Trwa wojna w obronie danych osobowych
Trwa europejsko-amerykańska wojna w obronie danych osobowych. 11 lutego Parlament Europejski większością 378 głosów odrzucił tymczasowe porozumienie z USA dotyczące przekazywania amerykańskim władzom danych bankowych przy wykorzystaniu sieci SWIFT.
Zarówno treść porozumienia jak i okoliczności jego przyjęcia od dawna budziły wiele kontrowersji. "Ta decyzja Parlamentu Europejskiego to niejako podsumowanie toczącego się od kilku lat konfliktu i zwycięstwo zwolenników zasady ścisłej ochrony prywatności oraz danych osobowych europejskich obywateli" - mówi Jakub Wezgraj, ekspert ds. danych osobowych z firmy JDS Consulting. Tymczasowe transatlantyckie porozumienie podpisane zostało 30 listopada 2009 r. przez przedstawicieli rządów 27 państw członkowskich Unii Europejskiej. Nie stało się tak przypadkiem. Już dzień po jego podpisaniu, tj. 1 grudnia, wszedł w życie traktat lizboński, który kompetencje w przedmiocie tej umowy powierza Parlamentowi Europejskiemu. Fortel z 30 listopada miał zapewnić szybkie i sprawne przyjęcie umowy, bez zbędnych dysput parlamentarnych. Zgodnie z tym planem porozumienie miało wejść w życie już 1 lutego i obowiązywać tymczasowo do końca 2010 r. Po tym okresie strony planowały podpisanie nowej, kompleksowej umowy transatlantyckiej regulującej kwestię, która od początku budziła wśród eurodeputowanych szalone kontrowersje. Stało się jednak inaczej. Europosłów oburzył już sam pośpieszny tryb przyjęcia porozumienia z 30 listopada i intencja pominięcia ich w całej procedurze. Dlatego pod ich presją Hiszpania, przewodnicząca Unii Europejskiej, zadecydowała o poddaniu kontrowersyjnej umowy pod głosowanie PE. Do głosowania doszło ostatecznie właśnie 11 lutego 2010 r.
SWIFT, czyli Stowarzyszenie na rzecz Światowej Międzybankowej Telekomunikacji Finansowej (Society for Worldwide Interbank Financial Telecommunication), to międzynarodowe stowarzyszenie z siedzibą w La Hulpe w Belgii obsługujące światowy system komunikacyjny, wykorzystywany do przekazywania informacji o transakcjach finansowych. Zostało założone w 1973 r. przez 239 banków z 15 krajów świata. Dzisiaj pośredniczy w transakcjach między ponad 8 tysiącami instytucji finansowych z ponad 200 państw świata. Są wśród nich banki, domy maklerskie oraz giełdy. Za pośrednictwem SWIFT każdego dnia odbywa się 15 milionów transakcji. Klienci banków kojarzą SWIFT głównie z nadawanym przez tę organizację SWIFT Code, kodem BIC (Bank Identifier Code), tj. międzynarodowym kodem oddziału bankowego, do którego mają trafić transferowane środki. Stowarzyszenie z belgijskiego La Hulpe jest w istocie administratorem ogromnej bazy danych osobowych związanych z operacjami realizowanymi przez podmioty uczestniczące w SWIFT. Dane te obejmują nazwisko, numer rachunku bankowego, adres, numer w krajowym systemie ewidencji ludności oraz inne rozmaite dane osobowe milionów Europejczyków będących klientami banków i innych podmiotów zrzeszonych w stowarzyszeniu, a zatem dane chronione tajemnicą bankową. Kto ma do nich dostęp, ten posiada ogromną wiedzę wartą miliony euro. Aż do końca 2009 r. SWIFT gromadziło swoje dane na serwerach, które pracowały w dwóch ośrodkach operacyjnych na terenie UE oraz USA. Działały one na zasadzie mirroringu (serwery stanowiąc swoje lustrzane odbicia), równocześnie przetwarzając dane osobowe wszystkich klientów instytucji skupionych w SWIFT. Działały więc jednocześnie w dwóch reżimach prawnych: amerykańskim i unijnym.
W Europie do ochrony prywatności oraz danych osobowych jej obywateli od dawna przywiązuje się niebagatelną wagę. Głównym aktem prawnym regulującym to zagadnienie w państwach członkowskich Unii Europejskiej jest dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z 24.10.1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych.
Zgodnie z jej art. 2 za dane osobowe uważane są "wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (osoby, której dane dotyczą); osoba możliwa do zidentyfikowania to osoba, której tożsamość można ustalić bezpośrednio lub pośrednio, szczególnie przez powołanie się na numer identyfikacyjny lub jeden bądź kilka specyficznych czynników określających jej fizyczną, fizjologiczną, umysłową, ekonomiczną, kulturową lub społeczną tożsamość". Ich przetwarzaniem jest zaś - jak stanowi dyrektywa - każda operacja lub zestaw operacji "dokonywanych na danych przy pomocy środków zautomatyzowanych lub innych, jak np. gromadzenie, rejestracja, porządkowanie, przechowywanie, adaptacja lub modyfikacja, odzyskiwanie, konsultowanie, wykorzystywanie, ujawnianie poprzez transmisję, rozpowszechnianie lub udostępnianie w inny sposób, układanie lub kompilowanie, zestawianie, usuwanie lub niszczenie danych". Inaczej sytuacja wygląda w Stanach Zjednoczonych. Brak tam regulacji porównywalnych z europejskimi.
Dlatego przez przepisy unijne oraz przepisy poszczególnych państw członkowskich dotyczące ochrony danych osobowych Stany są traktowane tak jak każde inne państwo trzecie. Udostępnianie im danych osobowych obywateli Unii chronione jest zatem szczególnym reżimem prawnym, bowiem - zgodnie z cytowaną już dyrektywą - "Państwa członkowskie zapewnią, że przekazywanie do kraju trzeciego danych osobowych [?] może nastąpić tylko wówczas, gdy [?] dany kraj trzeci zapewni odpowiedni stopień ochrony". Stany Zjednoczone takiej ochrony nie zapewniają.
Wokół SWIFT zrobiło się gorąco w czerwcu 2006 r., kiedy to do mediów trafiły informacje o porozumieniu się władz SWIFT z Departamentem Skarbu USA. Władze belgijskie oraz unijne uznały to za złamanie europejskiego prawa. Tymczasem władze stowarzyszenia SWIFT stwierdziły, że musiały się podporządkować nakazowi wydanemu przez amerykańskiego sekretarza stanu oraz procedurom wdrożonym przez Amerykanów po zamachach terrorystycznych 11 września 2001 r. Jeszcze w 2001 r. władze USA wdrożyły bowiem specjalny program śledzenia finansowania terroryzmu, tzw. TFTP (Terrorist Finance Tracking Program), realizowany przez Departament Skarbu USA (US Treasury Department - UST). Jego podstawą prawną stało się prezydenckie rozporządzenie wykonawcze nr 13224, które w przypadku zagrożenia bezpieczeństwa narodowego zezwala w szczególności Departamentowi Skarbu USA na uzyskiwanie drogą nakazów administracyjnych kompletów danych o komunikatach finansowych za pośrednictwem finansowych sieci komunikacyjnych, takich jak te prowadzone przez stowarzyszenie SWIFT.
Rozporządzenie wykonawcze nr 13224 zostało wydane przez prezydenta George'a Busha 23 września 2001 r. Na jego mocy przekazał on swoje uprawnienia sekretarzowi skarbu. Przepis ten oparty został na ustawie z 1977 r. o uprawnieniach gospodarczych na wypadek międzynarodowej sytuacji nadzwyczajnej oraz ustawie z 1945 r. o członkostwie w ONZ. Ta pierwsza upoważniła prezydenta Stanów Zjednoczonych, by podczas sytuacji nadzwyczajnej w kraju badał transfery bankowe oraz inne transakcje, w których w jakikolwiek sposób uczestniczą cudzoziemcy.
Druga zaś nadała prezydentowi prawo, by podczas wprowadzania w życie rezolucji Rady Bezpieczeństwa ONZ badał powiązania gospodarcze lub sposoby komunikacji cudzoziemców ze Stanami Zjednoczonymi. Ustawa o uprawnieniach gospodarczych oraz dekret 13224 dały dyrektorowi Biura ds. Kontroli Aktywów Zagranicznych, podległego Departamentowi Skarbu, prawo występowania do dowolnej osoby o dostarczenie danych na temat transakcji finansowych lub danych innego rodzaju w związku z dochodzeniem w sprawie sankcji gospodarczych. W ramach realizacji programu śledzenia finansowania terroryzmu Biuro ds. Kontroli Aktywów Zagranicznych w Departamencie Skarbu USA, opierając się na powyższych przepisach, skierowało wezwanie administracyjne do amerykańskiego centrum operacji należącego do SWIFT, by udostępnić Departamentowi Skarbu dane związane z terroryzmem. Chodziło o niektóre zapisy transakcji finansowych, przechowywane w amerykańskim centrum operacji SWIFT, a więc w podmiocie podlegającym amerykańskim przepisom. Stowarzyszenie SWIFT zastosowało się do wezwania, chociaż - jak twierdzi - wynegocjowało sobie pewne ograniczenia w udostępnianiu danych do departamentu.
W sprawie przekazywania przez SWIFT danych do amerykańskiego Departamentu Stanu wkrótce głos zabrała unijna Grupa Robocza Artykułu 29 ds. Osób Fizycznych w zakresie Przetwarzania Danych Osobowych, będąca niezależnym organem doradczym UE w zakresie ochrony danych osobowych. Stoi ona na straży postanowień zawartych we wspominanej już dyrektywie 95/46/WE Parlamentu Europejskiego i Rady z 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. Przedstawiciele grupy po przeanalizowaniu zagadnienia uznali, że brak przejrzystości oraz odpowiednich i skutecznych mechanizmów kontroli, związanych z całym procesem przekazywania danych osobowych najpierw do USA a następnie do Departamentu Skarbu USA, stanowi poważne naruszenie w świetle dyrektywy. Stwierdzono również, że "naruszone są gwarancje dotyczące przekazania danych do państwa trzeciego zdefiniowane w dyrektywie oraz zasady proporcjonalności i konieczności".
W swoim oświadczeniu z 23 listopada 2006 r. grupa orzekła co następuje: "Potajemne, systematyczne, masowe i długoterminowe przekazywanie danych osobowych przez firmę SWIFT do Departamentu Skarbu USA w sposób poufny, nieprzejrzysty i systematyczny prowadzone od lat bez skutecznych podstaw prawnych oraz bez możliwości niezależnej kontroli przez publiczne organy ochrony danych stanowi naruszenie podstawowych europejskich zasad ochrony danych i nie jest zgodne z prawem belgijskim i europejskim".
Zdaniem Petera Schaara, przewodniczącego Grupy Roboczej Artykułu 29, ujawnianie danych do USA, nawet w celu walki z przestępczością i terroryzmem, nie powinno się odbywać w sposób naruszający elementarne standardy dotyczące bezpieczeństwa danych osobowych w społeczeństwach demokratycznych. Grupa sformułowała więc w stosunku do SWIFT oraz instytucji finansowych UE wezwanie do "powrócenia do sytuacji, w której międzynarodowe przelewy pieniężne mogą być dokonywane w pełni zgodnie z prawem o ochronie danych". Amerykanie od początku odpierali płynące z Unii Europejskiej zarzuty twierdząc, że po pierwsze dane bankowe z bazy SWIFT uzyskali zgodnie z amerykańskim prawem, a po drugie przetwarzają je wyłącznie w celu i na okoliczność uprawdopodobnionej działalności terrorystycznej. "Danych udostępnianych przez SWIFT nie przeszukuje się, by zgromadzić dowody lub wykryć działalność niezwiązaną z terroryzmem lub z finansowaniem działań terrorystycznych, nawet jeżeli taka działalność byłaby bezprawna. Departament Skarbu nie przeszukuje danych SWIFT ani nie może wykorzystywać pochodzących z nich informacji w związku z ogólnymi dochodzeniami w sprawie uchylania się od podatków, prania pieniędzy, szpiegostwa gospodarczego, handlu narkotykami czy innej działalności przestępczej, chyba że w pewnym momencie była ona powiązana z terroryzmem lub finansowaniem działań terrorystycznych", zapewniali. Nie zmienia to jednak faktu, że proces ten objął także dane obywateli UE, które nie są chronione w USA na poziomie wymaganym w Europie.
Nabrzmiewający problemu próbowano doraźnie rozwiązać poprzez tymczasowe porozumienia UE oraz USA przyjęte jeszcze w czerwcu 2007 r., w ramach którego Amerykanie zobowiązali się przetwarzać dane pochodzące ze SWIFT maksymalnie przez 5 lat i jedynie na potrzeby walki z terroryzmem, a do sprawowania kontroli nad tym procesem powołano specjalnego unijnego przedstawiciela. Niezależnie od tego porozumienia stowarzyszenie SWIFT przystąpiło do programu Safe Harbor. Program ten został wypracowany wspólnie przez Departament Handlu Stanów Zjednoczonych oraz Komisję Europejską w 2000 r. i ma służyć dostosowaniu podmiotów prawa amerykańskiego do wymogów europejskiej dyrektywy w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i ich swobodnego przepływu.
Oznacza to, że SWIFT zobowiązał się do przestrzegania europejskich przepisów o ochronie danych osobowych i że musi wypełniać związane z tym obowiązki, w tym tzw. obowiązek informacyjny. W interesującym nas przypadku polega on na każdorazowym informowaniu klienta przed wykonaniem przez niego transferu finansowego za pośrednictwem systemu SWIFT, że wiąże się on z przekazaniem jego danych bankowych do USA oraz pociąga za sobą ryzyko i uprawnienia wynikające z przepisów amerykańskich i z faktu przystąpienia SWIFT do programu Safe Harbor. Poszczególne państwa członkowskie Unii Europejskiej zostały zobowiązane do dokonania implementacji zapisów europejskiej dyrektywy z 1995 r. Dotyczy to także Polski, w której od 1998 r. obowiązuje Ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych.
Na jej straży stoi Generalny Inspektor Ochrony Danych Osobowych (GIODO). Obecnie jest nim Michał Serzycki. Ponieważ do systemu SWIFT należą także liczne instytucje finansowe z Polski, a wśród nich największe polskie banki, kwestia bezpieczeństwa danych bankowych ich klientów stała się przedmiotem zainteresowania również naszych organów publicznych.
W 2009 r. GIODO wydał własne stanowisko w sprawie udostępniania Amerykanom danych przetwarzanych w sieci SWIFT, stwierdzając w nim m.in.: - "O ile SWIFT i instytucje finansowe będą przestrzegać obowiązującego prawa wspólnotowego, a zwłaszcza jeśli klienci [instytucji członkowskich SWIFT] zgodnie z dyrektywą Parlamentu Europejskiego i Rady z 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (95/46 WE) będą informowani o możliwości przekazania ich danych do USA, a dostęp amerykańskiego Departamentu Skarbu będzie się odbywał na podstawie odpowiednich przepisów, powinno to gwarantować wystarczające zabezpieczenie".
Tymczasem władze SWIFT zapowiedziały, że stowarzyszenie z końcem roku 2009 przeniesie swoje bazy danych do Europy, a jej amerykańskie serwery będą przetwarzać jedynie dane klientów z USA. To oznacza, że amerykańskie władze de facto na gruncie przepisów obowiązujących w USA nie będą miały dostępu do europejskich zasobów SWIFT. Dla jego uzyskania niezbędna byłaby więc dla nich specjalna umowa z UE, której wynegocjowanie stało się dla Stanów Zjednoczonych nie lada problemem. Bez niej Amerykanie musieliby zwracać się o interesujące ich dane bankowe bezpośrednio do władz i organów państw członkowskich.
W przypadku Polski mogłoby chodzić o ministra finansów, Generalnego Inspektora Informacji Finansowej, Agencję Bezpieczeństwa Wewnętrznego i Agencję Wywiadu.
Od dawna było jasne, że Europejczycy będą stawiali opór przed ujawnianiem swoich danych Amerykanom. We wrześniu 2009 r. Parlament Europejski przyjął rezolucję, w której ewentualne porozumienie z USA uzależniono od szeregu okoliczności. Rezolucja Parlamentu Europejskiego z 17 września 2009 r. w sprawie przewidywanego porozumienia międzynarodowego dotyczącego udostępniania Departamentowi Skarbu USA danych z komunikatów o płatnościach finansowych w celu zapobiegania terroryzmowi i finansowaniu terroryzmu oraz ich zwalczania zwróciła uwagę na konieczność znalezienia właściwej równowagi między środkami bezpieczeństwa a ochroną wolności obywatelskich i praw podstawowych, przy jednoczesnym zapewnieniu największego poszanowania dla prywatności i ochrony danych.
Przypomniano w niej również o obowiązywaniu między USA a UE specjalnego porozumienia w sprawie pomocy prawnej, które wchodzi w życie 1 stycznia 2010 r. Gwarantuje ono Amerykanom dostęp do danych finansowych za pośrednictwem władz państw członkowskich UE. Zdaniem eurodeputowanych porozumienie to może stanowić solidniejszą podstawę prawną dla przekazywania danych ze SWIFT niż proponowane przez USA porozumienie przejściowe. Europarlamentarzyści określili też, jakie wymogi powinno spełniać ewentualne transatlantyckie porozumienie, aby pozostawać w zgodzie ze standardami prawnymi UE.
W szczególności powinno ono zapewniać, że dane bankowe będą przekazywane i przetwarzane wyłącznie w celu zwalczania terroryzmu rozumianego zgodnie z decyzją Rady 2002/475/WSiSW z 13 czerwca 2002 r. w sprawie zwalczania terroryzmu oraz na podstawie precyzyjnie sformułowanych wniosków wydanych przez sądy. Jednocześnie porozumienie z USA powinno zakazywać jakiegokolwiek wykorzystywania przez władze USA danych ze SWIFT w celach innych niż związane z finansowaniem terroryzmu.
"Przekazywanie takich danych stronom trzecim innym niż władze publiczne odpowiedzialne za zwalczanie finansowania terroryzmu także powinno być zakazane" - uznali deputowani Parlamentu Europejskiego. W rezolucji zaznaczono też, że odpowiednie organy Stanów Zjednoczonych muszą ściśle przestrzegać zasady wzajemności polegającej na przekazywaniu odpowiednich danych z komunikatów finansowych także odpowiednim władzom UE na ich wniosek. Poza tym obywatele UE, których dane udostępniono, powinni mieć takie same gwarancje ochrony swoich praw w USA jak te jakie przysługują im w Europie, w tym takie samo prawo do wnoszenia skarg, jakie miałoby zastosowanie do danych przechowywanych w UE, włącznie z rekompensatą w przypadku niezgodnego z prawem przetwarzania danych osobowych. Parlament domagał się również pełnego dostępu do dokumentów negocjacyjnych dotyczących porozumienia z Amerykanami.
Wobec takiej atmosfery politycznej Amerykanie postanowili uprzedzić fakty i porozumieć się z władzami UE zanim w życie wejdzie traktat lizboński, a głos w sprawie umowy należeć będzie do Parlamentu Europejskiego. 30 listopada 2009 r. pośpiesznie podpisali więc z przedstawicielami rządów 27 państw członkowskich UE tymczasowe porozumienie w przedmiocie dostępu do danych bankowych gromadzonych za pomocą systemu SWIFT. Porozumienie miało wejść w życie już 1 lutego i obowiązywać tymczasowo do końca 2010 r. Po tym okresie strony planowały podpisanie nowej, kompleksowej umowy transatlantyckiej regulującej kontrowersyjną kwestię.
Za sprawą europosłów oraz hiszpańskiej prezydencji stało się jednak inaczej. Przewodnicząca UE Hiszpania zadecydowała bowiem o niezbędności poddania kontrowersyjnej umowy pod głosowanie europarlamentu. 5 lutego parlamentarna Komisja Praw Obywatelskich przyjęła sprawozdanie, w którym wyraziła swoje krytyczne stanowisko wobec porozumienia z 30 listopada. Komisja opowiedziała się w nim za odrzuceniem przez Parlament Europejski tej umowy jako niespełniającej zaleceń rezolucji Parlamentu z 17 września 2009 r.
Nie pomogła presja wywierana na eurodeputowanych ze strony władz państw członkowskich. Stało się jasne, że unijny Parlament jest zdeterminowany w woli odrzucenia umowy z USA. Do samego głosowania nad umową doszło ostatecznie 11 lutego 2010 r. Przeciwko porozumieniu opowiedziało się 378 posłów, 169 było za a 31 wstrzymało się od głosu. Europarlamentarzyści uznali, że proponowana umowa nie chroni prywatności oraz danych osobowych Europejczyków w sposób wskazany w rezolucji z 17 września 2009 r.
Dominowały głosy, że porozumienie z 30 listopada było nieroztropnością i błędem ze strony rządów państw członkowskich. Zabiegi ze strony Rady, aby przyjąć je bez udziału PE również oceniono niezwykle krytycznie.
Taki wynik głosowania oznacza, że porozumienie z 30 listopada nie może wejść w życie a dane finansowe obywateli UE mogą być udostępniane Amerykanom wyłącznie w trybie transatlantyckiego porozumienia w sprawie pomocy prawnej. "W Parlamencie Europejskim przeważa opinia, że w tekście przedstawionym nam przez Radę nie znaleziono złotego środka między bezpieczeństwem z jednej strony, a ochroną swobód obywatelskich i praw podstawowych z drugiej. Mimo istotnych postępów poczynionych w ostatnich dniach obawy Parlamentu Europejskiego dotyczące wykorzystania danych nie zostały w pełni rozwiane. Są to trudne, złożone i delikatne sprawy, stąd też nie wszyscy mogą czuć się usatysfakcjonowani wynikiem. Traktat lizboński, uzgodniony przez rządy 27 państw członkowskich, dał posłom do PE prawo weta wobec porozumień międzynarodowych tego rodzaju. Te same rządy muszą przyjąć do wiadomości, że Parlament Europejski będzie korzystał z tego prawa w sposób odzwierciedlający jego własną ocenę problemów, będących źródłem troski obywateli Europy" - stwierdził po głosowaniu Jerzy Buzek, przewodniczący Parlamentu Europejskiego. Tuż przed głosowaniem władze SWIFT wydały własne oświadczenie, w którym zapewniły: "SWIFT zawsze działał i będzie działać w zgodzie z prawem państw w jakich operuje, a ochrona danych klientów pozostanie w centrum naszej polityki. Odrzucenie przez Parlament Europejski tymczasowego porozumienia [z USA] w żaden sposób nie wpłynie na tę sytuację".
Dawid Zadura
prawnik i audytor bezpieczeństwa informacji