Utfärdad i enlighet med artikel 3.5 i Europeiska ombudsmannens stadga ^[1]

Bakgrund till klagomålet

1. I mars 2018 begärde klaganden att Europeiska kommissionen skulle ge honom tillgång till kopior av all e-postkorrespondens till och från en namngiven kommissionstjänsteman med anknytning till artikel 13 i utkastet till direktiv om upphovsrätt på den digitala inre marknaden.^[2] Tjänstemannen i fråga arbetade vid kommissionens generaldirektorat för kommunikationsnät, innehåll och teknik (GD CNCT). Det framgår av klagomålet att en del av tjänstemannens arbetsuppgifter avsåg utarbetandet av utkastet till direktiv.

2. I maj 2018 nekade kommissionen tillgång till de begärda e-postmeddelandena på grund av behovet av att skydda den enskildes integritet.^[3] Kommissionen förklarade att e-postmeddelanden som härrör från eller skickas till en specifikt identifierad person utgör ”personuppgifter” i den mening som avses i förordning (EG) ^{nr 45/2001 [4].} För att handlägga klagandens begäran om allmänhetens tillgång till handlingar skulle det följaktligen ha varit nödvändigt att behandla tjänstemannens personuppgifter.

3. Kommissionen hävdade vidare att den endast under särskilda och exceptionella omständigheter kunde få tillgång till e-post som fanns i personalens arbets-e-postkonton. Kommissionen uppgav följaktligen att den inte kunde få tillgång till de begärda e-postmeddelandena för att hantera klagandens begäran.

4. Klaganden ingav en begäran om omprövning, en så kallad ”bekräftande ansökan”, och bad kommissionen att ompröva sin ståndpunkt. I juni 2018 bekräftade kommissionen sin vägran att ge allmänheten tillgång till handlingen.

5. Klaganden var missnöjd med kommissionens beslut och vände sig till ombudsmannen den 7 juni 2018.

Utredningen

6. Ombudsmannen inledde en undersökning av kommissionens vägran att bevilja tillgång till de begärda e-postmeddelandena. Under undersökningens gång mottog ombudsmannen kommissionens kommentarer i ärendet.

Argument som framförts till ombudsmannen

Klagandens argument

7. Klaganden hävdar att kommissionen inte på ett tillfredsställande sätt motiverade sin vägran att ge allmänheten tillgång till de begärda e-postmeddelandena. Han hävdade att e-postmeddelandena utgör ”handlingar” som omfattas av EU:s regler om allmänhetens tillgång till handlingar.^[5] Han hävdar att eventuella integritetsproblem skulle kunna hanteras inom ramen för det förfarande som föreskrivs i förordningen om allmänhetens tillgång till handlingar och inte bör hindra kommissionen från att identifiera de begärda e-postmeddelandena i första hand.

Europeiska kommissionens argument

8. Kommissionen uppgav först att enligt dess interna regler ^[6] bör e-postmeddelanden som innehåller viktig information, inbegriper åtgärder eller uppföljning, eller som senare kan behövas som bevis, registreras i kommissionens dokumenthanteringssystem. Omvänt bör e-postmeddelanden som inte kvalificerar sig för registrering inte lagras permanent. Dessa e-postmeddelanden bör raderas av avsändaren och mottagaren/mottagarna när de blir föråldrade och/eller ersätts av händelser.” De interna reglerna anger också att oregistrerade e-postmeddelanden automatiskt raderas från e-postkontona efter sex månader.

9. Kommissionen hävdar också att eftersom de begärda e-postmeddelandena skickades till/från en särskilt identifierad anställd innehåller förteckningen över och innehållet i e-postmeddelandena ”personuppgifter” om den personen.^[7] Den hävdar att kommissionen för att hantera klagandens begäran skulle behöva hämta de begärda e-postmeddelandena från den anställdes e-postkonto, vilket skulle utgöra ”behandling” av den anställdes personuppgifter ^[8]. Företaget hävdade att sådan behandling inte skulle vara legitim och laglig i den mening som avses i artikel 5 i förordning nr 45/2001.

10. Enligt kommissionens egna interna regler ^[9] har den endast laglig tillgång till sina anställdas elektroniska korrespondens (som kan innehålla både personliga och yrkesmässiga e-postmeddelanden) för säkerhets- eller utredningsändamål. Enligt kommissionen är det varken nödvändigt eller proportionerligt att söka i en anställds e-postkonto för att identifiera de handlingar som är nödvändiga för att behandla en begäran om allmänhetens tillgång till handlingar. Dessutom hävdar kommissionen att det inte skulle vara en lämplig rättslig grund att begära samtycke från den anställde (för kommissionen) för att göra en sökning på hans e-postkonto, eftersom samtycket inte kunde anses vara ”fritt” i den mening som avses i EU:s integritetsregler på grund av beroendeförhållandet mellan arbetsgivare och anställd.

11. Slutligen har kommissionen gjort gällande att även om de begärda e-postmeddelandena skulle identifieras, skulle ett utlämnande av dem utgöra en överföring av personuppgifter. Detta är endast tillåtet om mottagaren har fastställt att överföringen är nödvändig och det inte finns någon anledning att anta att den registrerades berättigade intressen skulle kunna skadas.^[10] Eftersom klaganden inte har visat att det är nödvändigt skulle det vara motiverat att tillämpa undantaget om skydd för privatlivet enligt artikel 4.1 b i förordning (EG) nr 1049/2001.

Ombudsmannens bedömning

12. EU:s regler om allmänhetens tillgång till handlingar är tillämpliga på alla handlingar som finns hos en EU-institution (det vill säga handlingar som upprättats eller mottagits av institutionen och som innehas av denna) inom alla områden av Europeiska unionens verksamhet.^[11] Begreppet ”handling” ges en vid definition i förordning 1049/2001 och omfattar allt innehåll, oavsett medium (på papper eller lagrat i elektronisk form eller som en ljud-, bild- eller audiovisuell upptagning) som rör den politik, de åtgärder och de beslut som omfattas av institutionens ansvarsområde.

13. EU-domstolarna har slagit fast ^[12] att arten av det lagringsmedium på vilket innehållet sparas, eller presentationen av innehållet, inte har någon betydelse för om det omfattas av reglerna om tillgång till handlingar eller inte.

14. Ombudsmannen anser, med tanke på den arbetsrelaterade karaktären hos de begärda e-postmeddelandena (som rör ett lagstiftningsförslag), att de, om de fortfarande innehas av kommissionen (se nedan), bör betraktas som ”handlingar” som mottagits eller upprättats av institutionen och därmed omfattas av allmänhetens begäranden om tillgång.

15. Ombudsmannen anser att ett e-postmeddelande måste betraktas som en ”handling som upprättats av institutionen” när det har upprättats av en tjänsteman (eller ett ombud) inom ramen för hans eller hennes tjänsteutövning och har skickats av tjänstemannen för ett arbetsrelaterat ändamål med hjälp av det e-postkonto som institutionen tillhandahåller.

16. Ett e-postmeddelande bör alltid betraktas som en ”handling som mottagits av institutionen” när det riktar sig till en tjänsteman (eller en anställd) i hans eller hennes tjänsteutövning och rör en fråga som rör tjänstemannens eller mer allmänt institutionens ansvar. 

17. Huruvida e-postmeddelanden därefter registreras i kommissionens dokumenthanteringssystem är inte relevant för definitionen av en ”handling” enligt förordning 1049/2001. Registrering av en handling är en följd av att det finns en handling och inte en förutsättning för dess existens.

18. Ett e-postmeddelande är i en institutions besittning så snart institutionen är i stånd att utöva kontroll över hur e-postmeddelandet hanteras. En institution har rätt att ge sina tjänstemän instruktioner om hur de ska hantera e-postmeddelanden som de får i sin arbetsinkorg när dessa e-postmeddelanden rör institutionens arbete. Institutionen kan till exempel beordra tjänstemännen att lagra, hämta, förfoga över, registrera eller offentliggöra e-postmeddelanden som de mottar i sitt e-postkonto, förutsatt att e-postmeddelandet avser institutionens arbete. Det faktum att en institution (ännu) inte har utövat denna kontrollrätt innebär inte att institutionen inte redan har tillgång till e-postmeddelandet och därmed omfattas av EU:s regler om tillgång till handlingar.

19. Det är möjligt att ett e-postmeddelande som har mottagits i en tjänstemans inkorg inte längre behålls. Detta kan inträffa om det finns en policy för dokumentlagring, som antingen tar bort e-postmeddelanden automatiskt efter en viss tidsperiod eller kräver att personalen manuellt tar bort kopior av e-postmeddelandena. Men tills ett dokument tas bort permanent från e-postsystemet förblir det i institutionens ägo. Kommissionen har inte tagit upp frågan huruvida handlingarna i detta ärende har behållits.

20. Mot bakgrund av ovanstående anser ombudsmannen att de e-postmeddelanden som skickats eller mottagits av den berörda tjänstemannen och som rör EU:s politik, verksamhet eller beslut, och som inte permanent hade raderats från tjänstemannens e-postkonto när begäran om allmänhetens tillgång mottogs av kommissionen, är ”handlingar” ”som innehas av kommissionen”, med förbehåll för reglerna om allmänhetens tillgång till handlingar.

21. För att undvika tvivel är e-postmeddelanden av personlig karaktär som en tjänsteman tar emot i sin inkorg per definition undantagna från tillämpningsområdet för EU:s regler om allmänhetens tillgång till handlingar, eftersom dessa regler endast gäller handlingar som rör EU:s politik, verksamhet eller beslut. Reglerna gäller alltså endast för arbetsrelaterad e-post.

22. Det är naturligtvis möjligt att den berörda tjänstemannens e-postkonto innehåller både arbetsrelaterade e-postmeddelanden och, i undantagsfall, e-postmeddelanden som inte är relaterade till hans arbetsverksamhet (privata e-postmeddelanden).

23. Det är också möjligt att de arbetsrelaterade e-postmeddelandena också innehåller vissa personuppgifter, till exempel namn och kontaktuppgifter.

24. Ombudsmannen instämmer dock inte i kommissionens argument att kommissionen skulle behöva behandla personuppgifter för att identifiera de begärda handlingarna. Även om ett sådant utövande skulle anses utgöra en behandling av personuppgifter anser ombudsmannen att det är nödvändigt för att uppfylla kommissionens rättsliga skyldigheter och inte skulle strida mot den berörda tjänstemannens rätt till integritet.

25. För det första är det, med tanke på de begärda e-postmeddelandenas arbetsrelaterade karaktär, möjligt att åtminstone vissa eller alla av dem redan har registrerats i kommissionens dokumenthanteringssystem. De kunde därför hämtas därifrån utan att man sökte på tjänstemannens e-postkonto.

26. För det andra har kommissionen befogenhet att hämta all annan arbetsrelaterad e-post från tjänstemannens e-postkonto med full respekt för den enskildes personuppgifter och privatliv. Kommissionen skulle till exempel kunna be den anställde själv att hämta relevanta e-postmeddelanden från sitt eget e-postkonto (förutsatt att de inte har raderats permanent). Detta alternativ skulle absolut inte kräva att kommissionen behandlar tjänstemannens personuppgifter. En sådan begäran skulle inte inkräkta på den anställdes privatliv, utan skulle endast vara en normal arbetsrelaterad uppgift.

27. När de handlingar som är föremål för begäran om allmänhetens tillgång har identifierats kommer kommissionen att kunna göra en konkret bedömning av deras utlämnande.

Förslag till lösning

Ombudsmannen föreslår att kommissionen ska ålägga den berörda tjänstemannen att identifiera och hämta alla relevanta handlingar som fortfarande finns lagrade på den anställdes e-postkonto. Kommissionen bör också söka i sitt dokumentregister efter relevanta handlingar.

När kommissionen har identifierat handlingarna bör den bedöma om de ska lämnas ut i enlighet med bestämmelserna i EU:s regler om allmänhetens tillgång till handlingar.

Kommissionen uppmanas att senast den 7 oktober 2019 informera ombudsmannen om alla åtgärder som den har vidtagit i samband med ovannämnda förslag till lösning.

Emily O'Reilly
Europeiska ombudsmannen

Strasbourg den 5 september 2019

^[1] Europaparlamentets beslut av den 9 mars 1994 om föreskrifter och allmänna villkor för ombudsmannens ämbetsutövning (94/262/EKSG, EG, Euratom), EGT L 113, 1994, s. 15.

[2] Artikel 13 i förslaget till direktiv om användning av skyddat innehåll av leverantörer av informationssamhällets tjänster. I maj 2019 antogs direktivet av rådet och parlamentet. Medlemsstaterna har fram till juni 2021 på sig att införliva direktivet i sin nationella lagstiftning.

^[3] Enligt artikel 4.1 b i Europaparlamentets och rådets förordning (EG) nr 1049/2001 av den 30 maj 2001 om allmänhetens tillgång till Europaparlamentets, rådets och kommissionens handlingar, tillgänglig på http://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32001R1049&rid=1

^[4] Förordning (EU) 45/2001 var tillämplig vid tidpunkten för klagandens begäran om tillgång, och har nu ersatts av förordning (EU) 2018/1725.

^[5] Europaparlamentets och rådets förordning (EG) nr 1049/2001 av den 30 maj 2001 om allmänhetens tillgång till Europaparlamentets, rådets och kommissionens handlingar, tillgänglig på https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=EGT:L:2001:145:0043:0048:sv:PDF .

^[6] Meddelande från generalsekreteraren av den 16 januari 2015 (ej överlämnat till ombudsmannen).

^[7] I enlighet med artikel 2 a i Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter, tillgänglig på https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A32001R0045.

^[8] Enligt artikel 2 b i förordning (EG) nr 45/2001.

^[9] Enligt ett meddelande från Europeiska kommissionens generalsekreterare av den 16 januari 2015.

^[10] I enlighet med artikel 8 i förordning (EG) nr 45/2001.

^[11] Domstolens dom av den 21 juli 2011, Sverige/MyTravel och kommissionen, C-506/08, REU, EU:C:2011:496, punkt 88.

^[12] Se tribunalens dom av den 26 oktober 2011, Dufour/ECB, T‑436/09, REU, EU:T:2011:634, punkterna 88 och 90–93.