Transfer danych osobowych a SWIFT

We wszystkich tych instrumentach przewidziane są określone wyjątki w zakresie zwalczania przestępczości, przy spełnieniu jednak wskazanych warunków. Odrzucenie przez Parlament Europejski w dniu 11 lutego 2010 r. tymczasowej umowy pomiędzy Unią Europejską a Stanami Zjednoczonymi Ameryki, z dnia 30 listopada 2009 r. o przetwarzaniu i przekazywaniu z Unii Europejskiej do Stanów Zjednoczonych danych z komunikatów finansowych do celów Programu Śledzenia Środków Finansowych Należących do Terrorystów, powszechnie znanej jako tzw. Porozumienie SWIFT stanowi poważny wyłom w globalnej strategii władz USA w zakresie zwalczania międzynarodowego terroryzmu. Program Śledzenia Środków Finansowych Należących do Terrorystów Departamentu Skarbu (z j. ang. Terrorist Finance Tracking Program – TFTP) stanowi, obok tzw. Patriot Act jeden z kontrowersyjnych mechanizmów wprowadzonych przez władze amerykańskie na skutek zamachów z 11 września 2009 r., mających na celu zwiększenie efektywności w zakresie pozyskiwania informacji dotyczących działań o charakterze terrorystycznym oraz ich finansowego wsparcia.

Jednym z celów wprowadzenia rozwiązań składających się na program TFTP było wyposażenie Departamentu Skarbu w instrumenty umożliwiające bezpośredni wgląd w dane przetwarzane przez Stowarzyszenie na Rzecz Światowej Międzybankowej Telekomunikacji Finansowej (z j. ang. Society for Worldwide Interbank Financial Telecommunication – SWIFT), globalnego operatora wymiany informacji międzybankowej z siedzibą w La Hulpe w Belgii. Dotychczasowa formuła współpracy, będąca już wcześniej przedmiotem zainteresowania Parlamentu Europejskiego, z punktu widzenia bezpieczeństwa przetwarzanych danych osobowych musiała zostać zmodyfikowana, ze względu na zmiany organizacyjne w obrębie samego SWIFT. Do 2009 r., część danych dotyczących wewnątrzeuropejskich operacji bankowych była przechowywana na serwerach SWIFT znajdujących się na terenie USA, co umożliwiało wgląd Departamentu Skarbu na bazie samego programu TFTP. Utworzenie nowego centrum przechowywania danych SWIFT na terenie Szwajcarii spowodowało konieczność wypracowania nowych reguł współpracy, tym razem pomiędzy UE a USA, które umożliwiłyby dalsze przekazywanie danych władzom USA, w celu śledzenia źródeł finansowania międzynarodowego terroryzmu.

Zawarte porozumienie miało mieć, co do zasady, charakter tymczasowy (okres stosowania został pierwotnie ustalony na 9 miesięcy), do czasu zawarcia długoterminowej umowy, już pod rządami traktatu lizbońskiego. Zawarcie umowy na dzień przed wejściem w życie traktatu nie udaremniło jednak nowej kompetencji Parlamentu Europejskiego do jej zatwierdzenia, ze względu na brak jej ratyfikowania przed 1 grudniem 2009 r., co w efekcie doprowadziło do wskazanego głosowania z 11 lutego bieżącego roku. Należy zauważyć, iż pomimo odrzucenia przez Parlament Europejski porozumienia SWIFT w obecnym brzmieniu, jego podstawowe założenia będą prawdopodobnie przedmiotem dalszych negocjacji, w związku z zawarciem nowej umowy w tym zakresie. W związku z tym, analiza jego treści może okazać się pomocna, zarówno w celu zrozumienia specyfiki wymiany danych w tym zakresie, jak i wskazania podstawowych zagrożeń dla ochrony danych osobowych zainteresowanych podmiotów.

Przedmiotem umowy z dnia 30 listopada 2009 r. było wdrożenie dwóch mechanizmów w zakresie wzajemnej wymiany informacji dotyczących transakcji finansowych pomiędzy USA i UE:

• mechanizmu przekazywania informacji przez dostawców usług w zakresie przekazywania międzynarodowych komunikatów o płatnościach finansowych na wniosek Departamentu Skarbu USA, w celu zapobiegania terroryzmowi i jego finansowaniu, prowadzenia dochodzeń w tym zakresie oraz wykrywania i ścigania powyższych zjawisk (art. 1 ust. 1 pkt a)
• mechanizmu przekazywania odpowiednich informacji uzyskanych przez USA za pośrednictwem programu TFTP organom ścigania, bezpieczeństwa publicznego oraz zwalczania terroryzmu z państw członkowskich, w celu zapobiegania terroryzmowi i jego finansowaniu, prowadzenia dochodzeń w tym zakresie oraz wykrywania i ścigania powyższych zjawisk (art. 1 ust. 1 pkt b)

Zwraca uwagę ograniczenie obowiązku informacyjnego po stronie USA do kategorii danych „odpowiednich” (w org. „relevant data”), w odróżnieniu od obowiązku po stronie państw członkowskich UE, które zostały określone wyłącznie co do kategorii (komunikaty dotyczące płatności finansowych oraz powiązane dane przechowywane na terytorium UE przez operatorów UE), co może skłaniać do interpretacji, zgodnie z którą Departamentowi Skarbu przysługiwałaby arbitralne kompetencje do oceny, które spośród uzyskanych danych powinny być uznane za „odpowiednie” dla realizacji celów, o których mowa w umowie.

Ze względu na szeroki zakres zastosowania porozumienia, niezbędne było wprowadzenie definicji czynów związanych z terroryzmem lub jego finansowaniem. Czyny terrorystyczne zostały zdefiniowane w artykule 2 pkt a umowy, jako działania osób lub podmiotów, które wiążą się z przemocą lub w inny sposób zagrażają życiu ludzkiemu, lub stwarzają ryzyko powstania szkód materialnych lub zniszczenia infrastruktury, przy czym charakter i okoliczności takich działań pozwalają przypuszczać, że podejmowane są w celu zastraszenia danej populacji, rządu, lub organizacji międzynarodowej, lub wymuszenia na nich określonych działań, bądź w celu destabilizacji lub zniszczenia podstawowych struktur politycznych, konstytucjonalnych, ekonomicznych lub społecznych danego kraju lub organizacji międzynarodowej.

Równocześnie, w artykule 2 pkt b zdefiniowano finansowanie terroryzmu, jako działania osób lub podmiotów polegające na pomaganiu w realizacji działań terrorystycznych poprzez wspieranie ich lub dostarczanie zasobów finansowych, materialnych lub wsparcia technicznego do ich realizacji, lub świadczenie usług finansowych lub innych na rzecz takich działań, lub w celu ich wsparcia. Zgodnie z treścią porozumienia, przekazaniu miały także podlegać dane dotyczące przypadków pomocnictwa, podżegania, bądź usiłowania popełnienia wskazanych wyżej czynów.