Opinia Europejskiego Inspektora Ochrony Danych na temat wniosku dotyczącego decyzji Rady w sprawie zawarcia Umowy między Unią Europejską i Stanami Zjednoczonymi w sprawie przetwarzania i przekazywania danych z komunikatów finansowych przez Unię Europejską Stanom Zjednoczonym do celów Programu śledzenia środków finansowych należących do terrorystów(2010/C 355/02)
(Dz.U.UE C z dnia 29 grudnia 2010 r.)
EUROPEJSKI INSPEKTOR OCHRONY DANYCH,
uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 16,
uwzględniając Kartę praw podstawowych Unii Europejskiej, w szczególności jej art. 8,
uwzględniając dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych(1),
uwzględniając wniosek o opinię zgodnie z art. 28 ust. 2 rozporządzenia (WE) nr 45/2001 o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych(2),
PRZYJMUJE NASTĘPUJĄCĄ OPINIĘ
I. WPROWADZENIE
1. W dniu 15 czerwca 2010 r. Komisja przyjęła wniosek dotyczący decyzji Rady w sprawie zawarcia Umowy między Unią Europejską i Stanami Zjednoczonymi w sprawie przetwarzania i przekazywania danych z komunikatów finansowych przez Unię Europejską Stanom Zjednoczonym do celów Programu śledzenia środków finansowych należących do terrorystów (zwany dalej "wnioskiem"). Wniosek (zawierający projekt umowy ze Stanami Zjednoczonymi) został przesłany do EIOD do konsultacji. EIOD z zadowoleniem przyjął tę konsultację i zaleca włączenie odniesienia do niniejszej opinii w preambułę wniosku.
2. Wniosek Komisji wynika ze zmian w architekturze SWIFT(3), która od dnia 1 stycznia 2010 r. zapewnia, że komunikaty o transakcjach finansowych w zakresie Europejskiego Obszaru Gospodarczego i Szwajcarii pozostaną w obrębie obszaru europejskiego - w odróżnieniu od obszaru transatlantyckiego - i nie będą już kopiowane w centrum operacyjnym USA.
3. Niniejszy wniosek Komisji przewiduje międzynarodową umowę pomiędzy UE a USA, która w oparciu o art. 216 (umowy międzynarodowe), art. 82 (współpraca w zakresie wymiaru sprawiedliwości) i art. 87 (współpraca policyjna) Traktatu o funkcjonowaniu Unii Europejskiej, będzie wymagała przekazywania do Departamentu Skarbu USA właściwych danych z komunikatów finansowych, które są niezbędne do celów programu śledzenia środków finansowych należących do terrorystów wdrażanego przez federalny Departament Skarbu.
4. W szczególności w związku z decyzją Parlamentu Europejskiego z dnia 11 lutego 2010 r. o wstrzymaniu zgody na umowę tymczasową podpisaną w dniu 30 listopada 2009 r., nowy projekt ma na celu uwzględnić zwłaszcza kwestie dotyczące ochrony danych osobowych, prawa podstawowego, które wraz z wejściem w życie traktatu lizbońskiego nabrało jeszcze większego znaczenia w ramach prawnych Unii Europejskiej.
5. Wniosek podkreśla znaczenie ochrony danych poprzez bezpośrednie odwołanie do właściwych artykułów Traktatu i innych międzynarodowych instrumentów oraz poprzez potwierdzenie jego charakteru prawa podstawowego. Nie przewiduje jednak wykorzystania art. 16 TFUE jako podstawy prawnej, mimo iż art. 1 ust. 1 zaproponowanej umowy podkreśla wysoki poziom ochrony danych jako jeden z jej głównych celów. W tym względzie EIOD niezmiennie powtarza, że umowa ta nie odnosi się jedynie do wymiany danych osobowych, ale również do ochrony tych danych. Artykuł 16 TFUE nie jest więc mniej istotny jako podstawa prawna niż art. 82 i 87 TFUE, które odnoszą się do współpracy organów ścigania, a które wybrano jako podstawę prawną.
6. Wniosek podlega procedurze art. 218 ust. 6 TFUE. Zgodnie z tą procedurą Rada może przyjąć decyzję zezwalającą na zawarcie umowy dopiero po uzyskaniu zgodny Parlamentu Europejskiego. Niniejszy wniosek stanowi więc zasadniczy "precedens" w stosowaniu nowych procedur lizbońskich do międzynarodowej umowy dotyczącej ochrony danych osobowych. Zapewnienie odpowiedniego zamieszczenia zasad ochrony i zabezpieczeń danych w tej umowie utoruje drogę pomyślnemu rozwiązaniu innych negocjacji.
7. W tym kontekście EIOD podkreśla znaczenie negocjacji w sprawie umowy pomiędzy Unią Europejską a Stanami Zjednoczonymi Ameryki dotyczących ochrony danych osobowych przekazywanych i przetwarzanych na potrzeby zapobiegania przestępstwom, w tym przestępstwom terrorystycznym, prowadzenia odnośnych dochodzeń, wykrywania lub ścigania tych przestępstw, w ramach współpracy policyjnej i współpracy wymiarów sprawiedliwości w sprawach karnych. Projekt mandatu do wszczęcia tych negocjacji został przyjęty przez Komisję w dniu 26 maja 2010 r. Przedstawiając ten projekt mandatu, Komisja podkreśliła potrzebę solidnej umowy w zakresie ochrony danych osobowych(4).
8. W tym kontekście EIOD zaleca dołączenie do obecnego wniosku silnego powiązania z negocjacjami z USA dotyczącymi tych ogólnych transatlantyckich ram ochrony danych. Należy zapewnić, że normy te będą mieć zastosowanie również do Programu śledzenia środków finansowych należących do terrorystów. EIOD zaleca włączenie tego wymogu do obecnej umowy albo przynajmniej uzgodnienie z rządem Stanów Zjednoczonych, że ewentualna przyszła umowa w sprawie ochrony danych będzie obejmować wymianę przewidzianą w obecnym wniosku.
9. W końcu EIOD aktywnie uczestniczy w przyjmowaniu stanowisk grupy roboczej art. 29 oraz grupy roboczej ds. policji i wymiaru sprawiedliwości. Poza kwestiami, które zostały poruszone lub mają zostać poruszone w tych stanowiskach niniejsza opinia analizuje obecny wniosek poprzez odnoszenie się do wcześniejszych uwag EIOD dotyczących umowy tymczasowej i bieżących negocjacji ze Stanami Zjednoczonymi.
II. ANALIZA WNIOSKU
II.1. Wniosek zawiera kilka udoskonaleń
10. EIOD potwierdza, że wniosek ten przewiduje pewne zasadnicze udoskonalenia w stosunku do pierwszej tymczasowej umowy w sprawie Programu śledzenia środków finansowych należących do terrorystów.
– Wyłączenie danych SEPA. Wniosek przewiduje bezpośrednio, że wnioski Departamentu Skarbu USA nie będą dotyczyły danych odnoszących się do jednolitego obszaru płatności w euro (art. 4 ust. 2 lit. d)).
– Definicja terroryzmu. Artykuł 2 wniosku jest oparty na definicji terroryzmu zgodnej z podejściem z art. 1 decyzji ramowej Rady 2002/475/WSiSW(5).
11. Ponadto, w związku z wnioskami Parlamentu Europejskiego i europejskimi organami ochrony danych wniosek zawiera kilka przepisów (art. 14-18) dotyczących praw osób, których dane dotyczą, takich jak prawo do bycia informowanym, prawo do dostępu do danych, prawo do poprawiania, usuwania i blokowania danych oraz prawo do środków odwoławczych. Faktyczna wykonalność tych przepisów i procedury, jakie mają stosować osoby niebędące obywatelami USA lub rezydenci pozostaje nadal niejasna (zobacz poniżej pkt II.2.3).
II.2. Potrzebne są jednak dalsze udoskonalenia
12. EIOD w pełni zgadza się z koniecznością zapewnienia, zgodnie z art. 1.1 wniosku, pełnego poszanowania prawa do prywatności i ochrony danych osobowych. W tej perspektywie EIOD zauważa, że nadal istnieje konieczność uwzględnienia pewnych otwartych kwestii i udoskonalenia kluczowych elementów w celu spełnienia warunków unijnych ram prawnych ochrony danych osobowych.
II.2.1. Czy planowane przetwarzanie danych osobowych jest naprawdę konieczne i proporcjonalne?
13. EIOD jest w pełni świadomy, że zwalczanie terroryzmu i finansowania terroryzmu może wymagać ograniczenia prawa do ochrony danych osobowych oraz przepisów dotyczących tajemnicy bankowej. Dzieje się tak już w przypadku wielu instrumentów unijnych(6) zawierających szereg środków, których celem jest zwalczanie nadużywania systemu finansowego do celów prania pieniędzy i finansowania terroryzmu. Instrumenty te zawierają również szczegółowe przepisy zezwalające na wymianę informacji z organami państw trzecich oraz zabezpieczenia w celu ochrony danych osobowych, zgodnie z dyrektywą 95/46/WE.
14. Ponadto umowa w sprawie wzajemnej pomocy prawnej pomiędzy UE a USA wyraźnie zezwala na wymianę pomiędzy organami ścigania informacji odnoszących się do rachunków bankowych i transakcji finansowych oraz określa warunki i ograniczenia w zakresie takiej wymiany. Ponadto, na poziomie międzynarodowym tzw. zasady Egmont(7) określają podstawę międzynarodowej wymiany danych na temat transakcji finansowych pomiędzy jednostkami analityki finansowej, ustanawiając przy tym ograniczenia i zabezpieczenia w zakresie wykorzystania wymienianych danych. Ponadto instrumenty wymiany danych pomiędzy USA, Europolem i Eurojustem zostały już wprowadzone, zapewniają jednocześnie wymianę informacji i ochronę danych osobowych.
15. W tym kontekście wniosek Komisji podkreśla użyteczność programu śledzenia środków finansowych należących do terrorystów, podobnie jak zauważono w sprawozdaniach Departamentu Skarbu USA i wybranej osoby. Warunkiem określonym w art. 8 EKPC w celu uzasadnienia ingerencji w życie prywatne jest "konieczność", a nie "użyteczność".
16. Według EIOD należy odpowiednio wykazać rzeczywistą wartość dodaną tej umowy z uwzględnieniem istniejących już instrumentów lub inaczej mówiąc - w jakim zakresie umowa jest rzeczywiście konieczna w celu uzyskania wyników, których nie można było uzyskać poprzez zastosowanie instrumentów w mniejszym stopniu ingerujących w prywatność, takich jak zawarte już w istniejących międzynarodowych i unijnych ramach prawnych. Według EIOD ta wartość dodana powinna zostać jednoznacznie określona jako warunek konieczny umowy z USA dotyczącej wymiany danych finansowych, również ze względu na ingerujący charakter umowy (zobacz również pkt 18-22 dotyczące proporcjonalności).
17. EIOD nie jest w stanie ocenić konieczności tej umowy. Nawet jednak przy wykazaniu konieczności umowy inne kwestie nadal zasługują na uwagę negocjatorów.
18. Proporcjonalność jest również głównym kryterium oceny ilości przekazywanych danych i ich okresu przechowywania. Artykuł 4 wniosku zawęża zakres wniosków USA. Wniosek nadal jednak stanowi, że dane osobowe będą przekazywane organom USA masowo, a następnie zasadniczo będą przechowywane przez okres 5 lat bez względu na to, czy zostały pobrane lub czy istnieje potwierdzony związek z określonym dochodzeniem lub procesem ścigania przestępstwa.
Masowe przekazywanie danych
19. Wniosek, mimo wniosków Parlamentu Europejskiego i europejskich organów ochrony danych, jest nadal oparty na koncepcji, że dane osobowe będą przekazywane masowo do Departamentu Skarbu USA. W tym względzie należy wyjaśnić, że faktu, iż obecny system SWIFT nie zezwala na ukierunkowane wyszukiwanie, nie można uznać za dostateczne uzasadnienie zgodności z prawem masowego przekazywania danych zgodnie z unijnymi przepisami dotyczącymi ochrony danych.
20. EIOD uważa więc, że należy poszukać rozwiązań, które zapewnią zastąpienie masowego przekazywania danych mechanizmami umożliwiającymi filtrowanie danych na temat transakcji finansowych w UE i gwarantującymi przesyłanie organom USA wyłącznie właściwych i niezbędnych danych. Jeśli rozwiązań tych nie można znaleźć w trybie natychmiastowym, umowa powinna wtedy ściśle określać krótki okres przejściowy, po którym masowe przekazywanie danych nie będzie dozwolone.
Okres przechowywania danych
21. Jeśli chodzi o okres przechowywania danych, EIOD potwierdza, że wniosek prawidłowo określa maksymalne okresy zatrzymywania danych oraz mechanizmy zapewniające usuwanie danych osobowych, gdy nie są już więcej potrzebne. Przepisy art. 6 wniosku dotyczące niedobranych danych wydają się jednak iść w przeciwnym kierunku. Po pierwsze, pojęcie "niedobranych danych" nie jest oczywiste, powinno zostać zatem wyjaśnione. Po drugie, nie wykazano powodów, dla których przechowywanie niedobranych danych przez 5 lat jest konieczne.
22. EIOD w pełni potwierdza konieczność dopilnowania, by dane osobowe niezbędne do określonego dochodzenia lub ścigania przestępstwa w ramach zwalczania terroryzmu udostępniano, przetwarzano i przechowywano tak długo, jak jest konieczne, w niektórych przypadkach dłużej niż przez 5 lat, ponieważ może zdarzyć się, że dane osobowe są niezbędne dla długotrwałych dochodzeń lub postępowań sądowych. Zakładając jednak, że niepobrane dane są danymi, które zostały przekazane masowo i których nie udostępniono ani nie wykorzystano do określonego procesu ścigania przestępstwa lub dochodzenia, dozwolony okres przechowywania tych danych powinien zostać znacznie ograniczony. W tym kontekście powinno się podkreślić, że niemiecki Federalny Trybunał Konstytucyjny uznał, iż w przypadku zatrzymywania danych dotyczących połączeń sześciomiesięczny okres przechowywania jest już bardzo długi i wymaga w związku z tym odpowiednio uzasadnienia(8). Wydawało się, że Trybunał Konstytucyjny uznał ten sześciomiesięczny okres za maksymalny w odniesieniu do danych, które nie odnosiły się do określonego dochodzenia.
II.2.2. Czy wniosek zapewnia nadzór sądowy?
23. Zgodnie z mandatem negocjacyjnym sądowy organ publiczny powinien być odpowiedzialny za otrzymywanie wniosków od Departamentu Skarbu USA, ocenienie ich zgodności z umową i w stosownych przypadkach wymaganie od dostawcy przekazania danych w oparciu o system "pchający". Zarówno Parlament Europejski, jak i EIOD, z zadowoleniem przyjęli to podejście, które stanowi podstawową gwarancję - zgodnie z krajowymi konstytucjami i systemami prawnymi państw członkowskich - zapewniającą zgodne z prawem i zrównoważone przekazywanie danych oraz niezależny nadzór.
24. Wniosek przypisuje jednak to zadanie Europolowi, który jest agencją europejską mającą na celu zapobieganie przestępczości zorganizowanej, terroryzmowi i innym poważnym przestępstwom, które dotyczą co najmniej dwóch państw członkowskich(9). Oczywiste jest, że Europol nie jest organem sądowym.
25. Ponadto Europol ma określone powody do wymiany danych osobowych na podstawie zaproponowanej umowy. Artykuł 10 wniosku daje Europolowi prawo do zażądania właściwych informacji uzyskanych w ramach Programu śledzenia środków finansowych należących do terrorystów, jeśli istnieją podstawy do przypuszczeń, iż osoba lub podmiot są powiązane z terroryzmem. Trudno pogodzić to uprawnienie Europolu, które może być ważne przy wypełnianiu zadania Europolu i które wymaga dobrych relacji z Departamentem Skarbu USA, z zadaniem Europolu polegającym na zapewnieniu niezależnego nadzoru.
26. Ponadto EIOD zastanawia się, w jakim zakresie obecne ramy prawne powierzają Europolowi - w szczególności bez zmiany jego podstawy prawnej zgodnie ze zwykłą procedurą ustanowioną w traktacie lizbońskim - zadania i uprawnienia do uczynienia wniosku administracyjnego pochodzącego z państwa trzeciego "wiążącym" (art. 4 ust. 5) dla prywatnego przedsiębiorstwa, które stanie się tym samym "upoważnione i zobowiązane" do dostarczenia danych do państwa trzeciego. W tym kontekście należy zauważyć, że w obecnym stanie prawa unijnego nie jest oczywiste, czy decyzja Europolu dotycząca prywatnego przedsiębiorstwa będzie podlegała kontroli sądowej ze strony Trybunału Sprawiedliwości Unii Europejskiej.
27. W związku z tym EIOD podtrzymuje swoje stanowisko, zgodnie z którym również ze względu na przestrzeganie mandatu negocjacyjnego i obecnych unijnych ram prawnych zadanie oceny wniosków Departamentu Skarbu USA powinno zostać powierzone sądowemu organowi publicznemu.
II.2.3. Czy wniosek zapewnia wykonalne prawa osób, których dane dotyczą (i ich ochronę)?
28. Jak wspomniano w części wstępnej niniejszej opinii, wniosek określa kilka praw osób, których dane dotyczą, takich jak prawo do bycia informowanym, prawo do dostępu do danych, prawo do poprawiania, usuwania i blokowania danych oraz prawo do środków odwoławczych. Ważne jednak, z jednej strony, by udoskonalić niektóre elementy tych przepisów, a z drugiej strony, by zapewnić ich faktyczną wykonalność.
29. W odniesieniu do prawa do dostępu danej osoby do własnych danych osobowych, umowa zawiera kilka ograniczeń. EIOD potwierdza, że w szczególności w kontekście zwalczania terroryzmu ograniczenia praw osób, których dane dotyczą, mogą zostać wprowadzone, o ile są konieczne. Wniosek powinien jednak jasno określać, że o ile ujawnianie danej osobie jej danych osobowych może zostać ograniczone w okolicznościach określonych w art. 15 ust. 2, ujawnianie tych informacji europejskim i krajowym organom ochrony danych powinno być zawsze możliwe, w celu umożliwienia tym organom rzeczywistego wywiązania się z ich nadzorczego obowiązku. Oczywiście na organach ochrony danych będzie spoczywać obowiązek zachowania poufności przy wykonywania zadań i nie ujawnią one danych odnośnej osobie tak długo, jak będą istnieć warunki dla takiego wyjątku.
30. W odniesieniu do prawa do poprawiania art. 17 ust. 2 stanowi, że gdy to możliwe, każda ze Stron w przypadku odkrycia, że istotne informacje przekazane przez nią lub otrzymane przez nią od drugiej Strony na mocy niniejszej Umowy są nieścisłe lub niewiarygodne, informuje o tym drugą Stronę. EIOD uważa, że obowiązek poprawiania nieścisłych lub niewiarygodnych danych jest podstawową gwarancją nie tylko dla osoby, której dane dotyczą, ale również dla skuteczności działania organów ścigania. W tym kontekście organy wymieniające dane powinny wprowadzić mechanizmy zapewniające, że to poprawienie jest zawsze wykonalne, a z wniosku powinno się w związku z tym usunąć wyrażenie "gdy to możliwe".
31. Główna wątpliwość EIOD dotyczy jednak konkretnej wykonalności tych praw. Z jednej strony, ze względu na pewność prawa i przejrzystość wniosek powinien określać szczegółowo, jakie są konkretne procedury, z których osoby, których dane dotyczą, mogą skorzystać w celu wykonania swoich praw uznanych w umowie, zarówno UE, jak i w USA.
32. Z drugiej strony, art. 20 ust. 1 wyraźnie i jasno stwierdza, że umowa nie tworzy ani nie przyznaje żadnych praw czy korzyści żadnym osobom ani podmiotom prywatnym lub publicznym. EIOD zauważa, że przepis ten wydaje się unieważniać lub przynajmniej podważać wiążący skutek przepisów umowy określających prawa osób, których dane dotyczą, które nie zostały jeszcze uznane lub nie są wykonywalne w ramach przepisów amerykańskich, w szczególności gdy osoby, których dane dotyczą, nie są obywatelami USA lub nie mieszkają tam na stałe. Dla przykładu amerykańska ustawa o prywatności ustanawia podstawowe prawo do dostępu do danych osobowych, które jest mocniejsze niż ogólne prawo do dostępu, gwarantowane ogółowi społeczeństwa przez amerykańską ustawę o wolności informacji. Ustawa o prywatności wyraźnie stanowi jednak, że wniosek o dostęp do własnych rejestrów danej osoby jest możliwy tylko dla obywatela Stanów Zjednoczonych lub cudzoziemca, który zgodnie z prawem uzyskał zgodę na stały pobyt(10).
33. EIOD zaleca dlatego, by obecne sformułowanie art. 20 ust. 1 zostało zmienione w celu dopilnowania, by prawa nadane na mocy wniosku zostały wyraźnie stwierdzone i były faktycznie wykonalne również na terytorium USA.
II.2.4. Czy wniosek zapewnia odpowiednio niezależną kontrolę i nadzór?
34. Artykuł 12 wniosku określa różne poziomy monitorowania warunków i zabezpieczeń ustanowionych w umowie. "Niezależne organy nadzorcze" będą monitorować w czasie rzeczywistym i retrospektywnie wyszukania Departamentu Skarbu USA. Ponadto "niezależna osoba wyznaczona przez Komisję Europejską" będzie na bieżąco monitorować pierwszy poziom nadzoru, w tym jego niezależność. Należy wyjaśnić, jakie będą zadania tej niezależnej osoby, jak zostanie zagwarantowane, że będzie mogła rzeczywiście wykonywać zadania i komu będzie zdawała z nich sprawozdanie.
35. Artykuł 13 ustanawia również mechanizm wspólnego przeglądu, który ma zostać przeprowadzony po 6 miesiącach, a następnie w regularnych odstępach. Ten wspólny przegląd zostanie przeprowadzony przez delegację EU-USA, w tym w delegacji UE - przez przedstawicieli z dwóch organów ochrony danych, i zakończy się sprawozdaniem, który Komisja przedstawi Parlamentowi Europejskiemu i Radzie.
36. EIOD podkreśla, że niezależny nadzór jest kluczowym elementem prawa do ochrony danych osobowych, co potwierdza art. 16 TUFE i art. 8 Karty praw podstawowych Unii Europejskiej. W ostatnim czasie Trybunał Sprawiedliwości wyznaczył ścisłe kryteria niezależności w wyroku z dnia 9 marca 2010 r. w sprawie Komisja przeciwko Niemcom(11). Jasne jest, że te same ścisłe kryteria nie mogą zostać wprowadzone w stosunku do państw trzecich, ale jest również jasne, że odpowiednia ochrona danych osobowych(12) może istnieć tylko wtedy, gdy istnieją odpowiednie gwarancje niezależnego nadzoru. Jest to również warunek międzynarodowych umów z państwami, których system prawny nie ustanawia konieczności kontroli przez niezależny organ.
37. W tym kontekście podstawowe znacznie ma fakt, by przynajmniej szczegółowe zasady nadzoru oraz wspólnego przeglądu oraz uprawnienia i gwarancje niezależności osób zaangażowanych w nadzór zostały wyraźnie określone w umowie, a nie były "wspólnie koordynowane" lub ustalane na późniejszym etapie przez strony. W szczególności, ważne jest zapewnienie, by zarówno osoba wyznaczona przez Komisję Europejska, jak i przedstawiciele europejskich organów ochrony danych byli w stanie działać niezależnie i faktycznie wywiązywać się ze swoich obowiązków nadzorczych.
38. Ponadto wniosek powinien nie tylko określać datę pierwszego wspólnego przeglądu, który powinien odbyć się po 6 miesiącach, ale również ramy czasowe kolejnego przeglądu, który następnie może odbywać się, na przykład, każdego roku. EIOD zaleca również ustalenie więzi pomiędzy wynikiem tych wspólnych przeglądów a okresem umowy.
39. W tym kontekście EIOD podkreśla, że wskazana jest klauzula wygaśnięcia, również w świetle ewentualnej dostępności bardziej ukierunkowanych rozwiązań w długim okresie. Klauzula wygaśnięcia mogłaby być również dobry bodźcem do zapewnienia, że poczyniono niezbędne wysiłki w celu utworzenia takich rozwiązań, co oznaczałoby, że nie ma powodów przesyłania masowych danych do Departamentu Skarbu USA.
40. W celu zwiększenia skuteczności nadzoru i wspólnego przeglądu powinny być dostępne informacje i właściwe dane na temat liczby wniosków o dostęp i środki odwoławcze, ewentualnych działań następczych (usuwanie, poprawienia itp.) oraz liczby decyzji ograniczających prawa osób, których dane dotyczą. W tym samym duchu, jeśli chodzi o przegląd, informacje powinny być dostępne i powinny określać ilość nie tylko komunikatów "udostępnionych" Departamentowi USA, ale również komunikatów "dostarczonych" temu Departamentowi. Powinno się to określić w umowie.
41. Ponadto uprawnienia i kompetencje europejskich organów ochrony danych nie powinny być w jakikolwiek sposób ograniczone w tym wniosku. W tym kontekście EIOD zauważa, że wniosek czyni krok wstecz w stosunku do tymczasowej umowy w sprawie Programu śledzenia środków finansowych należących do terrorystów. W rzeczy samej, o ile w preambule wcześniejszej umowy stwierdzono, że niniejsza umowa nie stanowi odstępstwa od istniejących uprawnień organów ochrony danych w państwach członkowskich dotyczących ochrony osób fizycznych w odniesieniu do przetwarzania ich danych osobowych, wniosek odnosi się obecnie do nadzoru odpowiednich organów ochrony danych w sposób spójny ze szczegółowymi postanowieniami niniejszej Umowy. EIOD zaleca więc, by wniosek wyraźnie stwierdzał, że umowa nie odstępuje od uprawnień europejskich organów ochrony danych ani ich nie ogranicza.
III. WNIOSKI
42. EIOD potwierdza, że wniosek ten przewiduje pewne znaczące udoskonalenia w stosunku do pierwszej tymczasowej umowy w sprawie Programu śledzenia środków finansowych należących do terrorystów, takie jak wykluczenie danych SEPA, bardziej ograniczona definicja terroryzmu i bardziej szczegółowe przepisy odnoszące się do praw osób, których prawa dotyczą.
43. EIOD zauważa jednak, że powinien zostać spełniony podstawowy warunek wstępny oceny zasadności nowej umowy w sprawie Programu śledzenia środków finansowych należących do terrorystów. Konieczność projektu należy ustalić w stosunku do już istniejących europejskich i międzynarodowych instrumentów.
44. Jeśli tak by było, EIOD zauważa, że nadal istnieje konieczność uwzględnienia pewnych otwartych kwestii i udoskonalenia kluczowych elementów w celu spełnienia warunków unijnych ram prawnych ochrony danych osobowych, takich jak:
– zapewnienie zastąpienia masowego przekazywania danych mechanizmami umożliwiającymi filtrowanie danych na temat transakcji finansowych w UE i gwarantującymi przesyłanie organom USA wyłącznie właściwych i niezbędnych danych,
– znaczne ograniczenie okresu przechowywania niepobranych danych,
– powierzenie zadania oceny wniosków Departamentu USA sądowemu organowi publicznemu, zgodnie z mandatem negocjacyjnym i obecnymi ramami prawnymi UE,
– zapewnienie wyraźnego stwierdzenia i faktycznej wykonalności praw osób, których dane dotyczą, nadanych we wniosku, również na terytorium USA,
– poprawa mechanizmów niezależnego nadzoru i monitorowania, poprzez:
(i) dopilnowanie, by zadania i rola zarówno osoby wyznaczonej przez Komisję Europejska, jak i przedstawicieli europejskich organów ochrony danych były dobrze określone i by były one w stanie działać niezależnie i faktycznie wywiązywać się ze swoich obowiązków nadzorczych;
(ii) dopilnowanie, by wspólne przeglądy odbywały się regularnie i by ich wynik był powiązany z okresem umowy poprzez klauzulę wygaśnięcia;
(iii) rozszerzenie informacji dostępnych dla niezależnych organów nadzorczych i organów ochrony danych;
(iv) unikanie ograniczania przez umowę uprawnień europejskich organów ochrony danych,
– włączenie odniesienia do niniejszej opinii w preambułę wniosku.
Sporządzono w Brukseli dnia 22 czerwca 2010 r.
|
Peter HUSTINX |
|
|
|
Europejski Inspektor Ochrony Danych |
______
(1) Dz.U. L 281 z 23.11.1995, s. 31.
(2) Dz.U. L 8 z 12.1.2001, s. 1.
(3) SWIFT jest przedsiębiorstwem z siedzibą w Belgii, świadczącym na całym świecie usługi w zakresie komunikatów na rzecz instytucji finansowych. Od 2001 r. Departament Skarbu USA w drodze nakazów administracyjnych żąda od SWIFT dostępu do niektórych danych osobowych dotyczących transakcji finansowych, skopiowanych na serwerach znajdujących się na terytorium USA.
(4) Zob. komunikat prasowy:
http://europa.eu/rapid/pressReleasesAction.do?reference=IP/10/609&format=HTML&aged=0&language= PL&guiLanguage=pl
(5) Decyzja ramowa Rady z dnia 13 czerwca 2002 r. w sprawie zwalczania terroryzmu, (Dz.U. L 164 z 22.6.2002, s. 3).
(6) W szczególności dyrektywa 2005/60/WE w sprawie przeciwdziałania korzystaniu z systemu finansowego w celu prania pieniędzy oraz finansowania terroryzmu oraz rozporządzenie (WE) nr 1781/2006 w sprawie informacji o zleceniodawcach, które towarzyszą przekazom pieniężnym.
(7)http://www.egmontgroup.org/library/download/5
(8) Wyrok z dnia 2 marca 2010 r.
(9) Zob. na przykład art. 3 decyzji Rady 2009/371/WSiSW ustanawiającej Europejski Urząd Policji (Europol), (Dz.U. L 121 z 15.5.2009, s. 37).
(10) Zostało to potwierdzone informacjami dostępnymi na stronie Departamentu Skarbu USA: "Gdy składasz wniosek o powiadomienie lub dostęp do rejestrów, powinieneś: [...] złożyć oświadczenie, że jesteś obywatelem Stanów Zjednoczonych lub obcokrajowcem, który zgodnie z prawem uzyskał zgodę na stały pobyt w Stanach Zjednoczonych [...]", http://www.treas.gov/foia/how-to.html (ostatnia wizyta w dniu 21 czerwca 2010 r.).
(11) Sprawa C-518/07, nieopublikowana dotychczas w Zbiorze.
(12) Artykuł 8 objętej wnioskiem umowy stanowi, że Departament Skarbu USA ma zapewnić odpowiedni poziom ochrony.
