Gå direkt till innehållet
Europeiska kommissionens logotyp
svsv

Skydd av personuppgifter vid tillgång till handlingar

1. Inledning

EU-kommissionen är mån om att skydda dina personuppgifter och respektera din integritet. Vi samlar in och behandlar personuppgifter i enlighet med Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter (som upphäver förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG).

I det här meddelandet förklarar vi hur och varför vi samlar in personuppgifter, hur vi behandlar och skyddar dina uppgifter, hur de används och vilka rättigheter du har när det gäller dina personuppgifter. Här finns också kontaktuppgifter till den personuppgiftsansvariga enhet som du kan vända dig till för att utöva dina rättigheter och till dataskyddsombudet och Europeiska datatillsynsmannen.

Det här meddelandet gäller behandlingen av personuppgifter i ansökningar om tillgång till handlingar enligt förordning (EG) nr 1049/2001 som handläggs av de personuppgiftsansvariga enheterna: generalsekretariatets enhet för öppenhet, dokumenthantering och tillgång till handlingar när det gäller ursprungliga och bekräftande ansökningar och andra behöriga kommissionsenheter när det gäller ursprungliga ansökningar.

2. Varför och hur samlar ni in uppgifter om mig?

Vi samlar in och behandlar dina personuppgifter för att kunna handlägga din ansökan om tillgång till handlingar enligt förordning (EG) nr 1049/2001 och för att ta fram årsstatistik om ansökningarna enligt artikel 17.1 i förordningen. Dessutom krävs en viss behandling av personuppgifter i de handlingar som ska lämnas ut för att ställa ett register över handlingar till allmänhetens förfogande enligt artikel 11 i förordningen. Personuppgifterna kan komma att behandlas för att följa upp en utredning av EU-ombudsmannen, Europeiska revisionsrätten eller EU-domstolen vid domstolsförfaranden.

Dina uppgifter kommer inte att användas för automatiserat beslutsfattande, t.ex. profilering.

Du kan ansöka om tillgång till kommissionens handlingar på två sätt. Hur du gör påverkar hur vi behandlar dina personuppgifter.

2.1 Ansökan via webbportalen

På EU-kommissionens portal Tillgång till kommissionshandlingar kan du ansöka om tillgång till kommissionens handlingar i enlighet med förordning (EG) nr 1049/2001.

För att kunna skicka in ansökningar via portalen måste du ha ett konto hos EU Login, den autentiseringstjänst som kommissionen använder för flera av sina informationssystem.

Om du redan har ett EU Login-konto kan du logga in med det. Om du inte har ett EU Login-konto uppmanas du att skapa ett när du klickar på ”Skicka in en ansökan” eller ”Skapa konto” på portalen.

När du skapar ett EU Login-konto ska du uppge för- och efternamn och e-postadress. Du kan ändra för- och efternamn via ditt EU Login-konto. Mer information om behandlingen av personuppgifter i EU Login hittar du i EU Logins integritetsmeddelande och meddelandet om tjänsten för identitets- och åtkomsthantering (IAMS) (referens i dataskyddsombudets register: DPR-EC-03187).

När du loggar in på portalen första gången med hjälp av ditt EU Login-konto skapas automatiskt ett särskilt konto på portalen (ditt ”konto för tillgång till handlingar”). Det här kontot hämtar för- och efternamn och e-postadress från EU Login-kontot. Du kan dessutom lägga in uppgifter om din profil som sökande, telefonnummer, postadress, land, rättslig företrädare och organisation. Dessa uppgifter hanterar du via portalen när du är inloggad (klicka på ”Inloggad” högst upp på vilken sida som helst).

Namnändringar på EU Login-kontot syns automatiskt på ditt konto på portalen.

2.1.1 Ursprunglig ansökan via portalen

Om du skickar in din ursprungliga ansökan via portalen måste du utöver för- och efternamn och e-postadress (samma som för EU Login-kontot) också ange i vilket land du bor, såvida du inte redan lagt in uppgiften i ditt konto på portalen. Enligt EU:s förordning 2018/1725 om skydd av personuppgifter gäller olika skyldigheter beroende på om personuppgifterna i den begärda handlingen överförs till en sökande som bor i ett EU-/EES-land eller inte. Du kan när som helst uppdatera ditt konto på portalen.

Du behöver inte ange din postadress när du skickar in din ansökan via portalen, eftersom kommissionen skickar sitt svar via portalen (visas under fliken ”Svar på ursprunglig ansökan”), så att man juridiskt kan slå fast delgivningsdatumet.

Postadressen krävs om du uttryckligen begär att få svar även med post (dvs. på papper) och inte bara via portalen.

2.1.2 Bekräftande ansökan via portalen (omprövning)

Om du har fått avslag på din ansökan kan du be kommissionen att ompröva sitt beslut genom att skicka in en bekräftande ansökan om tillgång till handlingar i enlighet med artikel 7.2 i förordning (EG) nr 1049/2001.

Om du skickade in din ursprungliga ansökan via portalen kan du göra på två sätt:

a) Via knappen ”Begär omprövning” som visas på ansökans sida.

b) Via mejl eller vanlig post till de adresser som anges i kommissionens svar på den ursprungliga ansökan.

Hur du än gör behöver du inte ange din postadress, eftersom kommissionen skickar sitt svar via portalen (visas under fliken ”Svar på bekräftande ansökan”), så att man juridiskt kan slå fast delgivningsdatumet.

Postadressen krävs om du uttryckligen begär att få svar även med post (dvs. på papper) och inte bara via portalen. Annars får du bara ett elektroniskt svar.

Om du uttryckligen begär att inte få svaret via portalen utan bara på något annat sätt, måste du ange din postadress, annars behandlar kommissionen inte din bekräftande ansökan.

2.2 Ansökan via mejl eller post

Om du skickar din ansökan via mejl eller post måste du ange för- och efternamn och e-postadress (bara om du skickar ansökan med mejl) samt postadress. Utan postadress behandlas inte ansökan. Postadressen behövs av flera skäl:

  1. För det första vill vi kunna slå fast vilken dag du fick kommissionens svar på ansökan, som kan ha kommit via post eller på ett annat sätt som gör att man juridiskt kan slå fast delgivningsdatumet.
  2. För det andra vill vi veta om du bor i EU/EES eller ett land utanför EU, så att vi kan tillämpa rätt dataskyddsregler på alla personuppgifter i de handlingar som du vill ha. Förordning (EU) 2018/1725 om skydd av personuppgifter har olika regler beroende på om personuppgiftsmottagaren är etablerad i EU/EES eller någon annanstans. Eftersom de allra flesta handlingar som begärs ut innehåller personuppgifter kan kommissionen inte säkerställa att reglerna om skydd av personuppgifter tillämpas på rätt sätt om vi inte känner till mottagarens postadress.
  3. För det tredje måste vi kunna tillämpa förordning (EG) nr 1049/2001 korrekt. Artikel 4.1 b i den förordningen avser skyddet för den enskildes privatliv och integritet och ska tillämpas i enlighet med förordning 2018/1725 om skydd av personuppgifter.

Om du skickade in din ursprungliga ansökan via mejl eller post svarar kommission på ett sätt som gör att man juridiskt kan slå fast delgivningsdatumet (t.ex. via post).

I så fall kan du också skicka in din bekräftande ansökan i enlighet med artikel 7.2 i förordning (EG) nr 1049/2001 via mejl eller post till de adresser som anges i kommissionens svar på den ursprungliga ansökan.

Kommissionen kommer att svara på ett sätt som gör att man juridiskt kan slå fast delgivningsdatumet (t.ex. via post).

3. Vilken är den rättsliga grunden för att behandla mina personuppgifter?

Vi behandlar dina personuppgifter för att

  • utföra en arbetsuppgift av allmänt intresse (artikel 5.1 a i förordning (EU) nr 2018/1725) och
  • uppfylla en rättslig skyldighet som kommissionen omfattas av (artikel 5.1 b i förordning (EU) nr 2018/1725).

Behandlingen av de icke-obligatoriska personuppgifter som du lämnar i din ansökan om tillgång till handlingar (se punkt 4 nedan) eller på portalen baseras på ditt samtycke (artikel 5.1 d i förordning (EU) 2018/1725).

Behandlingen enligt artiklarna 5.1 a och 5.1 b har stöd i artikel 15.3 i EUF-fördraget och förordning (EG) nr 1049/2001.

4. Vilka uppgifter samlar ni in?

Vi samlar in följande personuppgifter:

a) Personuppgifter som du lämnar när du skickar in din ansökan, dvs.

i) obligatoriska personuppgifter:

– för- och efternamn

– e-postadress (om du skickar ansökan via portalen eller mejl)

– land där du bor (om du skickar ansökan via portalen, se punkt 2.1)

– postadress (om du skickar ansökan via mejl eller post, se punkt 2.2)

i) frivilliga personuppgifter: telefonnummer, postadress (bara om du skickar ansökan via portalen, se punkt 2.1), organisation, rättslig företrädare, den sökandes profil.

b) Personuppgifter om den sökande och andra personer i ansökan eller annan korrespondens mellan den sökande och kommissionen (t.ex. svar på ansökan, skrivelse om förlängning av tidsfristen och klargöranden).

c) Personuppgifter i de begärda handlingarna om de lämnas ut i enlighet med förordning (EG) nr 1049/2001.

d) Kontaktuppgifter om företrädare för tredje part vid samråd med tredje part.

e) Om det råder rimliga tvivel om din identitet kan du bli ombedd att skicka in en kopia av en id-handling (t.ex. pass eller id-kort) för att styrka din identitet i följande fall:

  • Om de handlingar som du vill få ut innehåller dina egna personuppgifter och du beviljas enskild tillgång till handlingarna.
  • Om det finns legitima skäl att anta att du missbrukar rätten till tillgång enligt förordning (EG) nr 1049/2001.

Id-handlingen ska innehålla ditt namn och, i förekommande fall, postadress. Foto, personliga kännetecken eller andra uppgifter får döljas.

5. Hur länge sparas uppgifterna?

Vi sparar dina personuppgifter bara så länge som krävs för att uppfylla syftet med insamlingen och behandlingen av uppgifterna, så som förklaras nedan.

5.1 Personuppgifter i handlingar, ärenden och tillhörande metadata som sparas i kommissionens interna dokumenthanteringssystem Hermes-Ares-NomCom (HAN-systemet)

Alla handlingar och all korrespondens mellan dig som sökande och kommissionen registreras i HAN-systemet, oavsett hur du lämnar in dina ansökningar, bland annat ursprunglig ansökan, mottagningsbevis, skrivelse om förlängning av tidsfristen, kommissionens svar på din ursprungliga ansökan eller avslutande brev och bekräftande ansökan. I HAN-systemet sparas

  1. Handlingar (inklusive personuppgifter – handlingar i samma ärende samlas i en mapp
  2. obligatoriska metadata till handlingar och ärenden (t.ex. författare, mottagare och titel).

5.1.1 Handlingar och ärenden

Alla handlingar i samma ärende samlas i en mapp. Kommissionens avdelningar måste spara ett ärende en viss tid med tanke på administrativa behov och rättsliga krav. Den här s.k. perioden för administrativt bevarande börjar löpa när ärendet har avslutats.

För ursprungliga ansökningar räknas ärendet som avslutat när kommissionen har skickat sitt svar på din ursprungliga ansökan eller ett avslutande brev och du inte har skickat en bekräftande ansökan inom 15 arbetsdagar efter att svaret delgetts (se i så fall vad som gäller för bekräftande ansökningar nedan).

För bekräftande ansökningar räknas ärendet som avslutat när kommissionen har skickat sitt svar på din bekräftande ansökan eller ett avslutande brev. Ärendet öppnas igen om du väcker talan om ogiltigförklaring vid EU-domstolen eller lämnar in ett klagomål till EU-ombudsmannen. I så fall avslutas ärendet definitivt när

  • EU-domstolen bifaller kommissionens bekräftande beslut, eller
  • EU-ombudsmannen avslutar sin utredning och det inte krävs några ytterligare åtgärder från kommissionen, eller
  • kommissionen slutför den uppföljning som EU-domstolen eller EU-ombudsmannen begär i sina beslut.

Femårsperioden för att spara uppgifterna grundas på policyn för hantering av kommissionens ärenden (och handlingar och de personuppgifter som finns i dessa) i enlighet med den gemensamma bevarandeförteckningen för kommissionens akter (SEC(2019) 900). Här fastställs hur länge olika typer av kommissionshandlingar ska sparas. Listan har anmälts till Europeiska datatillsynsmannen.

Enligt nuvarande praxis, och av dokumenthanterings- och arkiveringsskäl, överförs ärendena med ursprungliga och bekräftande ansökningar till kommissionens historiska arkiv för historiska ändamål när femårsperioden för att spara uppgifterna har löpt ut. Mer information om behandlingen av personuppgifter i arkivet hittar du i meddelandet om hantering och långsiktigt bevarande av kommissionens arkiv (referens i dataskyddsombudets register: DPR-EC-00837)[1].

5.1.2 Metadata till handlingar och ärenden

Personuppgifter i obligatoriska metadata till de handlingar som sparas i HAN-systemet lagras på obestämd tid. Mer information om behandlingen av personuppgifter i kommissionens dokumenthanteringssystem hittar du i meddelandet om hantering och lagring på kort och medellång sikt av kommissionens handlingar (referens i dataskyddsombudets register: DPR-EC-00536).

5.3 Personuppgifter i EU login-kontot och kontot på portalen

Ditt EU Login-konto och ditt konto på portalen (se punkt 2.1) förblir aktiva tills du raderar dem. Vad som händer när du raderar ett konto förklarar vi i punkt 8.2.

5.2 Personuppgifter i it-systemet Ease

För att hantera ansökningar om tillgång till kommissionens handlingar används Ease, som är ett it-system för elektronisk tillgång till kommissionens dokument. I Ease sparas information om ärendet (t.ex. tidsfrist och ansökans språk) och dina personuppgifter, t.ex. för- och efternamn, e-postadress, postadress, land, telefonnummer, rättslig företrädare, organisation och profil. Beroende på hur du lämnar in dina ansökningar sparas olika personuppgifter (läs mer i punkterna 2 och 4).

Dina personuppgifter i Ease raderas när femårsperioden för att spara ärendet har löpt ut och det har överförts till kommissionens historiska arkiv (se punkt 5.1.1.). Om du har flera ärenden för samma profil (t.ex. om du har använt portalen för att skicka in flera ansökningar) raderas dina personuppgifter i Ease när femårsperioden för ärendet med det senaste avslutningsdatumet har löpt ut.

5.3 Personuppgifter i id-handlingar

Uppgifterna på din id-handling (se punkt 4 ovan) används bara för att kontrollera din identitet och sparas bara så länge som behövs för det syftet.

6 Hur skyddar ni mina uppgifter?

Alla uppgifter i elektroniskt format (t.ex. mejl, dokument och uppladdade data) sparas på kommissionens egna servrar eller hos en underleverantör, som måste uppfylla kraven i kommissionens beslut (EU, Euratom) 2017/46 av den 10 januari 2017 om säkerheten i Europeiska kommissionens kommunikations- och informationssystem.

Kommissionens underleverantörer måste följa en särskild avtalsbestämmelse när de behandlar personuppgifter på uppdrag av kommissionen. De måste också uppfylla sekretesskraven i den allmänna dataskyddsförordningen.

Kommissionen skyddar dina personuppgifter med olika tekniska och organisatoriska åtgärder. De tekniska åtgärderna går ut på att hantera säkerhetsrisker på nätet och risken för dataförlust, ändring av uppgifter eller obehörig åtkomst, med hänsyn till den risk som behandlingen innebär och de personuppgifter som behandlas. De organisatoriska åtgärderna ska se till att endast behöriga personer med ett legitimt behov av att ta del av uppgifterna får tillgång till dem.

7 Vem har tillgång till uppgifterna och vem får se dem?

Endast behörig kommissionspersonal som behandlar eller behöver uppgifterna har tillgång till dem. Personalen måste följa gällande regler och eventuella överenskommelser om sekretess.

Personuppgifter som finns i de utlämnade handlingarna kan komma att offentliggöras efter en bedömning enligt förordning (EG) nr 1049/2001 jämförd med artikel 9 i förordning (EU) 2018/1725. Om du är bosatt utanför EU och kommissionen ger dig tillgång till handlingar kommer personuppgifter i handlingarna endast att lämnas ut om villkoren för överföring av personuppgifter till länder utanför EU eller internationella organisationer enligt kapitel V i förordning (EU) 2018/1725 är uppfyllda.

Förutom att lämna ut de begärda handlingarna till den sökande publicerar kommissionen dem också på sin portal Tillgång till kommissionshandlingar.

Vi lämnar inte ut några personuppgifter om dem som ansökt om tillgång till handlingar till utomstående, utom

  • i den mån och i de fall vi är skyldiga att göra det enligt lag, och
  • för att kunna skicka kommissionens beslut om tillgång till handlingar med rekommenderat brev via DHL International (se meddelandet ”Traitement du courrier” från kommissionens infrastruktur- och logistikbyrå i Bryssel – referens i dataskyddsombudets register: DPR-EC-00884).

Enligt artikel 3.13 i förordning (EU) 2018/1725 ska myndigheter som tar emot personuppgifter i samband med en viss utredning i enlighet med EU-rätt eller nationell rätt inte betraktas som mottagare. Myndigheternas behandling av uppgifterna ska vara förenlig med relevanta dataskyddsregler för behandlingens syfte.

Kommissionens beslut enligt förordning (EG) nr 1049/2001 om bekräftande ansökningar antas genom Decide (ett informationssystem till stöd för kommissionens beslutsprocess) och publiceras i Vista, kommissionens register som inte är offentligt. För information om behandlingen av personuppgifter i de båda systemen, se meddelandena DPR-EC-00107 (Decide) och DPR-EC-00914 (Vista).

8 Vilka rättigheter har jag?

Enligt kapitel III (artiklarna 14–25) i förordning (EU) 2018/1725 har du rätt att få tillgång till dina personuppgifter och rätta dem om de skulle vara felaktiga eller ofullständiga. På vissa villkor har du rätt till att få dina personuppgifter raderade, invända mot behandlingen, begära att behandlingen begränsas och flytta dina uppgifter (dataportabilitet). Du har rätt att invända mot att dina personuppgifter behandlas i enlighet med artikel 5.1 a om du har särskilda skäl.

När behandlingen av dina personuppgifter grundar sig på ditt samtycke (dvs. när det gäller icke-obligatoriska personuppgifter enligt punkterna 3 och 4 ovan) kan du när som helst dra tillbaka ditt samtycke genom att meddela den personuppgiftsansvariga. Det påverkar dock inte lagligheten i den behandling som utförs innan du drar tillbaka ditt samtycke.

Kontakta vid behov den personuppgiftsansvariga. Vid en eventuell konflikt kan du vända dig till dataskyddsombudet eller Europeiska datatillsynsmannen (se kontaktuppgifter nedan).

Förklara i mejlet vilken behandling det gäller genom att ange referensnumret i dataskyddsombudets register (se punkt 10 nedan).

Din förfrågan besvaras inom en månad. Perioden får vid behov förlängas med ytterligare två månader beroende på hur många förfrågningar som kommit in och hur komplicerade de är.

Om du använder portalen för att skicka in ansökningar (se punkt 2.1) kan du dessutom du dessutom göra följande med dina personuppgifter:

8.1 Ändra personuppgifter i konton

Om du har skickat in en ansökan via ditt konto på portalen (se punkt 2.1) kan du själv ändra dina personuppgifter när som helst. Såsom förklaras i avsnitt 2 kan du

  • hantera och ändra ditt för- och efternamn på EU Login-kontot – namnändringar på EU Login-kontot syns automatiskt i ditt konto på portalen
  • hantera dina övriga personuppgifter (postadress, land, telefonnummer, organisation, rättslig företrädare och profil) i ditt konto på portalen.

8.2 Radering av konton

Om du använder portalen för att skicka in ansökningar kan du när som helst radera ditt EU Login-konto eller ditt konto på portalen (se punkt 2.1).

Om du vill radera ditt konto på portalen klickar du på knappen ”Radera mitt konto” på sidan där du hanterar ditt konto.

Om du vill radera ditt EU Login-konto måste du göra det via EU Login-systemet.

Även om du raderar ditt konto på portalen finns ditt EU Login-konto kvar, så du måste radera det separat eftersom det används för en rad olika kommissionssystem.

Om du använder ditt EU Login-konto för andra kommissionssystem än portalen för tillgång till handlingar, bör du inte radera EU Login-kontot eftersom du i så fall inte bara automatiskt tar bort ditt konto på portalen (den här funktionen är ännu inte tillgänglig) utan kanske också blir av med möjligheten att använda de andra systemen.

Nedan avses med konto både EU Login-kontot och kontot på portalen, eftersom konsekvenserna för de personuppgifter som avses i det här meddelandet är desamma, oavsett vilket konto som raderas.

Om du raderar kontot innan kommissionen har skickat sitt svar, kommer systemet att skicka ett avslutande brev för alla pågående ansökningar och kommissionen kommer inte att skicka några svar, i enlighet med de användarvillkor som du måste godkänna varje gång du skickar in en ursprunglig ansökan via portalen.

När det gäller dina personuppgifter i HAN-systemet (se punkt 5.1) och it-systemet Ease (se punkt 5.2) är följande tre scenarier tänkbara när du raderar kontot:

  1. Du raderar kontot utan att ha skickat in någon ansökan:
    1. Personuppgifterna raderas i Ease.
    2. Eftersom det inte finns några ansökningar finns det heller inga ärenden (och inga personuppgifter om dig) i HAN-systemet.
  2. Du har skickat in en eller flera ansökningar men ännu inte fått svar från kommissionen när du raderar kontot:
    1. Personuppgifterna raderas i Ease.
    2. Ärendena och metadatan i HAN-systemet finns kvar och behandlas i enlighet med policyn för hantering av kommissionens ärenden (se punkt 5.1).
  3. Kommissionen har svarat på minst en av dina ansökningar när du raderar kontot:
    1. Personuppgifterna tas inte bort i Ease utan raderas först när femårsperioden för att spara ärendet i fråga har löpt ut (se punkt 5.2).
    2. Ärendena och metadatan i HAN-systemet finns kvar och behandlas i enlighet med policyn för hantering av kommissionens ärenden (se punkt 5.1).

9 Vem kan jag kontakta?

  • Personuppgiftsansvarig vid kommissionen:

Om du vill utöva dina rättigheter enligt förordning (EU) 2018/1725 eller om du har kommentarer, frågor eller klagomål om hur dina personuppgifter behandlas kan du kontakta den personuppgiftsansvariga vid kommissionen.

  • Generalsekretariatet
  • Enhet C.1 – Öppenhet, dokumenthantering och tillgång till handlingar
  • E-postadress: Sg-acc-docatec [dot] europa [dot] eu (Sg-acc-doc[at]ec[dot]europa[dot]eu)
  • Kommissionens dataskyddsombud:

Mejla till kommissionens dataskyddsombud (DATA-PROTECTION-OFFICERatec [dot] europa [dot] eu (DATA-PROTECTION-OFFICER[at]ec[dot]europa[dot]eu)) om du har frågor om hur dina personuppgifter behandlas enligt förordning (EU) 2018/1725.

  • Europeiska datatillsynsmannen:

Om du anser att dina rättigheter enligt förordning (EU) 2018/1725 har kränkts till följd av behandlingen av dina personuppgifter, kan du klaga hos Europeiska datatillsynsmannen (edpsatedps [dot] europa [dot] eu (edps[at]edps[dot]europa[dot]eu)).

10 Var hittar jag mer information?

Kommissionens dataskyddsombud för ett register över all verksamhet där personuppgifter behandlas: Gå till registret: http://ec.europa.eu/dpo-register

Den behandling av personuppgifter som avses i det här meddelandet har registrerats hos dataskyddsombudet med följande referens: DPR-EC-00793.