förordning 1049/2001, som finns på https://eur-lex.europa.eu/legal-content/EN/ALL/?uri=CELEX:32001R1049.

[3] Domstolens dom av den 1 februari 2007, Sison mot rådet, C-266/05 P, tillgänglig på: http://curia.europa.eu/juris/liste.jsf?language=en&jur=C,T,F&num=C-266/05%20P&td=ALL.