Zarówno treść porozumienia jak i okoliczności jego przyjęcia od dawna budziły wiele kontrowersji. "Ta decyzja Parlamentu Europejskiego to niejako podsumowanie toczącego się od kilku lat konfliktu i zwycięstwo zwolenników zasady ścisłej ochrony prywatności oraz danych osobowych europejskich obywateli" - mówi Jakub Wezgraj, ekspert ds. danych osobowych z firmy JDS Consulting. Tymczasowe transatlantyckie porozumienie podpisane zostało 30 listopada 2009 r. przez przedstawicieli rządów 27 państw członkowskich Unii Europejskiej. Nie stało się tak przypadkiem. Już dzień po jego podpisaniu, tj. 1 grudnia, wszedł w życie traktat lizboński, który kompetencje w przedmiocie tej umowy powierza Parlamentowi Europejskiemu. Fortel z 30 listopada miał zapewnić szybkie i sprawne przyjęcie umowy, bez zbędnych dysput parlamentarnych. Zgodnie z tym planem porozumienie miało wejść w życie już 1 lutego i obowiązywać tymczasowo do końca 2010 r. Po tym okresie strony planowały podpisanie nowej, kompleksowej umowy transatlantyckiej regulującej kwestię, która od początku budziła wśród eurodeputowanych szalone kontrowersje. Stało się jednak inaczej. Europosłów oburzył już sam pośpieszny tryb przyjęcia porozumienia z 30 listopada i intencja pominięcia ich w całej procedurze. Dlatego pod ich presją Hiszpania, przewodnicząca Unii Europejskiej, zadecydowała o poddaniu kontrowersyjnej umowy pod głosowanie PE. Do głosowania doszło ostatecznie właśnie 11 lutego 2010 r.
Co to jest SWIFT
SWIFT, czyli Stowarzyszenie na rzecz Światowej Międzybankowej Telekomunikacji Finansowej (Society for Worldwide Interbank Financial Telecommunication), to międzynarodowe stowarzyszenie z siedzibą w La Hulpe w Belgii obsługujące światowy system komunikacyjny, wykorzystywany do przekazywania informacji o transakcjach finansowych. Zostało założone w 1973 r. przez 239 banków z 15 krajów świata. Dzisiaj pośredniczy w transakcjach między ponad 8 tysiącami instytucji finansowych z ponad 200 państw świata. Są wśród nich banki, domy maklerskie oraz giełdy. Za pośrednictwem SWIFT każdego dnia odbywa się 15 milionów transakcji. Klienci banków kojarzą SWIFT głównie z nadawanym przez tę organizację SWIFT Code, kodem BIC (Bank Identifier Code), tj. międzynarodowym kodem oddziału bankowego, do którego mają trafić transferowane środki. Stowarzyszenie z belgijskiego La Hulpe jest w istocie administratorem ogromnej bazy danych osobowych związanych z operacjami realizowanymi przez podmioty uczestniczące w SWIFT. Dane te obejmują nazwisko, numer rachunku bankowego, adres, numer w krajowym systemie ewidencji ludności oraz inne rozmaite dane osobowe milionów Europejczyków będących klientami banków i innych podmiotów zrzeszonych w stowarzyszeniu, a zatem dane chronione tajemnicą bankową. Kto ma do nich dostęp, ten posiada ogromną wiedzę wartą miliony euro. Aż do końca 2009 r. SWIFT gromadziło swoje dane na serwerach, które pracowały w dwóch ośrodkach operacyjnych na terenie UE oraz USA. Działały one na zasadzie mirroringu (serwery stanowiąc swoje lustrzane odbicia), równocześnie przetwarzając dane osobowe wszystkich klientów instytucji skupionych w SWIFT. Działały więc jednocześnie w dwóch reżimach prawnych: amerykańskim i unijnym.
Bankowe jako osobowe
W Europie do ochrony prywatności oraz danych osobowych jej obywateli od dawna przywiązuje się niebagatelną wagę. Głównym aktem prawnym regulującym to zagadnienie w państwach członkowskich Unii Europejskiej jest dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z 24.10.1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych.
Zgodnie z jej art. 2 za dane osobowe uważane są "wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (osoby, której dane dotyczą); osoba możliwa do zidentyfikowania to osoba, której tożsamość można ustalić bezpośrednio lub pośrednio, szczególnie przez powołanie się na numer identyfikacyjny lub jeden bądź kilka specyficznych czynników określających jej fizyczną, fizjologiczną, umysłową, ekonomiczną, kulturową lub społeczną tożsamość". Ich przetwarzaniem jest zaś - jak stanowi dyrektywa - każda operacja lub zestaw operacji "dokonywanych na danych przy pomocy środków zautomatyzowanych lub innych, jak np. gromadzenie, rejestracja, porządkowanie, przechowywanie, adaptacja lub modyfikacja, odzyskiwanie, konsultowanie, wykorzystywanie, ujawnianie poprzez transmisję, rozpowszechnianie lub udostępnianie w inny sposób, układanie lub kompilowanie, zestawianie, usuwanie lub niszczenie danych". Inaczej sytuacja wygląda w Stanach Zjednoczonych. Brak tam regulacji porównywalnych z europejskimi.
Dlatego przez przepisy unijne oraz przepisy poszczególnych państw członkowskich dotyczące ochrony danych osobowych Stany są traktowane tak jak każde inne państwo trzecie. Udostępnianie im danych osobowych obywateli Unii chronione jest zatem szczególnym reżimem prawnym, bowiem - zgodnie z cytowaną już dyrektywą - "Państwa członkowskie zapewnią, że przekazywanie do kraju trzeciego danych osobowych [?] może nastąpić tylko wówczas, gdy [?] dany kraj trzeci zapewni odpowiedni stopień ochrony". Stany Zjednoczone takiej ochrony nie zapewniają.
Wokół SWIFT zrobiło się gorąco w czerwcu 2006 r., kiedy to do mediów trafiły informacje o porozumieniu się władz SWIFT z Departamentem Skarbu USA. Władze belgijskie oraz unijne uznały to za złamanie europejskiego prawa. Tymczasem władze stowarzyszenia SWIFT stwierdziły, że musiały się podporządkować nakazowi wydanemu przez amerykańskiego sekretarza stanu oraz procedurom wdrożonym przez Amerykanów po zamachach terrorystycznych 11 września 2001 r. Jeszcze w 2001 r. władze USA wdrożyły bowiem specjalny program śledzenia finansowania terroryzmu, tzw. TFTP (Terrorist Finance Tracking Program), realizowany przez Departament Skarbu USA (US Treasury Department - UST). Jego podstawą prawną stało się prezydenckie rozporządzenie wykonawcze nr 13224, które w przypadku zagrożenia bezpieczeństwa narodowego zezwala w szczególności Departamentowi Skarbu USA na uzyskiwanie drogą nakazów administracyjnych kompletów danych o komunikatach finansowych za pośrednictwem finansowych sieci komunikacyjnych, takich jak te prowadzone przez stowarzyszenie SWIFT.
Rozporządzenie wykonawcze nr 13224 zostało wydane przez prezydenta George'a Busha 23 września 2001 r. Na jego mocy przekazał on swoje uprawnienia sekretarzowi skarbu. Przepis ten oparty został na ustawie z 1977 r. o uprawnieniach gospodarczych na wypadek międzynarodowej sytuacji nadzwyczajnej oraz ustawie z 1945 r. o członkostwie w ONZ. Ta pierwsza upoważniła prezydenta Stanów Zjednoczonych, by podczas sytuacji nadzwyczajnej w kraju badał transfery bankowe oraz inne transakcje, w których w jakikolwiek sposób uczestniczą cudzoziemcy.
Druga zaś nadała prezydentowi prawo, by podczas wprowadzania w życie rezolucji Rady Bezpieczeństwa ONZ badał powiązania gospodarcze lub sposoby komunikacji cudzoziemców ze Stanami Zjednoczonymi. Ustawa o uprawnieniach gospodarczych oraz dekret 13224 dały dyrektorowi Biura ds. Kontroli Aktywów Zagranicznych, podległego Departamentowi Skarbu, prawo występowania do dowolnej osoby o dostarczenie danych na temat transakcji finansowych lub danych innego rodzaju w związku z dochodzeniem w sprawie sankcji gospodarczych. W ramach realizacji programu śledzenia finansowania terroryzmu Biuro ds. Kontroli Aktywów Zagranicznych w Departamencie Skarbu USA, opierając się na powyższych przepisach, skierowało wezwanie administracyjne do amerykańskiego centrum operacji należącego do SWIFT, by udostępnić Departamentowi Skarbu dane związane z terroryzmem. Chodziło o niektóre zapisy transakcji finansowych, przechowywane w amerykańskim centrum operacji SWIFT, a więc w podmiocie podlegającym amerykańskim przepisom. Stowarzyszenie SWIFT zastosowało się do wezwania, chociaż - jak twierdzi - wynegocjowało sobie pewne ograniczenia w udostępnianiu danych do departamentu.
Krytyczny głos
W sprawie przekazywania przez SWIFT danych do amerykańskiego Departamentu Stanu wkrótce głos zabrała unijna Grupa Robocza Artykułu 29 ds. Osób Fizycznych w zakresie Przetwarzania Danych Osobowych, będąca niezależnym organem doradczym UE w zakresie ochrony danych osobowych. Stoi ona na straży postanowień zawartych we wspominanej już dyrektywie 95/46/WE Parlamentu Europejskiego i Rady z 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. Przedstawiciele grupy po przeanalizowaniu zagadnienia uznali, że brak przejrzystości oraz odpowiednich i skutecznych mechanizmów kontroli, związanych z całym procesem przekazywania danych osobowych najpierw do USA a następnie do Departamentu Skarbu USA, stanowi poważne naruszenie w świetle dyrektywy. Stwierdzono również, że "naruszone są gwarancje dotyczące przekazania danych do państwa trzeciego zdefiniowane w dyrektywie oraz zasady proporcjonalności i konieczności".
W swoim oświadczeniu z 23 listopada 2006 r. grupa orzekła co następuje: "Potajemne, systematyczne, masowe i długoterminowe przekazywanie danych osobowych przez firmę SWIFT do Departamentu Skarbu USA w sposób poufny, nieprzejrzysty i systematyczny prowadzone od lat bez skutecznych podstaw prawnych oraz bez możliwości niezależnej kontroli przez publiczne organy ochrony danych stanowi naruszenie podstawowych europejskich zasad ochrony danych i nie jest zgodne z prawem belgijskim i europejskim".
Zdaniem Petera Schaara, przewodniczącego Grupy Roboczej Artykułu 29, ujawnianie danych do USA, nawet w celu walki z przestępczością i terroryzmem, nie powinno się odbywać w sposób naruszający elementarne standardy dotyczące bezpieczeństwa danych osobowych w społeczeństwach demokratycznych. Grupa sformułowała więc w stosunku do SWIFT oraz instytucji finansowych UE wezwanie do "powrócenia do sytuacji, w której międzynarodowe przelewy pieniężne mogą być dokonywane w pełni zgodnie z prawem o ochronie danych". Amerykanie od początku odpierali płynące z Unii Europejskiej zarzuty twierdząc, że po pierwsze dane bankowe z bazy SWIFT uzyskali zgodnie z amerykańskim prawem, a po drugie przetwarzają je wyłącznie w celu i na okoliczność uprawdopodobnionej działalności terrorystycznej. "Danych udostępnianych przez SWIFT nie przeszukuje się, by zgromadzić dowody lub wykryć działalność niezwiązaną z terroryzmem lub z finansowaniem działań terrorystycznych, nawet jeżeli taka działalność byłaby bezprawna. Departament Skarbu nie przeszukuje danych SWIFT ani nie może wykorzystywać pochodzących z nich informacji w związku z ogólnymi dochodzeniami w sprawie uchylania się od podatków, prania pieniędzy, szpiegostwa gospodarczego, handlu narkotykami czy innej działalności przestępczej, chyba że w pewnym momencie była ona powiązana z terroryzmem lub finansowaniem działań terrorystycznych", zapewniali. Nie zmienia to jednak faktu, że proces ten objął także dane obywateli UE, które nie są chronione w USA na poziomie wymaganym w Europie.
W poszukiwaniu rozwiązania
Nabrzmiewający problemu próbowano doraźnie rozwiązać poprzez tymczasowe porozumienia UE oraz USA przyjęte jeszcze w czerwcu 2007 r., w ramach którego Amerykanie zobowiązali się przetwarzać dane pochodzące ze SWIFT maksymalnie przez 5 lat i jedynie na potrzeby walki z terroryzmem, a do sprawowania kontroli nad tym procesem powołano specjalnego unijnego przedstawiciela. Niezależnie od tego porozumienia stowarzyszenie SWIFT przystąpiło do programu Safe Harbor. Program ten został wypracowany wspólnie przez Departament Handlu Stanów Zjednoczonych oraz Komisję Europejską w 2000 r. i ma służyć dostosowaniu podmiotów prawa amerykańskiego do wymogów europejskiej dyrektywy w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i ich swobodnego przepływu.
Oznacza to, że SWIFT zobowiązał się do przestrzegania europejskich przepisów o ochronie danych osobowych i że musi wypełniać związane z tym obowiązki, w tym tzw. obowiązek informacyjny. W interesującym nas przypadku polega on na każdorazowym informowaniu klienta przed wykonaniem przez niego transferu finansowego za pośrednictwem systemu SWIFT, że wiąże się on z przekazaniem jego danych bankowych do USA oraz pociąga za sobą ryzyko i uprawnienia wynikające z przepisów amerykańskich i z faktu przystąpienia SWIFT do programu Safe Harbor. Poszczególne państwa członkowskie Unii Europejskiej zostały zobowiązane do dokonania implementacji zapisów europejskiej dyrektywy z 1995 r. Dotyczy to także Polski, w której od 1998 r. obowiązuje Ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych.
Na jej straży stoi Generalny Inspektor Ochrony Danych Osobowych (GIODO). Obecnie jest nim Michał Serzycki. Ponieważ do systemu SWIFT należą także liczne instytucje finansowe z Polski, a wśród nich największe polskie banki, kwestia bezpieczeństwa danych bankowych ich klientów stała się przedmiotem zainteresowania również naszych organów publicznych.
W 2009 r. GIODO wydał własne stanowisko w sprawie udostępniania Amerykanom danych przetwarzanych w sieci SWIFT, stwierdzając w nim m.in.: - "O ile SWIFT i instytucje finansowe będą przestrzegać obowiązującego prawa wspólnotowego, a zwłaszcza jeśli klienci [instytucji członkowskich SWIFT] zgodnie z dyrektywą Parlamentu Europejskiego i Rady z 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (95/46 WE) będą informowani o możliwości przekazania ich danych do USA, a dostęp amerykańskiego Departamentu Skarbu będzie się odbywał na podstawie odpowiednich przepisów, powinno to gwarantować wystarczające zabezpieczenie".
Tymczasem władze SWIFT zapowiedziały, że stowarzyszenie z końcem roku 2009 przeniesie swoje bazy danych do Europy, a jej amerykańskie serwery będą przetwarzać jedynie dane klientów z USA. To oznacza, że amerykańskie władze de facto na gruncie przepisów obowiązujących w USA nie będą miały dostępu do europejskich zasobów SWIFT. Dla jego uzyskania niezbędna byłaby więc dla nich specjalna umowa z UE, której wynegocjowanie stało się dla Stanów Zjednoczonych nie lada problemem. Bez niej Amerykanie musieliby zwracać się o interesujące ich dane bankowe bezpośrednio do władz i organów państw członkowskich.
W przypadku Polski mogłoby chodzić o ministra finansów, Generalnego Inspektora Informacji Finansowej, Agencję Bezpieczeństwa Wewnętrznego i Agencję Wywiadu.
~ppp
dzieki
dodaj komentarz »wszystkie wątki »