Transfer danych osobowych a SWIFT

Przeczytaj także: Przetwarzanie a ochrona danych osobowych

Na uwagę zasługuje także, przewidziana w artykule 4 umowy, procedura uzyskiwania informacji przez Departament Skarbu USA. Porozumienie SWIFT odnosi się w tym zakresie do art. 8 umowy o wzajemnej pomocy prawnej w sprawach karnych między Unią Europejską a Stanami Zjednoczonymi Ameryki, podpisanej w Waszyngtonie dnia 25 czerwca 2003 r., oraz powiązanych z nią umów dwustronnych o wzajemnej pomocy prawnej pomiędzy Stanami Zjednoczonymi a właściwym Państwem Członkowskim, w którym ma siedzibę dostawca, bądź w którym są przechowywane wnioskowane dane.

Podstawą udzielenia informacji miał być wniosek Departamentu Skarbu oparty na prowadzonym dochodzeniu w sprawie popełnienia czynu wypełniającego znamiona, o których mowa w artykule 2 umowy, bądź w przypadku, gdy zebrane materiały i dowody prowadzą do wniosku, iż taki czyn mógł być popełniony. Złożony wniosek powinien możliwie najściślej identyfikować wnioskowane dane. przechowywane przez wskazanego dostawcę na terenie UE. Zgodnie z treścią umowy, dane mogą obejmować określenie informacji o inicjatorze lub odbiorcy transakcji, w tym imię i nazwisko, numer rachunku, adres, krajowy numer identyfikacyjny i inne dane osobowe związane z komunikatami finansowymi. Wniosek powinien zawierać uzasadnienie konieczności uzyskania danych oraz ograniczać ilość wnioskowanych danych do niezbędnego minimum ustalonego na podstawie przeprowadzonych analiz.

Wniosek Departamentu Skarbu miał być przekazywany do organów centralnych zainteresowanych Państw Członkowskich, gdzie podlegałby ocenie co do zgodności z warunkami niniejszej umowy. W przypadku niestwierdzenia żadnej nieprawidłowości, wniosek miał być kierowany do organów odpowiedzialnych za jego wykonanie. Na szczególną uwagę zwraca ust. 6 artykułu 4 umowy, zgodnie z którym, jeżeli dostawca nie może z powodów technicznych określić i przedstawić konkretnych danych, które odpowiadałyby wnioskowi, przekazuje właściwemu organowi państwa członkowskiego, do którego złożono wniosek. Wniosek może obejmować wszystkie dane mające potencjalnie znaczenie.

Niewątpliwie instrumenty zawarte w porozumieniu SWIFT stanowią znaczącą ingerencję w prywatność klientów usług finansowych i bankowych oraz stwarzają określony stopień zagrożenia dla ich danych osobowych, niezależnie od celów, w jakich są gromadzone. Prowadzone z udziałem Parlamentu Europejskiego uzgodnienia, w zakresie zawarcia nowej umowy regulującej wskazane kwestie, ukierunkowane są na opracowanie efektywnych rozwiązań, które zapewnią stronom równowagę oraz nie będą osłabiać dotychczasowego rygoru ochrony danych osobowych na terenie UE.

Kontrowersje związane z porozumieniami UE i USA nie są nowe. Przykładem skomplikowanej drogi dochodzenia do konsensusu pomiędzy de facto dwoma systemami prawa mogą być dwa akty wspólnotowe: decyzja Komisji nr 2004/535/WE z dnia 14 maja 2004 r. w sprawie odpowiedniej ochrony danych osobowych zawartych w Passenger Name Record (PNR) - pasażerów lotniczych przekazywanych do Biura Celnego i Ochrony Granic Stanów Zjednoczonych oraz decyzja Komisji nr 2004/496/WE z dnia 17 maja 2004 r. w sprawie zawarcia porozumienia pomiędzy Wspólnotą Europejską a Stanami Zjednoczonymi Ameryki w sprawie przetwarzania i przekazywania przez przewoźników lotniczych danych zawartych w zestawieniu danych pasażera do Departamentu Bezpieczeństwa Wewnętrznego Stanów Zjednoczonych, Biura Ceł i Obrony Granic.

Obecnie obowiązującą długoterminową umowę w tej sprawie, między UE a Stanami Zjednoczonymi Ameryki Północnej, Polska ratyfikowała ustawą z dnia 19 września 2008 r. o ratyfikacji Umowy między Unią Europejską a Stanami Zjednoczonymi Ameryki o przetwarzaniu i przekazywaniu przez przewoźników lotniczych danych dotyczących przelotu pasażera (PNR) do Departamentu Bezpieczeństwa Wewnętrznego Stanów Zjednoczonych (DHS) (Umowa PNR z 2007 r.), sporządzona w Brukseli dnia 23 lipca 2007 r. oraz w Waszyngtonie dnia 26 lipca 2007 r. (Dz. U. z 2008 Nr 196, poz. 1212).

W szczególności w strukturze globalnych systemów przekazywania informacji należy wymagać respektowania zasad ochrony danych osobowych, w tym m.in. aby środki podjęte w walce z przestępczością i terroryzmem nie zmniejszały standardów ochrony praw podstawowych, które podlegałyby kontroli przez niezależne organy nadzoru. Jak wskazywała jeszcze w 2006 roku Grupa Robocza art.29 w opinii w sprawie przetwarzania danych osobowych przez SWIFT (WP 128), przeszkody prawne - takie jak np. zobowiązania podmiotów nadzorujących do zachowania tajemnicy zawodowej, które mogłyby być wykorzystane jako argument do ograniczenia skutecznej kontroli przez niezależne organy ochrony danych - nie powinny być uwzględniane w przypadku ewentualnego naruszenia praw konstytucyjnych lub praw człowieka.

Ukształtowane gwarancje dotyczące przekazania danych do państwa trzeciego zdefiniowane w Dyrektywie, jak również zasady proporcjonalności i konieczności, powinny być respektowane. SWIFT, jako administrator danych, musi wypełniać swoje zobowiązania wynikające z Dyrektywy i wydaje się, iż nie ma podstaw, aby stosować tak daleko idące wyjątki w przypadku naruszania praw podstawowych i praw konstytucyjnych (jeśli w ogóle należy je stosować).