Groep gegevensbescherming artikel 29
01935/06/NL WP128
Advies 10/2006 over de verwerking van persoonsgegevens door de Society for Worldwide Interbank Financial Telecommunication (SWIFT)
goedgekeurd op 22 november 2006
Deze groep is opgericht op grond van artikel 29 van Richtlijn 95/46/EG. Het is een onafhankelijk Europees adviesorgaan inzake gegevensbescherming en de persoonlijke levenssfeer, waarvan de taken zijn omschreven in artikel 30 van Richtlijn 95/46/EG en in artikel 15 van Richtlijn 2002/58/EG. Het secretariaat wordt verzorgd door directoraat C (Civiel recht, grondrechten en burgerschap, gegevensbescherming) van het directoraat-generaal Justitie, vrijheid en veiligheid van de Europese Commissie, B-1049 Brussel, België, Kantooradres: LX46 -01/43. Website: http://ec.europa.eu/justice_home/fsj/privacy/index_en.htm
Samenvatting Dit advies van de Groep gegevensbescherming artikel 29 is de neerslag van de bevindingen met betrekking tot de manier waarop de Society for Worldwide Interbank Financial Telecommunication (SWIFT) persoonsgegevens verwerkt. De Groep benadrukt dat zelfs in de strijd tegen terreur en criminaliteit een aantal fundamentele rechten gegarandeerd moeten worden en dringt er daarom op aan dat de internationale gegevensbeschermingsbeginselen geëerbiedigd worden. SWIFT is een wereldwijd opererend dienstverlenend bedrijf voor financieel berichtenverkeer dat internationale geldoverboekingen faciliteert. SWIFT slaat alle berichten gedurende 124 dagen op in twee verwerkingscentra – één in de EU en één in de VS – een vorm van gegevensverwerking die verderop in dit document met de term "mirroring" wordt aangeduid. De berichten bevatten persoonsgegevens zoals de namen van afzender en ontvanger van een betaling. Na de terroristische aanslagen van september 2001 werd SWIFT bij dwangbevel door het Amerikaanse ministerie van Financiën ("UST" United States Department of the Treasury) gesommeerd toegang te verschaffen tot de in de VS opgeslagen berichtgegevens. SWIFT gaf hieraan gevolg, maar bedong een aantal beperkingen op de toegang door UST. Persberichten eind juni, begin juli 2006 brachten de zaak in de openbaarheid. SWIFT is een in België gevestigde coöperatieve vennootschap en als zodanig onderworpen aan de wetgeving waarmee de EU-gegevensbeschermingsrichtlijn 95/46/EG ("de richtlijn") in het Belgische recht is omgezet. Financiële instellingen in de EU die de diensten van SWIFT gebruiken, zijn onderworpen aan de nationale gegevensbeschermingswetten waarmee de richtlijn is omgezet in de lidstaat waar zij gevestigd zijn. De Groep komt tot de volgende conclusies:
-
SWIFT en de opdrachtgevende financiële instellingen zijn gezamenlijk verantwoordelijk, zij het niet in dezelfde mate, voor de verwerking van persoonsgegevens als "voor de verwerking verantwoordelijken" in de zin van artikel 2, onder d), van de richtlijn.
-
De verdere verwerking van de persoonsgegevens is – gelet op de reikwijdte van de UST-dwangbevelen – een gebruiksdoel dat overeenkomstig artikel 6, lid 1, onder b), onverenigbaar is met het oorspronkelijke commerciële gebruiksdoel waarvoor de persoonsgegevens zijn verzameld.
-
Noch door SWIFT, noch door de financiële instellingen in de EU is over de verwerking van hun persoonsgegevens, en in het bijzonder over de doorgifte naar de VS, aan de betrokkenen informatie verstrekt zoals door de artikelen 10 en 11 van de richtlijn is voorgeschreven.
-
De door SWIFT ingestelde beperkende maatregelen, in het bijzonder met betrekking tot de toegang van UST tot de gegevens, vervangen in geen enkel opzicht het onafhankelijk toezicht dat had kunnen worden uitgeoefend door de bij artikel 28 van de richtlijn ingestelde toezichthoudende autoriteiten.
-
Wat de doorgifte van gegevens aan het verwerkingscentrum in de VS betreft, kan artikel 25 van de richtlijn niet door SWIFT worden ingeroepen.om de verwerking te rechtvaardigen.
-
Geen van de bij artikel 26, lid 1, van de richtlijn voorziene afwijkingen is toepasselijk op de verwerking van gegevens in de VS.
-
SWIFT heeft geen gebruik gemaakt van de bij artikel 26, lid 2, van de richtlijn voorziene mechanismen om van de Belgische toezichthoudende autoriteit voor gegevensbescherming toestemming te krijgen voor de verwerking.
-
De Groep gegevensbescherming artikel 29 verzoekt SWIFT en de financiële instellingen
onverwijld het nodige te doen om een einde te stellen aan de huidige illegale situatie. -
Bovendien vraagt de Groep om opheldering van zaken omtrent het toezicht op SWIFT.
De Groep gegevensbescherming artikel 29 zal de ontwikkelingen met betrekking tot het voorafgaande op de voet volgen.
3
INHOUDSOPGAVE 1.
ACHTERGROND....................................................................................................... 6 1.1. Overzicht van de gebeurtenissen ....................................................................... 6
2.
1.2. Feiten
............................................................................................................. 8
1.2.1.
De gegevensverwerking door SWIFT in cijfers.................................. 8
1.2.2.
Categorieën verwerkte gegevens......................................................... 9
1.2.3.
De dwangbevelen van het UST ........................................................... 9
DE TOEPASSELIJKE GEGEVENSBESCHERMINGSREGELING ..................... 10 2.1. Toepasselijkheid van Richtlijn 95/46/EG........................................................ 10 2.2. Op SWIFT toepasselijk recht .......................................................................... 10 2.3. Op de financiële instellingen toepasselijk recht .............................................. 11
3.
DE ROL VAN SWIFT EN VAN DE FINANCIËLE INSTELLINGEN.................. 11 3.1. De rol van SWIFT ........................................................................................... 11 3.2. De rol van de financiële instellingen............................................................... 13 3.3. De rol van de centrale banken ......................................................................... 15
4.
BEOORDELING VAN DE VERENIGBAARHEID MET DE GEGEVENSBESCHERMINGSREGELS ................................................................ 16 4.1. Toepassing van de beginselen van kwaliteit van de gegevens en proportionaliteit(art. 6 van de richtlijn)........................................................... 16 4.1.1.
Commercieel gebruiksdoel................................................................ 17
4.1.2.
Verdere verwerking voor onverenigbare doeleinden ........................ 17
4.2. Toelaatbaarheid van de verwerking (art. 7 van de richtlijn) ........................... 19 4.2.1.
Zij is noodzakelijk voor de uitvoering van een overeenkomst (art. 7, onder b), van de richtlijn) ...................................................... 19
4.2.2.
Zij is noodzakelijk om een wettelijke verplichting na te komen waaraan de voor de verwerking verantwoordelijke onderworpen is (art. 7, onder c), van de richtlijn)............................. 20
4.2.3.
Zij is noodzakelijk voor de behartiging van het gerechtvaardigde belang van de voor de verwerking verantwoordelijke (art. 7, onder f), van de richtlijn) ......................... 20
4.3. Verstrekking van duidelijke en volledige informatie over de regeling (art. 10 en 11 van de richtlijn) ......................................................................... 21 4.4. Nakoming van de verplichting tot aanmelding (art. 18-20 van de richtlijn) ........................................................................................................... 22 4.5. Toezichtmechanismen ..................................................................................... 22 4.6. Grensoverschrijdende gegevensstromen (art. 25-26 van de richtlijn)............. 23 4.6.1.
Passend beschermingsniveau (art. 25, lid 1, van de richtlijn) ........... 24 4
4.6.2.
Voldoende waarborgen geboden door de ontvanger (art. 26, lid 2, van de richtlijn) ........................................................................ 24
4.6.3.
Afwijkingen (art. 26 van de richtlijn)................................................ 25
4.6.4.
4.6.3.1.
Toestemming van de betrokkene (art. 26, lid 1, onder a), van de richtlijn).................................................. 26
4.6.3.2.
Doorgifte is noodzakelijk voor de uitvoering van een overeenkomst tussen de betrokkene en de voor de verwerking verantwoordelijke of voor de uitvoering van op verzoek van de betrokkene genomen precontractuele maatregelen (art. 26, lid 1, onder b) van de richtlijn)............................................... 26
4.6.3.3.
Doorgifte is noodzakelijk voor de sluiting of de uitvoering van een in het belang van de betrokkene tussen de voor de verwerking verantwoordelijke en een derde gesloten of te sluiten overeenkomst (art. 26, lid 1, onder c) van de richtlijn).................................... 26
4.6.3.4.
Doorgifte is noodzakelijk of wettelijk verplicht vanwege zwaarwegend algemeen belang of voor de vaststelling, de uitoefening of de verdediging van een recht in rechte (art. 26, lid 1, onder d), van de richtlijn)............................................................................. 27
4.6.3.5.
Doorgifte is noodzakelijk ter vrijwaring van het vitale belang van de betrokkene (art. 26, lid 1, onder e) van de richtlijn)................................................... 28
Bevindingen....................................................................................... 28
5.
CONCLUSIES: ......................................................................................................... 29
6.
ONMIDDELLIJK TE NEMEN MAATREGELEN TER VERBETERING VAN DE SITUATIE: ................................................................................................ 30
5
DE GROEP VOOR DE BESCHERMING VAN PERSONEN IN VERBAND MET DE VERWERKING VAN PERSOONSGEGEVENS Opgericht bij Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 19951,
Gelet op artikel 29 en artikel 30, lid 1, onder a), en lid 3, van deze richtlijn, Gelet op haar reglement en met name op de artikelen 12 en 14 daarvan, heeft het volgende advies goedgekeurd:
1.
ACHTERGROND
De onafhankelijke toezichthoudende autoriteiten voor gegevensbescherming in de Europese Unie2 onderzoeken een belangrijke zaak die verband houdt met de grootschalige doorgifte van financiële gegevens door een in de Europese Unie gevestigde onderneming (SWIFT) naar de Amerikaanse overheid. De precieze gang van zaken met betrekking tot deze doorgifte, in het bijzonder de verwerking van persoonsgegevens van Europese burgers, staat in het middelpunt van de belangstelling van de gegevensbeschermingsautoriteiten, die de handen in mekaar hebben geslagen om de gegevensstromen en de verenigbaarheid ervan met de Europese privacybeginselen, in het bijzonder de Gegevensbeschermingsrichtlijn (hierna "de richtlijn") te onderzoeken. 1.1.
Overzicht van de gebeurtenissen
Eind juni, begin juli 2006 doken in de Europese en Amerikaanse media berichten op over de vermeende twijfelachtige rol en verantwoordelijkheid van de Society for Worldwide Interbank Financial Telecommunication (SWIFT) in verband met de doorgifte van persoonsgegevens naar het Office of Foreign Assets Controle (OFAC) van het Amerikaanse ministerie van Financiën (United States Department of the Treasury (“UST”)). SWIFT is een in België gevestigde coöperatieve vennootschap voor financieel berichtenverkeer. Er werd aan het licht gebracht dat persoonsgegevens – vergaard en verwerkt via het SWIFT-netwerk voor internationale geldoverboekingen waarbij de bankidentificatiecode ("BIC") of de "SWIFT-code" wordt gebruikt – sedert eind 2001 ten
1
PB L 281 van 23.11.1995, blz. http://ec.europa.eu/justice_home/fsj/privacy/law/index_en.htm
2
Naast de bevoegde autoriteiten in de EU onderzoeken ook die in Australië, Canada, Nieuw-Zeeland, Zwitserland en IJsland de zaak. 6
31,
beschikbaar
op:
behoeve van het onderzoek naar terrorisme bij dwangbevel, steunend op de Amerikaanse wetgeving, aan het UST worden doorgegeven. SWIFT kwam naar aanleiding van de berichtgeving in de pers met een eerste verklaring3 op 23 juni 2006. In het begeleidende perscommuniqué beschreef SWIFT zichzelf als "een door de sector gecontroleerde coöperatieve vennootschap die veilige, gestandaardiseerde berichtgevingsdiensten en interfacesoftware aanbiedt aan ruim 7800 financiële instellingen overal ter wereld". De Europese Commissie besloot de zaak van nabij te volgen en verzocht de Belgische overheid in juli 2006 inlichtingen te verstrekken over de omstandigheden waaronder SWIFT persoonsgegevens verwerkt en mee te delen of daarbij de Belgische gegevensbeschermingswetgeving ter omzetting van de richtlijn wordt nageleefd. De Commissie heeft de lidstaten eveneens verzocht na te gaan of banken die voor de uitvoering van betalingsopdrachten gebruik maken van SWIFT hun nationale gegevensbeschermingswetgeving respecteren wat betreft de verwerking van persoonsgegevens die verband houden met dergelijke betalingen. Bij resolutie van 6 juli 20064 sprak het Europees Parlement de wens uit dat de lidstaten ervoor zouden zorgen en zich ervan zouden vergewissen dat er nationaal geen juridische leemte bestaat en dat de communautaire wetgeving inzake gegevensbescherming ook van toepassing is op de centrale banken. Het Europees Parlement toonde zich in de resolutie ook uiterst verontrust over de doelstellingen van de gegevensdoorgifte naar het UST. Het Parlement sprak ook zijn sterke afkeuring uit over "alle geheime operaties op het grondgebied van de EU die de persoonlijke levenssfeer van de EU-burgers raken" en verklaarde het uiterst verontrustend te vinden dat dergelijke operaties plaatsvinden zonder dat de burgers van Europa en hun parlementaire vertegenwoordiging hiervan op de hoogte zijn gesteld. Het Parlement drong er tot besluit bij de VS en hun inlichtingenen veiligheidsdiensten op aan in een geest van goede samenwerking te handelen en hun bondgenoten in kennis te stellen van de veiligheidsoperaties die zij op het grondgebied van de EU willen uitvoeren. Het Parlement verwees verder naar de mogelijkheid tot opsporing van overboekingen die verband houden met "ongeoorloofde activiteiten", maar ook van doorgiften van informatie "betreffende economische activiteiten van individuen en landen, wat kan leiden tot grootschalige vormen van economische en industriële spionage". De resolutie bevatte een verzoek aan de lidstaten om de resultaten van hun onderzoek toe te zenden aan de Commissie, de Raad en het Europees Parlement. Op 27 juli 2006 maakte de voorzitter van de Groep gegevensbescherming artikel 29 bekend dat de Europese gegevensbeschermingsautoriteiten hadden besloten hun werkzaamheden te coördineren. In een daaropvolgende vergadering op 26 en 27 september 2006 werd binnen de Groep een eerste plenaire discussie5 gehouden.
3
“SWIFT statement on compliance http://www.swift.com/index.cfm?item_id=59897
4
Resolutie van het Europees Parlement over het onderscheppen door de Amerikaanse geheime diensten van bankoverschrijvingsgegevens van het SWIFT-systeem (P6_TA-PROV(2006)0317).
5
Perscommuniqués van de Groep: Perscommuniqué van de Groep van 28.7.2006 betreffende de zaak SWIFT: http://ec.europa.eu/justice_home/fsj/privacy/news/docs/PR_SWIFT_Affair_28_07_06_en.pdf; Perscommuniqué van 27.9.2006 betreffende de zaak SWIFT: http://ec.europa.eu/justice_home/fsj/privacy/news/docs/PR_Swift_Affair_26_09_06_en.pdf . 7
policy”,
te
vinden
op
Op 4 oktober 2006 werd de zaak in een openbare hoorzitting van de parlementaire commissies Burgerlijke vrijheden en Economische en monetaire zaken besproken met, onder anderen, de financieel directeur van SWIFT en de Europese Centrale Bank6. De Europese toezichthouder voor gegevensbescherming verstrekte enkele eerste toelichtingen bij het onderzoek dat hij op grond van Verordening (EG) nr. 45/2001 instelde naar de rol van de Europese Centrale Bank (ECB)7. In de lidstaten namen de toezichthoudende autoriteiten voor gegevensbescherming contact op met de respectieve bankorganisaties. De Belgische gegevensbeschermingsautoriteit (GBA) stelde een onderzoek in naar de wettigheid van de gegevensverwerking door SWIFT. De Belgische GBA stelde zich daarbij rechtstreeks in verbinding met SWIFT om zich van de inhoud en de omvang van de gegevenstoegang en –doorgifte te vergewissen. Zij stelde in haar advies van 27 september 2006 dat de doorgifte van persoonsgegevens door SWIFT aan haar filiaal in de VS een inbreuk vormt op de Belgische Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens8. De Belgische GBA wees er in het bijzonder op dat SWIFT essentiële regels betreffende de informatieplicht, de beperking van het doel van de gegevensverwerking en de doorgifte van persoonsgegevens naar derde landen heeft overtreden. SWIFT heeft volgens haar "de fundamentele Europese beginselen inzake gegevensbescherming op een heimelijke, systematische, massale en langdurige manier geschonden". Op basis van de bij vorengenoemde onderzoeken verzamelde informatie wil de Groep vaststellen of SWIFT in overeenstemming heeft gehandeld met de in de richtlijn vervatte gegevensbeschermingsbeginselen die in alle lidstaten zijn omgezet in breed opgezette nationale gegevensbeschermingswetten. SWIFT heeft een kopie van haar antwoord aan de Belgische, de Spaanse en de Franse GBA doen toekomen aan de voorzitter van de Groep gegevensbescherming artikel 299. 1.2.
Feiten 1.2.1. De gegevensverwerking door SWIFT in cijfers
SWIFT verwerkt dagelijks gemiddeld 12 miljoen berichten10. Het totale volume verwerkte berichten bedroeg b.v. in 2005 2,5 miljard, waarvan 1,6 miljard betrekking voor Europa en 467 miljoen voor Noord-, Centraal- en Zuid-Amerika. De informatie die door SWIFT in het kader van de berichtendienst wordt verwerkt, heeft betrekking op de financiële verrichtingen van honderdduizenden EU-burgers. De financiële instellingen (niet alleen banken) doen een beroep op de dienst SWIFTNet FIN om wereldwijd
6
Een volledig verslag van de openbare hoorzitting is te vinden op http://www.europarl.europa.eu/news/expert/infopress_page/017-11292-275-10-40-90220061002IPR11291-02-10-2006-2006-false/default_nl.htm
7
http://www.edps.europa.eu/Press/EDPS-2006-10-EN%20swift.pdf
8
http://www.privacycommission.be/communiqu%E9s/AV37-2006.pdf
9
Brief van SWIFT aan de voorzitter van de Groep gegevensbescherming artikel 29 van 31 juli 2006.
10
Jaarverslag SWIFT 2005, te raadplegen op http://www.swift.com/index.cfm?item_id=59684 . 8
berichten uit te wisselen in verband met geldovermakingen tussen financiële instellingen. Er wordt voor de uitwisseling geen rekening mee gehouden of de berichten verwerkt worden in de Europese Unie (EU) en de Europese Economische Ruimte (EER) of in een derde land. 1.2.2. Categorieën verwerkte gegevens De via de dienst SWIFTNet FIN uitgewisselde berichten bevatten persoonsgegevens zoals de naam van de begunstigde en van de opdrachtgevende klant. Berichten betreffende betalingen bevatten soms meer informatie zoals een referentie aan de hand waarvan de betaler en de begunstigde het verband kunnen leggen tussen de betaling en hun boekhouding. Bovendien laten sommige berichttypes ruimte voor ongestructureerde tekst. Naast commerciële vestigingen in diverse landen heeft SWIFT twee in haar filialen gevestigde verwerkingscentra, één in een lidstaat van de EU en één in de Verenigde Staten. In deze verwerkingscentra worden alle door SWIFT in het kader van de dienst SWIFTNet FIN verwerkte berichten gedurende 124 dagen ten behoeve van de klanten opgeslagen en "gemirrored" voor back-up- of hersteldoeleinden wanneer er geschillen tussen financiële instellingen rijzen of gegevens verloren gaan. Na deze termijn worden de gegevens gewist. 1.2.3. De dwangbevelen van het UST Sinds de terreuraanslagen van september 2001 heeft het UST heel wat administratieve dwangbevelen uitgevaardigd tegen het verwerkingscentrum van SWIFT in de VS. Na onderzoek verklaarde SWIFT dat het tot op heden 64 dwangbevelen van het UST heeft ontvangen en opgevolgd. Een administratief dwangbevel is in het Amerikaanse rechtssysteem een door een overheidsfunctionaris aan een derde gegeven opdracht om bepaalde informatie te verstrekken11. De reikwijdte van de UST-dwangbevelen is in dit geval materieel, territoriaal en qua tijd zeer ruim en is omschreven in de dwangbevelen en in de correspondentie over de onderhandelingen tussen het UST en SWIFT. De uitgevaardigde dwangbevelen slaan op elke transactie die verband houdt of kan hebben met terroristische activiteiten, in verband met een onbepaald aantal landen en jurisdicties, op datum y of een tijdspanne "van … tot en met …", variërend van één tot meerdere weken, zowel in de VS als daarbuiten. Het gaat hierbij om berichten over interbancaire transacties binnen de VS, naar of vanuit de VS, alsook om berichten van buiten de VS, b.v. binnen de EU12. SWIFT heeft rechtstreeks met het UST onderhandeld over de voorwaarden voor de naleving van de dwangbevelen. SWIFT beweert aldus een aantal duidelijke waarborgen
11
Hoorzitting voor het United States Senate Judiciary Committee, Subcommittee on Terrorism, Technology and Homeland Security:“Tools to Fight Terrorism: Subpoena Authority and Pretrial Detention of Terrorists” Testimony of Rachel Brand, Principal Deputy Assistant Attorney General, Office of Legal Policy, U.S. Department of Justice, June 22, 2004; http://kyl.senate.gov/legis_center/subdocs/062204_brand.pdf
12
Zie Advies van de Belgische GBA waarnaar is verwezen in voetnoot 8. 9
en beschermingsmechanismen te hebben verkregen omtrent het gebruiksdoel, de vertrouwelijkheid, het toezicht en de controle van de beperkte gegevenssets die ten vervolge op de dwangbevelen zijn verstrekt13. Volgens de bevindingen van de Belgische GBA verloopt de verstrekking van persoonsgegevens aan het UST door het verwerkingscentrum van SWIFT in de VS in verschillende fasen. Er worden door het UST geen individuele gegevens direct uit de mirror database van SWIFT gehaald; SWIFT heeft in de plaats daarvan een zogeheten zwartedoosconstructie bedongen, waarbij gegevens van de SWIFT-mirror database worden overgeheveld naar de zwarte doos. Het UST kan gerichte zoekactiviteiten verrichten zodra de gegevens zijn overgezet naar de zwarte doos, die eigendom is van de VS. Nadere bijzonderheden over de doorgifte van persoonsgegevens naar het UST zijn aan de Belgische GBA meegedeeld en te vinden in het advies van deze instantie14. 2.
DE TOEPASSELIJKE GEGEVENSBESCHERMINGSREGELING 2.1.
Toepasselijkheid van Richtlijn 95/46/EG
Aangezien de berichten die via de dienst SWIFTNet FIN worden doorgestuurd, persoonsgegevens bevatten, is de richtlijn volgens de Groep van toepassing op de verwerking van persoonsgegevens in het kader van die dienst. De Groep benadrukt dat het accessoire karakter van de verwerking van persoonsgegevens in het kader van een bepaalde dienstverlening geen rol speelt bij de bepaling of een organisatie als "voor de verwerking verantwoordelijke" moet worden aangemerkt. De begrippen "verwerking van persoonsgegevens" en "persoonsgegevens" zijn duidelijk omschreven in artikel 2 van de richtlijn. Wanneer de door een organisatie verrichte activiteiten onder die definities vallen, is de richtlijn van toepassing en dient de verwerking van gegevens volledig in overeenstemming met de richtlijn plaats te vinden. 2.2.
Op SWIFT toepasselijk recht
Overeenkomstig artikel 4, lid 1, onder a), van de richtlijn past elke lidstaat zijn nationale, ter uitvoering van deze richtlijn vastgestelde bepalingen toe op de verwerking van persoonsgegevens indien "die wordt verricht in het kader van de activiteiten van een vestiging op het grondgebied van de lidstaat van de voor de verwerking verantwoordelijke". Het hoofdkantoor van SWIFT is gevestigd in Terhulpen, België. SWIFT heeft tevens twee verwerkingscentra (één in Europa en één in de VS, dat als mirror fungeert). Daarnaast heeft de onderneming commerciële vestigingen in o.a. het Verenigd Koninkrijk, Duitsland, Italië en Spanje. De cruciale beslissingen omtrent de verwerking van persoonsgegevens en de doorgifte van gegevens naar het UST zijn genomen door het hoofdkantoor in België. 13
14
“SWIFT statement on compliance http://www.swift.com/index.cfm?item_id=59897 Zie voetnoot 8. 10
policy”,
te
vinden
op
De verwerking van persoonsgegevens door SWIFT is bijgevolg onderworpen aan de Belgische omzettingswet, ongeacht waar de verwerking effectief plaatsvindt. 2.3.
Op de financiële instellingen toepasselijk recht
Wat betreft de verrichtingen waarvoor de financiële instellingen die voor hun internationale betalingsopdrachten een beroep doen op SWIFT als "voor de verwerking verantwoordelijke" kunnen worden aangemerkt, wordt het toepasselijke recht bepaald overeenkomstig artikel 4, lid 1, onder a), van de richtlijn en, in het geval van de instellingen en organen van de Gemeenschap, overeenkomstig artikel 3 van Verordening (EG) 45/200115. Dit betekent dat op de financiële instellingen verschillende, zij het geharmoniseerde, wetten van toepassing zijn. De Groep benadrukt, gelet op het feit dat bij de financiële transacties persoonsgegevens betreffende honderdduizenden burgers worden verwerkt via instellingen die in de EU zijn gevestigd (de coöperatieve vennootschap SWIFT en de financiële instellingen die SWIFTNet FIN gebruiken), dat de nationale, ter omzetting van de richtlijn aangenomen gegevensbeschermingswetten van de verschillende betrokken lidstaten van toepassing zijn. 3.
DE ROL VAN SWIFT EN VAN DE FINANCIËLE INSTELLINGEN
Overeenkomstig de richtlijn moet de voor de verwerking verantwoordelijke ervoor zorgen dat de verplichtingen met betrekking tot de verwerking van persoonsgegevens nageleefd worden. De vraag die rijst, is of SWIFT en/of de financiële instellingen als voor de verwerking verantwoordelijke(n) of als verwerker(s) moeten worden aangemerkt. In de zin van de richtlijn moet onder "voor de verwerking verantwoordelijke" worden verstaan, "de natuurlijke of rechtspersoon, de overheidsinstantie, de dienst of enig ander lichaam die, respectievelijk dat, alleen of te zamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt" (artikel 2, onder d)), en onder "verwerker", "de natuurlijke of rechtspersoon, de overheidsinstantie, de dienst of enig ander lichaam die, respectievelijk dat ten behoeve van de voor de verwerking verantwoordelijke persoonsgegevens verwerkt" (artikel 2, onder e)). 3.1.
De rol van SWIFT
SWIFT heeft zichzelf altijd voorgesteld als "een loutere intermediair voor de overdracht van veilige en vertrouwelijke financiële berichten tussen financiële instellingen. SWIFT is geen bank en houdt geen rekeningen van klanten aan." Sommige GBA's in de lidstaten hebben zich op deze voorstelling gebaseerd toen zij de gegevensverwerking door hun banken met het oog op het vergunnen ervan moesten onderzoeken.
15
Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens, PB L 8 van 12.1.2001, blz. 1. 11
De internationale dienstverleningsstructuur van SWIFT en de contractuele relaties tussen SWIFT en de financiële instellingen zijn betrekkelijk complex. De Groep wijst er evenwel op dat een dergelijke structuur waarbij een dienstverlener samenwerkt met andere actoren niet uniek is. De SWIFT-structuur is een voorbeeld van een formeel coöperatief netwerk. SWIFT is in 1973 opgericht door een groep Europese banken die op zoek waren naar een nieuwe methode om op een gestandaardiseerde manier betalingsinstructies naar correspondentbanken te zenden. Daartoe werd een coöperatieve vennootschap met beperkte aansprakelijkheid naar Belgisch recht opgericht. De Groep verwijst naar vergelijkbare coöperatieve netwerken zoals de Terminated Merchant Databases die door VISA en Mastercard tezamen met financiële instellingen worden geëxploiteerd om het risico te beoordelen dat verbonden is aan handelaren die tot het VISA- of Mastercardsysteem willen toetreden16. De Groep verwijst eveneens naar clearing- en afwikkelingssystemen voor financiële transacties en naar de reizigersboekingssystemen waarbij reisbureaus en luchtvaartmaatschappijen, enerzijds, en de beheerders van dergelijke systemen (zoals Galileo), anderzijds, een verschillende verantwoordelijkheid hebben. Los van de civiel- of handelsrechtelijke contractuele relatie tussen SWIFT en de financiële instellingen, in het kader waarvan de term "subcontractant" kan worden gebezigd, is SWIFT vanuit het oogpunt van de gegevensbescherming meer dan een loutere "subcontractant" of verwerker in de zin van artikel 2 van de richtlijn wat betreft de verwerking van persoonsgegevens bij de gewone commerciële bedrijfsuitoefening. Uit de feiten blijkt dat SWIFT de jongste decennia is geëvolueerd en meer doet dan alleen namens de klanten handelen. Er kan niet worden aan voorbijgegaan dat SWIFT specifieke verantwoordelijkheden op zich heeft genomen die verder gaan dan de normale opdrachten en taken van een verwerker en die met haar claim "niet meer dan een verwerker te zijn" niet verenigbaar zijn17. Het management van SWIFT handelt binnen het raam van een formeel coöperatief netwerk dat bepaalt welke in het kader van de dienst SWIFTNet FIN de doeleinden van de gegevensverwerking en de daarbij gevolgde werkwijze zijn, en welke persoonsgegevens daarbij worden verwerkt. Het SWIFTmanagement beslist autonoom hoe ver de informatie gaat die met betrekking tot de verwerking aan de financiële instellingen wordt verstrekt. Het SWIFT-management is bij machte om de doeleinden van de gegevensverwerking en de daarbij gevolgde werkwijze te bepalen door bestaande of nieuwe SWIFT-diensten en gegevensverwerkingsmethoden te ontwikkelen, te commercialiseren of aan te passen, b.v. door standaarden voor de vorm en de inhoud van de betalingsopdrachten vast te stellen die door haar klanten moeten worden toegepast, zonder dat daarvoor de toestemming van de financiële instellingen moet worden gevraagd. SWIFT levert eveneens toegevoegde waarde bij de verwerking van persoonsgegevens, zoals opslag en validatie en bescherming door middel van een hoog niveau van beveiliging. Het SWIFT-management kan met betrekking tot de verwerking kritieke beslissingen nemen, b.v. wat de beveiligingsstandaard en de locatie van de verwerkingscentra betreft. Tot slot beschikt het SWIFT-management over volledige autonomie om dienstverleningscontracten aan te gaan en te beëindigen en om het contractbeleid en de verschillende desbetreffende documenten op te stellen en te
16
Zie b.v. de “Guidelines for Terminated Merchant Databases” van de Groep, te vinden op http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/others/2005-01-11-fraudprevention_en.pdf.
17
Gegevensverwerkers dienen hoe dan ook de richtlijn na te leven, b.v. artikel 17, lid 3, inzake beveiliging. 12
wijzigen18. Dat is het praktische en juridische kader waarbinnen de verwerking plaatsvindt. SWIFT besloot om de dwangbevelen van de Amerikaanse overheid voor de doorgifte van persoonsgegevens aan het UST na te leven. De onderneming nam ook het initiatief om op een ondoorzichtige manier, via briefwisseling en een comfort letter, met het UST te onderhandelen over de voorwaarden voor de doorgifte van de persoonsgegevens naar het UST. Zij heeft er bewust voor gekozen om de betrokken financiële instellingen niet van deze onderhandelingen op de hoogte te brengen. De door SWIFT verkregen en toegepaste controlemechanismen waren niet zonder gevolgen voor het gebruiksdoel en de omvang van de doorgifte van gegevens naar het UST. Dit autonome optreden gaat veel verder dan wat normaal mag worden verwacht van een gegevensverwerker, die geacht wordt de instructies van de voor de verwerking verantwoordelijke uit te voeren. Niettegenstaande SWIFT zichzelf als een gegevensverwerker voorstelt en de onderneming in het verleden, afgaande op sommige feiten, in sommige gevallen als gegevensverwerker voor de financiële sector is opgetreden, is de Groep rekening houdende met de daadwerkelijke handelingsruimte van SWIFT in de hierboven beschreven situaties van oordeel dat SWIFT een voor de verwerking verantwoordelijke is in de zin van artikel 2, onder d), van de richtlijn, zowel wat de gewone verwerking van persoonsgegevens in het kader van SWIFTNet FIN als wat de verdere verwerking en doorgifte van persoonsgegevens naar het UST betreft. 3.2.
De rol van de financiële instellingen
De rol die de financiële instellingen in het kader van SWIFTNet FIN spelen moet worden verduidelijkt. Sommige financiële instellingen werden door SWIFT niet volledig geïnformeerd over de omvang en de voorwaarden van de verwerking en mirroring van persoonsgegevens, ook niet over de verdere doorgifte van de persoonsgegevens van de mirror naar het UST. Sinds de zaak op 23 juni 2006 aan het licht kwam, weten alle financiële instellingen wat er gebeurt wanneer zij in verband met internationale geldoverboekingen persoonsgegevens via SWIFTNet FIN meedelen. De financiële instellingen die een beroep doen op SWIFT worden geacht enige invloed te kunnen uitoefenen op het beleid van de coöperatieve vennootschap. Sommige financiële instellingen hebben zitting in de raad van bestuur van SWIFT en de managementstructuur was oorspronkelijk zo opgezet dat banken en financiële instellingen een bepaalde mate van zeggenschap over de besluitvorming van SWIFT zouden behouden. Bijgevolg moet worden geoordeeld dat die instellingen de doelstellingen van de verwerking en de daarbij gevolgde werkwijze mee bepalen, samen met de coöperatieve vennootschap waarvan zij lid zijn. Zij hebben tevens rechtstreeks contact met de betrokken natuurlijke personen en spelen een sleutelrol bij de uitvoering van de internationale betalingsopdrachten van hun klanten.
18
Zie punt 4.5.3 van de algemene voorwaarden en condities: “the customer shall have been deemed to have consented to any such processing…”.
13
Het is ook belangrijk voor ogen te houden dat de financiële instellingen autonoom zijn en op interbancair vlak hun eigen doeleinden kunnen nastreven. De Groep stelt vast dat de financiële instellingen in het interbancaire verkeer vaak cruciale beslissingen nemen over de mededeling van persoonsgegevens aan SWIFT, vaak zonder medeweten van hun klanten. Dat blijkt uit de volgende elementen: •
De financiële instellingen beslissen in het interbancaire verkeer vaak autonoom over de middelen die worden ingezet voor de afhandeling van een gegeven betalingsopdracht. Zij hebben de keuzemogelijkheid om alternatieve of concurrerende diensten te gebruiken of te ontwikkelen om interbancaire financiële berichten te verzenden (e-mail, fax, telefoon, enz.). Keuzes op dit vlak zullen de globale privacykenmerken bepalen die verband houden met de betalingsopdrachten die de financiële instelling afhandelt. Gezien de diversiteit van de diensten op interbancair vlak staat het de financiële instellingen vrij om zich, bij de keuze van de interbancaire dienst te laten leiden door elementen zoals het privacybeleid van de professionele aanbieder, naast de beveiliging van de informatie die uiteraard steeds vereist is. De financiële instellingen kunnen een sterk privacybeleid van een bepaalde aanbieder of een bepaalde oplossing zoals een virtual private network (VPN) gebruiken als garantie, teneinde het vertrouwen van hun klanten en de vertrouwelijkheid van hun diensten maximaal te waarborgen.
•
De financiële instellingen aanvaarden door hun handtekening de contractvoorwaarden van de dienst SWIFTNet FIN19. Uit de contractuele documentatie (Data Retrieval Policy20) en het beleid van SWIFT inzake compliance blijkt dat de klanten van SWIFT op de hoogte waren van het algemeen principe om persoonsgegevens mede te delen ingevolge de aan hen of aan SWIFT geadresseerde dwangbevelen. Volgens het advies van de Belgische GBA voerde SWIFT aan dat het aantal dwangbevelen dat aan financiële instellingen werd geadresseerd in de duizenden of zelfs tienduizenden per jaar zou lopen. Het kan dus worden betwijfeld dat de financiële instellingen die actief zijn op de internationale betalingsmarkt onwetend zouden zijn over het algemeen principe van de dwangbevelen.
•
De financiële instellingen dienen als professionele dienstverlener, op het moment dat zij intekenen, een inschatting te kunnen maken van de mogelijke implicaties en (privacy)risico's van de SWIFTnet FIN dienst voor de betrokken klant. Daarom is het belangrijk na te gaan of het privacybeleid van de opdrachtgevende instelling duidelijke bepalingen over deze risico's bevat.
•
Aangezien de financiële instellingen handelen namens hun klanten die betalingsopdrachten geven, mogen zij de vereiste gegevens voor geen enkel ander doel dan het afhandelen van de overboeking meedelen. Indien een financiële instelling er weet van heeft dat SWIFT aan haar toevertrouwde gegevens voor
19
Tot de contractdocumenten behoort onder andere het "SWIFT User Handbook", dat de gestandaardiseerde berichtentypes bevat.
20
Dat het volgende bepaalt: “For the avoidance of any doubt, nothing in this policy or, more generally, SWIFT’s obligations of confidence to customers, shall be construed as preventing SWIFT from retrieving, using, or disclosing traffic or message data as reasonably necessary to comply with a bona fide subpoena or other lawful process by a court or other competent authority.” zie voetnoot 8, Advies van de Belgische GBA, D.2. 14
andere doeleinden dan geldoverboekingen gebruikt en desondanks van de diensten van SWIFT gebruik blijft maken, dan kan men zich afvragen wat de juridische grond is voor de doorgifte en het gebruik: tenzij er een bijzondere overeenkomst bestaat tussen financiële instellingen en hun klanten, moet het verstrekken van bankgegevens aan SWIFT voor andere doeleinden dan de dienst die bekend is, als onrechtmatig worden beschouwd. Financiële instellingen zijn bijgevolg niet louter "voor de verwerking verantwoordelijken" in de zin van artikel 2, onder d), van de richtlijn wat hun eigen gegevensverwerking betreft, maar zijn tot op zekere hoogte ook verantwoordelijk voor de gegevensverwerking door SWIFT. Dat de managementstructuur van de coöperatieve vennootschap SWIFT zich in de loop der jaren kennelijk zo heeft ontwikkeld dat het management nu meer onafhankelijkheid geniet dan oorspronkelijk de bedoeling was, verandert niets aan de hoedanigheid van de oprichters - de financiële instellingen – als voor de verwerking van de gegevens verantwoordelijken in de zin van de richtlijn. De Groep vindt dat de bovenstaande elementen voldoende grond zijn om te stellen dat er sprake is van gedeelde verantwoordelijkheid van de financiële instellingen en de coöperatieve vennootschap SWIFT wanneer er in het kader van de dienst SWIFTNet FIN persoonsgegevens worden verwerkt. Gedeelde verantwoordelijkheid betekent echter niet automatisch gelijke verantwoordelijkheid. SWIFT is de hoofdverantwoordelijke voor de verwerking van persoonsgegevens in het kader van SWIFTNet Fin en de financiële instellingen zijn medeverantwoordelijk voor wat de verwerking van de persoonsgegevens van hun klanten in dat verband betreft. 3.3.
De rol van de centrale banken
De betrokkenheid van de centrale banken moet worden beoordeeld in het licht van de rollen die zij spelen ten aanzien van SWIFT en als toezichthouder op het gebied van geldelijke betalingen. In de eerste plaats oefenen de centrale banken van de landen van de Groep van Tien (G10)21 coöperatief toezicht uit op SWIFT. Dit toezicht is er voornamelijk op gericht de effectiviteit van de SWIFT-controles en -processen voor risicobeheersing, en zodoende de stabiliteit en gezondheid van het financieel systeem en de infrastructuren te waarborgen. Voorts controleren de "overseers" hoe SWIFT operationele risico's identificeert en beheerst en eventueel ook de juridische risico's, de transparantie van de regelingen en overeenkomsten, en het beleid inzake klantentoegang. De strategische koers van SWIFT kan eveneens met de raad van het bestuur en het topmanagement worden besproken22. De belangrijkste instrumenten waarover de SWIFT-toezichthouders beschikken zijn hun invloed en pressie ("moral suasion"). De toezichthouders kunnen aanbevelingen doen aan SWIFT; het toezicht levert SWIFT echter geen certificering, goedkeuring of machtiging van de centrale banken op.
21
De G-10-groep bestaat uit de Nationale Bank van België, Bank of Canada, Deutsche Bundesbank, European Central Bank, Banque de France, Banca d' Italia, Bank of Japan, De Nederlandsche Bank, Sveriges Riksbank, Swiss National Bank, Bank of England en het Federal Reserve System (USA), vertegenwoordigd door de Federal Reserve Bank of New York en de Board of Governors van het Federal Reserve System.
22
Financial Stability Review 2005, gepubliceerd door de Nationale Bank van België en te vinden op haar website www.nbb.be. 15
De vertrouwelijke behandeling van niet-openbare informatie is geregeld in Memorandums of Understanding (MoU's) die tussen SWIFT en de centrale banken zijn gesloten. De G10-groep is in de loop van 2002 op de hoogte gebracht van de doorgifte van gegevens naar de Amerikaanse overheid. De groep oordeelde evenwel dat deze aangelegenheid buiten het kader van zijn rol als toezichthouder viel. Bovendien dachten verschillende centrale banken dat het MoU inzake vertrouwelijkheid een beletsel vormde om de kwestie aan de bevoegde nationale en Europese autoriteiten te melden. Om die redenen heeft de G10-groep de gevolgen van de doorgifte naar de VS vanuit het oogpunt van de gegevensbescherming niet onderzocht, de bevoegde autoriteiten niet op de hoogte gebracht noch aan SWIFT gevraagd dat te doen. De voorzitter van de Europese Centrale Bank (ECB) verklaarde op de openbare hoorzitting in het Europees Parlement "dat het naleven van de dwangbevelen door SWIFT niet is gefiatteerd door de centrale banken van de G10. Gesteld dat we zulks zouden hebben gewild, hadden we een dergelijke machtiging toch niet kunnen geven omdat we daartoe niet bevoegd zijn. SWIFT was met andere woorden alleen verantwoordelijk voor de beslissingen die zijn genomen23. Er zij wel op gewezen dat de beperkte rol die de centrale banken momenteel in het toezicht op SWIFT spelen, niet uitsluit dat ook een centrale bank – net als elke andere financiële instelling die klant is van SWIFTNet FIN – als (mede)verantwoordelijke voor de verwerking wordt beschouwd (zie punt 3.2 hierboven) wanneer er in het kader van interbancaire verrichtingen persoonsgegevens worden verwerkt. Het feit dat sommige centrale banken op de hoogte waren van de gegevensdoorgiften naar de Amerikaanse overheid kan in dit verband relevant zijn voor het bepalen van hun verantwoordelijkheid als gebruikers van het SWIFT-systeem. 4.
BEOORDELING
VAN DE GEGEVENSBESCHERMINGSREGELS
4.1.
VERENIGBAARHEID
MET
DE
Toepassing van de beginselen van kwaliteit van de gegevens en proportionaliteit(art. 6 van de richtlijn)
Artikel 6 van de richtlijn bepaalt dat persoonsgegevens eerlijk en rechtmatig moeten worden verwerkt24, voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden moeten worden verkregen25 en vervolgens niet mogen worden verwerkt op een wijze de onverenigbaar is met die oorspronkelijke doeleinden. Bovendien moeten de persoonsgegevens toereikend, ter zake dienend en niet bovenmatig zijn, uitgaande van de
23
Jean-Claude Trichet: Verklaring van de voorzitter van de ECB op de openbare hoorzitting in het Europees Parlement over het onderscheppen door de Amerikaanse geheime diensten van bankoverschrijvingsgegevens van het SWIFT-systeem.
24
Artikel 6, lid 1, onder a, van de richtlijn
25
Artikel 6, lid 1, onder b, van de richtlijn 16
doeleinden waarvoor zij worden verzameld en/of verder verwerkt26. Al deze regels samen worden soms ook wel het "proportionaliteitsbeginsel" genoemd. Tot slot moeten alle redelijke maatregelen worden getroffen om de gegevens die onnauwkeurig of onvolledig zijn, uit te wissen of te corrigeren27. 4.1.1. Commercieel gebruiksdoel De persoonsgegevens zijn door de financiële instellingen en vervolgens door SWIFT uitsluitend verzameld om de betalingsopdrachten van de klant respectievelijk de SWIFTNet FIN dienst uit te voeren (een commercieel gebruiksdoel). Dit commerciële gebruiksdoel van de verwerking van persoonsgegevens kan bijgevolg als het enige "welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doel" worden aangemerkt. Zie punt 4.6 hierna wat de doorgifte van persoonsgegevens naar derde landen betreft. 4.1.2. Verdere verwerking voor onverenigbare doeleinden a) Persoonsgegevens mogen niet worden verwerkt voor doeleinden die onverenigbaar zijn met het oorspronkelijke doel. Door de beslissing om een mirrordatabase voor alle gegevensverwerkingsactiviteiten te vestigen in een verwerkingscentrum in de VS heeft SWIFT zichzelf in een voorzienbare situatie gebracht waarin de onderneming zich blootstelt aan dwangbevelen van dat land. In het onderhavige geval heeft SWIFT dwangbevelen van het UST ontvangen in het kader van het speurwerk naar vermoedelijk terroristische activiteiten. Dit doel is geheel verschillend van het oorspronkelijke doel van de verwerking van de persoonsgegevens en kan directe gevolgen hebben voor de personen van wie de gegevens worden verwerkt. Het is niet verenigbaar met oorspronkelijke, louter commerciële doel waarvoor de gegevens waren verzameld. SWIFT was van dit gebruiksdoel op de hoogte; het management was het ermee eens en heeft zijn medewerking verleend. SWIFT heeft noch de gebruikers van haar diensten, noch de toezichthouders voor gegevensbescherming van dit gebruiksdoel in kennis gesteld. b) Er is vastgesteld dat op grote schaal gegevens van SWIFT naar het UST zijn doorgegeven, zonder dat daarbij de mogelijkheid bestond om het individuele karakter van de opgevraagde gegevens te controleren. Volgens SWIFT was het voor het UST mogelijk om via het zwartedoossysteem alle financiële berichten in te kijken. Het systeem is zodanig dat het UST er naar believen berichten – en de daarin vervatte persoonsgegevens – uit kan halen. De Groep wijst erop dat SWIFT zelfs ten behoeve van het speurwerk naar vermoedelijk terroristische activiteiten slechts na beoordeling van elk geval afzonderlijk specifieke,
26
Artikel 6, lid 1, onder c, van de richtlijn
27
Artikel 6, lid 1, onder d, van de richtlijn. 17
geïndividualiseerde gegevens mag doorgeven, overeenkomstig de gegevensbeschermingsbeginselen. Dat is niet het geval en de huidige praktijk is daarom buitenmatig en een inbreuk op artikel 6, lid 1, onder c), van de richtlijn. c) Artikel 13 bepaalt: "De lidstaten kunnen wettelijke maatregelen treffen ter beperking van de reikwijdte van de in artikel 6, lid 1 [beginsel van beperking van het gebruiksdoel], artikel 10, artikel 11, lid 1 [plicht om de betrokkene te informeren], artikel 12 [recht van toegang] en artikel 21 [openbaarheid van de verwerkingen] bedoelde rechten en plichten indien dit noodzakelijk is ter vrijwaring van [de navolgende opsomming van zwaarwegende openbare belangen]: c) de veiligheid van de staat; d) het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten […]; f) een taak op het gebied van controle, inspectie of regelgeving, verbonden, ook al is dit incidenteel, met de uitoefening van het openbaar gezag in de onder c, d en e, bedoelde gevallen;". Het Europees Hof van Justitie (EHvJ) heeft toegelicht hoe een aantal van deze bepalingen moeten worden geïnterpreteerd. In het arrest in de gevoegde zaken C-465/00, C-138/01 en C-139/01 ("Rechnungshof") van 20 mei 2003 heeft het Hof verduidelijkt dat de de mededeling van oorspronkelijk voor "economische" doeleinden verzamelde gegevens aan een derde, met inbegrip van een overheidsorgaan, "een inmenging in de zin van artikel 8 EVRM vormt". Bovendien moeten afwijkingen van het in de Gegevensbeschermingsrichtlijn vastgelegde beginsel van beperking van het gebruiksdoel in overeenstemming zijn met artikel 13 van die richtlijn, waartoe zij "gerechtvaardigd moeten zijn uit hoofde van artikel 8 van het EVRM" (Rechnungshof, C-465/00, par. 68 e.v.). Volgens het EVRM is een inmenging in de persoonlijke levenssfeer mogelijk "voorzover deze bij de wet is voorzien en in een democratische samenleving noodzakelijk is in het [openbaar] belang". Het EHRM heeft in zijn jurisprudentie bij herhaling gesteld dat in de wet waarbij de inmenging wordt toegestaan, rekening houdende met het rechtmatige doel van de maatregel, voldoende duidelijk moet zijn aangegeven hoe ver de aan de bevoegde autoriteiten verleende macht reikt en hoe zij wordt uitgeoefend, teneinde de individuele burger een passende bescherming tegen willekeurige inmenging te waarborgen. Deze argumenten kunnen evenwel niet worden aangevoerd daar SWIFT zich in casu niet aan de Belgische wetgeving heeft gehouden28. d) De Groep wijst voorts op het bestaan van wettelijke structuren op overheidsniveau. Hij benadrukt dat bij het gebruik van de systemen het beginsel van het bankgeheim moet worden gerespecteerd. In dit verband wordt verwezen naar de 40+9-aanbevelingen van de Financial Action Task Force (FATF/GAFI), een in 1989 opgericht intergouvernementeel orgaan dat de totstandkoming en bevordering van nationaal en internationaal beleid ter bestrijding van het witwassen van geld en de financiering van het terrorisme tot doel heeft. De Groep verwijst tevens naar het systeem voor de uitwisseling van financiële informatie tussen de nationale financiële inlichtingendiensten van 96 landen (Egmont Secure Web, ESW), dat gecoördineerd wordt door FinCEN in de Verenigde Staten. In het kader hiervan kan aan de verzoekende partij financiële
28
Advies van de Belgische GBA, zie voetnoot 8. 18
informatie worden verstrekt in overeenstemming met de wet- en regelgeving van het land waaruit de informatie wordt verzonden. De Groep verwijst voorts naar de bestaande samenwerkingsmechanismen die zijn gecreëerd of worden ontwikkeld in het kader van de derde pijler (justitiële en politiële samenwerking), en in het bijzonder naar de internationale overeenkomsten die op 25 juni 2003 tussen de VS en de EU zijn ondertekend29 inzake wederzijdse rechtshulp en, zij het minder relevant in dit verband, uitlevering. Niettegenstaande deze overeenkomsten nog niet zijn geratificeerd, moet een Staat zich volgens artikel 18 van het Verdrag van Wenen inzake het verdragenrecht30 onthouden van handelingen die een verdrag zijn voorwerp en zijn doel zouden ontnemen, indien hij het verdrag heeft ondertekend of de akten die het verdrag vormen heeft uitgewisseld onder voorbehoud van bekrachtiging, aanvaarding of goedkeuring, totdat hij zijn bedoeling geen partij te willen worden bij het verdrag kenbaar heeft gemaakt. Door de beslissing om een mirrordatabase voor alle gegevensverwerkingsactiviteiten te vestigen in een verwerkingscentrum in de VS heeft SWIFT zichzelf in een voorzienbare situatie gebracht waarin de onderneming zich blootstelt aan dwangbevelen van dat land en een verwerking van persoonsgegevens is georganiseerd waarmee alle bestaande structuren en internationale overeenkomsten worden omzeild. De Groep is in het algemeen van oordeel dat de beginselen van beperking van het gebruiksdoel en verenigbaarheid, proportionaliteit en noodzakelijkheid van de verwerkte persoonsgegevens niet zijn gerespecteerd. 4.2.
Toelaatbaarheid van de verwerking (art. 7 van de richtlijn)
Verwerking van persoonsgegevens is slechts wettig indien zij rechtmatig is en aan één van de voorwaarden van artikel 7 van de richtlijn voldoet. 4.2.1. Zij is noodzakelijk voor de uitvoering van een overeenkomst (art. 7, onder b), van de richtlijn) SWIFT verwerkt de in de SWIFTNet FIN-berichten vervattte persoonsgegevens uitsluitend voor de uitvoering van betalingsopdrachten die haar door de financiële instellingen zijn toevertrouwd. 29
De overeenkomsten tussen de EU en de VS betreffende respectievelijk uitlevering en wederzijdse rechtshulp.
and http://eur-lex.europa.eu/LexUriServ/site/en/oj/2003/l_181/l_18120030719en00270033.pdf http://europa.eu.int/eurlex/pri/en/oj/dat/2003/l_181/l_18120030719en00340042.pdf#search=%22Agreement%20on%20mutu al%20legal%20assistance%20between%20the%20european%20union%22 30
Verdrag van Wenen inzake het verdragenrecht van 23 mei 1969. De Verenigde Staten hebben dit verdrag ondertekend.
19
Ook al kan die verwerking met een commercieel doel in dit verband noodzakelijk worden geacht voor de uitvoering van de tussen SWIFT en de betrokken financiële instellingen gesloten overeenkomst, dan nog is de manier waarop dat is geschied (opslag van de persoonsgegevens in een mirrordatabase in het Amerikaanse verwerkingscentrum) onaanvaardbaar voor andere redenen die in punt 4.6 worden besproken. 4.2.2. Zij is noodzakelijk om een wettelijke verplichting na te komen waaraan de voor de verwerking verantwoordelijke onderworpen is (art. 7, onder c), van de richtlijn) De verwerking en mirroring zouden noodzakelijk kunnen zijn geweest om een wettelijke verplichting na te komen waaraan de voor de verwerking verantwoordelijke onderworpen is. SWIFT, dat zijn hoofdkwartier in België heeft, heeft voor deze bijzondere verwerking geen Belgische of Europese rechtsgrond aangevoerd. De Groep wijst er voorts op dat erin in de Belgische of Europese wetgeving geen wettelijke verplichting voor de betrokken gegevensverwerking bestaat. Bovendien heeft de Groep in het zogeheten "SOX-advies"31 reeds gesteld dat "een verplichting uit hoofde van buitenlandse wettelijke of reglementaire bepalingen […] niet geldt als een wettelijke verplichting die de verwerking van gegevens in de EU toelaatbaar maakt. Elke andere interpretatie zou het voor derde wet- en regelgevers gemakkelijk maken om de in de richtlijn neergelegde EUregels te omzeilen". De Groep is van oordeel dat deze redenering ook in dit geval volledig opgaat. Artikel 7, onder c), van de richtlijn kan bijgevolg niet worden aangevoerd om de verwerking en mirroring van de persoonsgegevens in dit geval te rechtvaardigen. 4.2.3. Zij is noodzakelijk voor de behartiging van het gerechtvaardigde belang van de voor de verwerking verantwoordelijke (art. 7, onder f), van de richtlijn) Overeenkomstig artikel 7, onder f), van de richtlijn kunnen de verwerking en mirroring noodzakelijk zijn voor de behartiging van het gerechtvaardigde belang van de voor de verwerking verantwoordelijke of van de derde(n) aan wie de gegevens worden verstrekt, mits het belang of de fundamentele rechten en vrijheden van de betrokkene die aanspraak maakt op bescherming uit hoofde van artikel 1, lid 1, van deze richtlijn, niet prevaleren. Het is de vraag of artikel 7, onder f), van de richtlijn een rechtvaardigingsgrond kan zijn voor de verwerking en mirroring, met als gevolg dat de verwerkingsactiviteiten in het verwerkingscentrum in de VS vatbaar zijn voor dwangbevelen van dat land. Het kan niet worden ontkend dat het naleven van de Amerikaanse dwangbevelen voor SWIFT een gerechtvaardig belang is. Bij niet-naleving stelt SWIFT zich volgens de 31
Advies 1/2006 over de toepassing van de EU-gegevensbeschermingsregels op interne klokkenluidersregelingen in de sfeer van boekhouding, interne boekhoudcontrole, auditing en bestrijding van omkoping en van bancaire en financiële criminaliteit. 20
Amerikaanse wetgeving immers bloot aan sancties. Anderzijds moet ook worden gestreefd naar een redelijk evenwicht tussen, enerzijds, het risico voor SWIFT op sancties van de VS bij niet-naleving van de dwangbevelen en, anderzijds, de bescherming van de rechten van personen. Overeenkomstig artikel 7, onder f), moeten het belang dat met de verwerking van persoonsgegevens wordt gediend en de fundamentele rechten van de betrokkene daarbij in balans zijn. Om uit te maken of dat het geval is, moet ook rekening worden gehouden met zulke aspecten als proportionaliteit, subsidiariteit, de ernst van de vermeende onregelmatigheden die gerapporteerd kunnen worden en de gevolgen voor de betrokkenen. Ook adequate beschermende maatregelen maken deel uit van dit evenwicht. Met name artikel 14 van de richtlijn kent de betrokkene het recht toe zich, in de gevallen waarin de gegevensverwerking plaatsvindt op grond van artikel 7, onder f), om zwaarwegende en gerechtvaardigde redenen ertegen te verzetten dat hem betreffende gegevens worden verwerkt. SWIFT heeft de verwerking en mirroring "op een heimelijke, systematische, massale en langdurige manier"32 gedaan, zonder het verdere, onverenigbare, gebruiksdoel op het tijdstip van de gegevensverwerking te melden en de gebruikers van de diensten daarvan in kennis te stellen. De verdere verwerking en mirroring voor een onverenigbaar gebruiksdoel konden verreikende gevolgen hebben voor personen. De Groep is daarom van oordeel dat de bescherming van de fundamentele rechten en vrijheden van de talrijke betrokkenen prevaleert op het belang van SWIFT om zich niet bloot te stellen aan sancties van de Amerikaanse overheid voor niet-naleving van de dwangbevelen.
4.3.
Verstrekking van duidelijke en volledige informatie over de regeling (art. 10 en 11 van de richtlijn)
Overeenkomstig de artikelen 10 en 11 van de richtlijn moet de voor de verwerking verantwoordelijke de betrokkene informatie verstrekken over het bestaan, de doeleinden en de werkwijze van de gegevensverwerking, de ontvangers van de gegevens en het bestaan van een recht op toegang tot en rectificatie en vernietiging van de gegevens. Alle klanten van financiële instellingen hebben ongeacht hun nationaliteit of land van verblijf het recht om te weten wat er met hun "vertrouwelijke" gegevens gebeurt. De Groep wijst erop dat over de verwerking en mirroring in het verwerkingscentrum in de VS geen dergelijke informatie is verstrekt, noch door SWIFT, noch door de betrokken financiële instellingen. Krachtens artikel 13 van de richtlijn kunnen de lidstaten wettelijke maatregelen treffen ter beperking van de reikwijdte van sommige bij de richtlijn bedoelde rechten en plichten. Zulke beperking moet een noodzakelijk vrijwaringsmaatregel vormen, bijvoorbeeld voor het voorkomen, onderzoeken, opsporen en vervolgen van strafbare
32
Advies van de Belgische GBA, zie voetnoot 8. 21
feiten of in het geval van inbreuken op de ethische code van gereglementeerde beroepen, moet geval per geval worden beoordeeld en is slechts toelaatbaar als de inmenging in de persoonlijke levenssfeer gerechtvaardigd is uit hoofde van artikel 8 EVRM. Een dergelijke algemene, langdurige en grootschalige verwerking zonder enige vorm van informatieverstrekking kan echter nooit aan de voorwaarden van artikel 13 voldoen. 4.4.
Nakoming van de verplichting tot aanmelding (art. 18-20 van de richtlijn)
Voor de verwerking verantwoordelijken moeten de bepalingen van de artikelen 18 tot en met 20 van de richtlijn naleven wat betreft de aanmelding van hun gegevensverwerkingsactiviteiten bij of het voorafgaand onderzoek ervan door de nationale gegevensbeschermingsautoriteiten. In de lidstaten waar zulke procedure is voorgeschreven, kan het zijn dat het gegevensverwerkingsproces voorafgaandelijk door de nationale gegevensbeschermingsautoriteit moet worden onderzocht vanwege de mogelijke consequenties voor de rechten en vrijheden van de betrokkenen. Of zulke procedure al dan niet onder de verplichting van voorafgaandelijk onderzoek valt, is afhankelijk van de nationale wetgeving en van de praktijk van de nationale gegevensbeschermingsautoriteit. De Groep wijst erop dat SWIFT sommige vormen van gegevensverwerking bij de Belgische GBA33 heeft aangemeld, maar niet de verwerking en mirroring van persoonsgegevens in het verwerkingscentrum in de VS voor de uitvoering van internationale betalingsopdrachten, noch het verdere gebruiksdoel daarvan. 4.5.
Toezichtmechanismen
Het is voor de bescherming van personen in verband met de verwerking van persoonsgegevens van wezenlijk belang dat in elke lidstaat onafhankelijke toezichthoudende autoriteiten worden ingesteld. Het beginsel van volledige onafhankelijkheid van de toezichthoudende autoriteiten is neergelegd in artikel 28 van de richtlijn. Als gevolg van de afwezigheid van informatieverstrekking door SWIFT, de financiële instellingen en de "overseers" aan de nationale toezichthoudende autoriteit konden de toezichtmechanismen waarin de richtlijn voorziet ter bescherming van de gegevens niet effectief worden toegepast. De Groep betreurt dat SWIFT of de financiële instellingen voorafgaand aan de verwerking en mirroring van persoonsgegevens in het verwerkingscentrum in de VS geen enkel overleg met de gegevensbeschermingsautoriteiten hebben gepleegd, formeel noch informeel. Naspeuringen door de nationale autoriteiten hebben geleerd dat de door SWIFT voor de doorgifte van haar gegevens naar het UST voor het verdere gebruiksdoel ingestelde controlemechanismen voornamelijk bestonden uit particuliere audits door een consultant en controle door SWIFT-werknemers ("scrutinizers") die uit veiligheidsoverwegingen geen details van bevindingen binnen de onderneming mochten melden. SWIFT heeft 33
Advies van de Belgische GBA, zie voetnoot 8. 22
eveneens vermeld dat het onder toezicht staat van een comité van hoog niveau dat is samengesteld uit vertegenwoordigers van de centrale banken van de G10 en dat het deze toezichthouders van de zaak op de hoogte heeft gebracht. Zonder te ontkennen dat de door SWIFT ingestelde controlemaatregelen kunnen bijdragen tot de veiligheid van de gegevensverwerking, stelt de Groep nadrukkelijk dat geen enkel mechanisme van de voor de verwerking verantwoordelijken de door artikel 28 van de richtlijn voorgeschreven controle door een onafhankelijke openbare toezichthoudende autoriteit kan vervangen. De toezichthoudende groep van de centrale banken van de G10 heeft zich geheel onbevoegd verklaard om eender welke aangelegenheid in verband met de bescherming van persoonsgegevens te onderzoeken. De Groep veroordeelt daarom dat de bestaande mechanismen om de verwerking van persoonsgegevens aan de onafhankelijke controle van de openbare toezichthoudende autoriteiten te onderwerpen, zijn omzeild in het geval van de verwerking van persoonsgegevens bij de SWIFTNet FIN-dienst. 4.6.
Grensoverschrijdende gegevensstromen (art. 25-26 van de richtlijn)
De artikelen 25 en 26 van de richtlijn zijn van toepassing in de gevallen waarin persoonsgegevens aan derde landen worden doorgegeven. Elke doorgifte van binnen de EU verkregen gegevens die bestemd zijn om buiten het grondgebied van de EU te worden gebruikt, moet krachtens de richtlijn aan een beoordeling van de gepastheid van de bescherming worden onderworpen. De bepalingen van de richtlijn over de doorgifte van persoonsgegevens naar derde landen kunnen echter niet los van de andere bepalingen van de richtlijn worden toegepast. Zoals artikel 25, lid 1, uitdrukkelijk bepaalt, gelden deze bepalingen "onverminderd de naleving van de nationale bepalingen die zijn vastgesteld ter uitvoering van de andere bepalingen van deze richtlijn". Dit betekent dat ongeacht op grond van welke bepaling de doorgifte van gegevens naar een derde land ook plaatsvindt, de andere bepalingen van de richtlijn moeten worden nageleefd34. Vanwege de locatie van de SWIFT-verwerkingscentra gaat de normale werking van de SWIFTNet FIN-dienst gepaard met een continue, grootschalige grensoverschrijdende gegevensstroom. De verwerkingscentra zijn geen afzonderlijke juridische entiteiten, maar "succursales" van de coöperatieve vennootschap naar Belgisch recht. Het " storeand-forward"-systeem van de twee verwerkingscentra in Europa en in de VS functioneert als volgt: de berichten worden in de verwerkingscentra automatisch gedecrypteerd, opgeslagen en geforward in een paar milliseconden. Bedoeling is de gestandaardiseerde berichtinhoud te valideren (de juistheid of de aanwezigheid van letters/cijfers in de verplichte velden te controleren, b.v. na te gaan of de juiste valutacode voor de overboeking, b.v. "EUR", is ingevuld). De daarbij verwerkte informatie wordt voor de veiligheid (back-up) gedurende 124 dagen opgeslagen in beide verwerkingscentra, die elkaars volmaakte spiegelbeeld ("mirror") zijn. Er wordt dus gezorgd voor een parallelle opslag van identieke gegevens. Een eerste vereiste voor de wettige verwerking en mirroring van persoonsgegevens in de VS door SWIFT is dat deze gegevens vanuit de EU zijn doorgegeven in
34
Artikel 29 - Werkgroep Werkdocument over een gemeenschappelijke interpretatie van artikel 26, lid 1, van Richtlijn 95/46/EG van 24 oktober 1995 WP 114. 23
overeenstemming met de Belgische wet ter omzetting van de richtlijn, in het bijzonder met de artikelen 25 en 26 betreffende de doorgifte van persoonsgegevens naar derde landen. Bij de beoordeling van de doorgiften door SWIFT naar de Verenigde Staten dient bijgevolg op twee elementen te worden gelet: ten eerste, op de doorgifte (verwerking en mirroring) van persoonsgegevens door SWIFT België naar haar verwerkingscentrum in de VS voor commerciële doeleinden en, ten tweede, op de verdere verwerking van de gegevens voor andere doeleinden door het UST met toestemming van SWIFT. 4.6.1. Passend beschermingsniveau (art. 25, lid 1, van de richtlijn) Het passend karakter van het door een derde land geboden beschermingsniveau wordt volgens artikel 25, lid 2, van de richtlijn "beoordeeld met inachtneming van alle omstandigheden die op de doorgifte van gegevens of op een categorie gegevensdoorgiften van invloed zijn; in het bijzonder wordt rekening gehouden met de aard van de gegevens, met het doeleinde en met de duur van de voorgenomen verwerking of verwerkingen, het land van herkomst en het land van eindbestemming, de algemene en sectoriële rechtsregels die in het betrokken derde land gelden, alsmede de beroepscodes en de veiligheidsmaatregelen die in die landen worden nageleefd.". Gelet op bovenvermelde criteria en op de in werkdocument WP1235 vastgelegde beginselen, is de Groep van oordeel dat in de VS momenteel alleen de "Safe Harbour"regeling een passend beschermingsniveau biedt voor de doorgifte van gegevens van de EU naar organisaties in de VS die zich bij deze regeling hebben aangesloten. Deze regeling heeft echter geen betrekking op financiële diensten36. Als entiteit naar Belgisch recht kon SWIFT zich bijgevolg niet beroepen op artikel 25 van de richtlijn voor de verwerking en mirroring in het verwerkingscentrum in de VS. 4.6.2. Voldoende waarborgen geboden door de ontvanger (art. 26, lid 2, van de richtlijn) Een lidstaat kan volgens artikel 26, lid 2, toestemming geven voor een doorgifte of een categorie doorgiften van persoonsgegevens naar een derde land dat geen waarborgen voor een passend beschermingsniveau biedt, indien de voor de verwerking verantwoordelijke "voldoende waarborgen biedt ten aanzien van de bescherming van de persoonlijke levenssfeer, de fundamentele rechten en vrijheden van personen, alsmede ten aanzien van de uitoefening van de daaraan verbonden rechten". Volgens de laatste zin van artikel 26, lid 2, kunnen deze waarborgen "met name voortvloeien uit passende contractuele bepalingen". Om het gebruik van contractuele bepalingen te vergemakkelijken, heeft de Europese Commissie drie beschikkingen gegeven over modelcontractbepalingen, waarvan er twee de doorgifte van gegevens door een voor de verwerking verantwoordelijke naar een andere voor de verwerking verantwoordelijke regelen en de derde betrekking heeft op de doorgifte van gegevens door een voor de
35
"Doorgifte van persoonsgegevens naar derde landen: toepassing van de artikelen 25 en 26 van de EUrichtlijn betreffende gegevensbescherming", werkdocument dat op 24 juli 1998 door de groep werd aangenomen. http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/1998/wp12_nl.pdf.
36
Zie http://ec.europa.eu/justice_home/fsj/privacy/thridcountries/index_en.htm 24
verwerking verantwoordelijke naar een verwerker37. Naast de mogelijkheid om gebruik te maken van contractbepalingen om voldoende waarborgen te garanderen, heeft de groep zich sinds 2003 ook actief beziggehouden met het mogelijke gebruik van "binding corporate rules", gedragscodes voor multinationals over de verwerking van persoonsgegevens38. In dit geval heeft SWIFT geen gebruik gemaakt van deze mogelijkheden met betrekking tot de verwerking en mirroring in haar verwerkingscentrum in de VS39. 4.6.3. Afwijkingen (art. 26 van de richtlijn) Artikel 26, lid 1, van de richtlijn bepaalt dat doorgifte van persoonsgegevens naar een derde land dat geen waarborgen voor een passend beschermingsniveau biedt, mag plaatsvinden mits is voldaan aan een van de onder a) tot en met f) genoemde en hierna onderzochte voorwaarden. Zoals de Groep eerder in haar hierboven vermelde werkdocument WP1240 stelde, moet artikel 26, lid 1, noodzakelijkerwijs strikt worden geïnterpreteerd. De Groep wijst er in dit verband op dat deze redenering aansluit bij die van het aanvullend protocol bij Overeenkomst 108 van de Raad van Europa. In het verslag over dit protocol staat dat de partijen de vrijheid hebben om afwijkingen vast te stellen van het beginsel van een passend niveau van bescherming. De desbetreffende nationale bepalingen moeten echter wel in overeenstemming zijn met het inherente beginsel van het Europees recht dat uitzonderingsbepalingen restrictief moeten worden geïnterpreteerd zodat de uitzondering niet de regel wordt41. De mogelijke afwijkingen zijn in dit geval als volgt:
37
Voor de doorgifte door een voor de verwerking verantwoordelijke aan een andere voor de verwerking verantwoordelijke heeft de Commissie op 15 juni 2001 een eerste reeks modelcontractbepalingen opgesteld; vervolgens heeft zij deze beschikking gewijzigd om er een nieuwe reeks alternatieve bepalingen aan toe te voegen (beschikking van 27 december 2004). Op 27.december.2001 heeft de Commissie een reeks modelcontractbepalingen opgesteld voor de doorgifte door een voor de verwerking verantwoordelijke aan een verwerker. Al deze bepalingen zijn te vinden op: http://ec.europa.eu/justice_home/fsj/privacy/modelcontracts/index_en.htm.
38
Zie werkdocument WP74, " Applying Article 26(2) of the EU Data Protection Directive to Binding Corporate Rules for International Data Transfers", dat de groep op 3 juni 2003 heeft goedgekeurd en de aanvullende documenten WP107 en WP108.
39
Voor het geval dat SWIFT gebruik zou willen maken van deze mogelijkheden onderstreept de Groep dat afwijkingen van de toepasselijke wettelijke bepalingen inzake gegevensbescherming met het oog op de verdere doorgifte in geen geval verder mogen gaan dan de beperkingen die in een democratische samenleving noodzakelijk worden geacht.
40
Zie voetnoot 35 hierboven.
41
Zie verslag over het aanvullend protocol bij Overeenkomst 108 betreffende toezichthoudende autoriteiten en grensoverschrijdend verkeer van gegevens; artikel 2, lid 2, onder a); dit document is te vinden op: http://conventions.coe.int/Treaty/EN/Reports/Html/181.htm 25
4.6.3.1. Toestemming van de betrokkene (art. 26, lid 1, onder a), van de richtlijn) Opdat rechtmatig aanspraak kan worden gemaakt op deze afwijking moet de betrokkene daarvoor zijn ondubbelzinnige toestemming hebben gegeven. Zoals de groep al in werkdocument WP12 heeft aangegeven, moet het bij deze toestemming, ongeacht de omstandigheden waarin zij wordt gegeven, gaan om een vrije, specifieke en op informatie berustende wilsuiting, zoals bedoeld in artikel 2, onder h) van de richtlijn42. De betrokkene moet in kennis worden gesteld van de doorgifte naar een derde land dat geen passend beschermingsniveau waarborgt of onvoldoende waarborgen biedt, en kan dan met kennis van zaken beslissen of hij/zij het risico aanvaardt of niet. SWIFT heeft niet de ondubbelzinnige toestemming van de betrokkenen verkregen voor de verwerking en mirroring van persoonsgegevens in het verwerkingscentrum in de VS en kan zich daarom niet beroepen op artikel 26, lid 1, onder a), van de richtlijn. 4.6.3.2. Doorgifte is noodzakelijk voor de uitvoering van een overeenkomst tussen de betrokkene en de voor de verwerking verantwoordelijke of voor de uitvoering van op verzoek van de betrokkene genomen precontractuele maatregelen (art. 26, lid 1, onder b) van de richtlijn) Deze uitzondering houdt in dat de doorgegeven gegevens werkelijk noodzakelijk moeten zijn voor de uitvoering van de overeenkomst of de precontractuele maatregelen. De Groep is daarom van oordeel dat deze voorwaarde niet geldig is voor de doorgiften van gegevens door SWIFT naar het verwerkingscentrum in de VS, aangezien SWIFT geen directe contractuele relatie met de individuele betrokkene heeft. Deze afwijking kan evenmin worden toegepast voor de doorgifte van aanvullende informatie die niet noodzakelijk is voor het doel van de doorgifte, of op doorgiften voor een ander doel dan de uitvoering van de overeenkomst. Meer in het algemeen gesproken, laten de afwijkingen van artikel 26, lid 1, onder b) tot e) alleen toe dat gegevens die noodzakelijk zijn voor het doel van de doorgifte worden doorgegeven op basis van de afzonderlijke afwijkingen; voor aanvullende gegevens moet op een andere manier worden aangetoond dat sprake is van passende waarborgen. 4.6.3.3. Doorgifte is noodzakelijk voor de sluiting of de uitvoering van een in het belang van de betrokkene tussen de voor de verwerking verantwoordelijke en een derde gesloten of te sluiten overeenkomst (art. 26, lid 1, onder c) van de richtlijn) Zoals in het geval van de afwijking waarin artikel 26, lid 1, onder b), voorziet, valt de doorgifte van gegevens naar een derde land dat geen passende bescherming waarborgt, alleen onder de afwijking van artikel 26, lid 1, onder c) indien de doorgifte werkelijk "noodzakelijk is voor de sluiting of de uitvoering van een in het belang van de betrokkene gesloten overeenkomst tussen de verantwoordelijke voor de verwerking en een derde", en de bijbehorende "noodzakelijkheidstoets" doorstaat. Daartoe moet er een
42
Artikel 29 - Werkgroep Werkdocument over een gemeenschappelijke interpretatie van artikel 26, lid 1, van Richtlijn 95/46/EG van 24 oktober 1995 WP 114. 26
nauw en wezenlijk verband bestaan tussen het belang van de betrokkene en het doel van de overeenkomst43. De Groep is van oordeel dat deze voorwaarde niet geldig is voor de doorgiften van gegevens door SWIFT naar het verwerkingscentrum in de VS. 4.6.3.4. Doorgifte is noodzakelijk of wettelijk verplicht vanwege zwaarwegend algemeen belang of voor de vaststelling, de uitoefening of de verdediging van een recht in rechte (art. 26, lid 1, onder d), van de richtlijn) SWIFT heeft aangevoerd dat het mirroren van gegevens in de beide verwerkingscentra wordt beschouwd als een kritieke schakel in het globale financiële systeem en dat deze werkwijze door de toezichthouders (centrale banken van de G10) was voorgesteld omwille van de veiligheid en betrouwbaarheid, en dat de SWIFT-infrastructuur wordt geacht van kritiek belang voor het globale financiële systeem te zijn. Volgens SWIFT rechtvaardigt dit de doorgifte op grond van artikel 26, lid 1, onder d), van de richtlijn. De Groep kan deze interpretatie niet delen. Zelfs als vast zou komen te staan dat internationale mirroring (buiten het Europese continent) "noodzakelijk of wettelijk verplicht is vanwege een zwaarwegend algemeen belang" in de zin van artikel 26, lid 1, onder d), van de richtlijn, dan is het altijd nog mogelijk de verwerkte gegevens buiten de EU of de EER te mirroren in een land dat een passend niveau van bescherming waarborgt. De Groep verwijst naar landen zoals Argentinië44 of Canada45, die volgens beschikkingen van de Europese Commissie aan de voorwaarden van de richtlijn voldoen. Het mirroren van data in een land buiten de EU dat geen passend beschermingsniveau waarborgt, was niet noodzakelijk en kan niet worden gerechtvaardigd met artikel 26, lid 1, onder d). Bovendien zijn via het SWIFT-netwerk voor internationale geldoverboekingen aan de hand van de BIC- of "SWIFT"-code, en in de VS gemirrorde, verzamelde en verwerkte persoonsgegevens vanaf eind 2001 aan het UST verstrekt op grond van Amerikaanse dwangbevelen. Volledige traceerbaarheid van geldstromen kan een bijzonder belangrijk en waardevol hulpmiddel zijn bij het voorkomen, onderzoeken, opsporen en vervolgen van het witwassen van geld en de financiering van terrorisme, en is het voorwerp van Europese regelgeving46.
43
Artikel 29 - Werkgroep Werkdocument over een gemeenschappelijke interpretatie van artikel 26, lid 1, van Richtlijn 95/46/EG van 24 oktober 1995 WP 114.
44
Beschikking C(2003) 1731 van de Commissie van 30 juni 2003, PB L 168 van 5.7.2003.
45
Beschikking van de Commissie van 20 december 2001 betreffende de gepastheid van de bescherming van persoonsgegevens geboden door de Canadese Personal Information Protection and Electronic Documents Act. PB L 2/13 van 4.1.2002.
46
B.v. Verordening van het Europees Parlement en de Raad betreffende bij geldoverdrachten te voegen informatie over de betaler, goedgekeurd op 8 november 2006, nog niet gepubliceerd; oorspronkelijk voorstel van de Commissie: COM(2005) 343. 27
De Groep erkent dat het bestrijden van terrorisme een rechtmatig doel is van democratische samenlevingen ter vrijwaring van de veiligheid van de staat en dat daarvoor maatregelen nodig kunnen zijn die het fundamenteel recht van personen op bescherming van hun gegevens inperken. De Groep benadrukt dat hij dit volkomen onderschrijft. Anderzijds vindt de Groep dat internationale instrumenten een passend wettelijk kader vormen dat internationale samenwerking mogelijk maakt. De Groep is van oordeel dat de mogelijkheden die momenteel al worden geboden door vormen van internationale samenwerking voor de bestrijding van en het speurwerk naar terroristische activiteiten moeten worden benut, met waarborging van het vereiste niveau van bescherming van de fundamentele rechten. De Groep wijst er niettemin op dat artikel 26, lid 1, onder d), van de richtlijn evenmin geldt aangezien de doorgifte niet noodzakelijk is of wettelijk verplicht is vanwege een zwaarwegend algemeen belang van een EU-lidstaat (België). Op dit punt hadden de opstellers van de richtlijn uiteraard alleen zwaarwegende openbare belangen voor ogen in de zin van de nationale wetgeving van toepassing op in de EU gevestigde voor de verwerking verantwoordelijken. Elke andere interpretatie zou het voor een buitenlandse instantie gemakkelijk maken de in de richtlijn gestelde voorwaarde van passende bescherming in het ontvangende land, te omzeilen. 4.6.3.5. Doorgifte is noodzakelijk ter vrijwaring van het vitale belang van de betrokkene (art. 26, lid 1, onder e) van de richtlijn) Deze afwijking betreft de doorgifte die noodzakelijk is ter vrijwaring van het vitale belang van de betrokkene en, als het om gezondheidsgegevens gaat, die noodzakelijk is voor een essentiële diagnose. Men kan er zich bijgevolg niet op beroepen om de doorgifte van persoonlijke medische gegevens voor een doel zoals algemeen medisch onderzoek te rechtvaardigen47. SWIFT heeft er zich niet op beroepen dat de doorgifte voor verwerking en mirroring in het verwerkingscentrum in de VS noodzakelijk is ter vrijwaring van de vitale belangen van de betrokkenen. De Groep vindt dat deze afwijking in casu volkomen irrelevant is. Artikel 26, lid 1, onder e), van de richtlijn is geen valabel argument. 4.6.4. Bevindingen SWIFT had artikel 26, lid 2, van de richtlijn als grond kunnen aanvoeren om persoonsgegevens op wettige wijze naar haar verwerkingscentrum in de VS door te geven. SWIFT besloot echter om persoonsgegevens door te geven zonder dat zij aan de geldende wettelijke voorschriften van België voor dergelijke internationale doorgiften had voldaan. SWIFT kan zich niet op de andere bij artikel 26 van de richtlijn voorziene afwijkingen beroepen. Wat de verwerking en mirroring in de VS betreft, is het zo dat zelfs die bewerkingen voor commerciële doeleinden niet legaal hebben plaatsgevonden. De continue
47
Werkdocument over een gemeenschappelijke interpretatie van artikel 26, lid 1, van Richtlijn 95/46/EG van 24 oktober 1995; http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2005/wp114_en.pdf. 28
verwerking en mirroring gaan, gelet op het verdere - onverenigbare – gebruiksdoel en op de schaal waarop dit gebeurt, verder dan hetgeen in een democratische samenleving noodzakelijk is en staan in de weg dat SWIFT verder nog persoonsgegevens naar de VS doorgeeft. 5.
CONCLUSIES:
Rekening houdende met hetgeen voorafgaat is de Groep van oordeel dat: 5.1.
de Europese gegevensbeschermingsrichtlijn 95/46/EG van toepassing is op de uitwisseling van persoonsgegevens via de dienst SWIFTNet FIN;
5.2.
SWIFT en de financiële instellingen uit het oogpunt van de richtlijn gezamenlijk verantwoordelijk zijn voor de verwerking van persoonsgegevens via de dienst SWIFTNet FIN, waarbij SWIFT hoofdverantwoordelijke is en de financiële instellingen medeverantwoordelijk zijn voor de verwerking van de persoonsgegevens van hun klanten;
5.3.
SWIFT en de financiële instellingen in de EU de bepalingen van de richtlijn niet hebben nageleefd: 5.3.1. SWIFT: wat de verwerking en mirroring van persoonsgegevens in het kader van de dienst SWIFTNet FIN betreft, dient SWIFT als voor de verwerking verantwoordelijke de uit hoofde van de richtlijn op haar rustende verplichtingen na te komen, namelijk de verplichting om informatie te verstrekken, de verplichting om de verwerking aan te melden en de verplichting om een passend niveau van bescherming te waarborgen voor de internationale doorgifte van persoonsgegevens; 5.3.2. Financiële instellingen: de financiële instellingen in de EU hebben als voor de verwerking verantwoordelijken ter waarborging van de bescherming van hun klanten de wettelijke plicht ervoor te zorgen dat SWIFT zich volledig aan de wet houdt, in het bijzonder aan de gegevensbeschermingswet. De financiële instellingen worden geacht voldoende kennis te hebben van de verschillende betalingssystemen, van de technische en juridische kenmerken en van de eraan verbonden risico's. Financiële instellingen die geen (of onvoldoende) inspanning leveren om die kennis te verwerven, verzuimen hun fundamentele zorgvuldigheidsplicht en stellen zich bloot aan belangrijke juridische en klantenrisico's. Wat in het bijzonder sommige diensten betreft, zoals SWIFTNet FIN, die grootschalige doorgiften behelzen naar landen zonder een passend beschermingsniveau in de zin van de richtlijn of waarbij het waarschijnlijk is dat de doorgifte tot specifieke privacybekommernissen of –risico's aanleiding geeft, vindt de Groep het essentieel dat de klanten in overeenstemming met de transparantievoorschriften van de richtlijn individueel door de zakelijke dienstverstrekker, zijnde de financiële instelling, worden geïnformeerd; 29
5.4.
het ontbreken van transparantie en van passende effectieve controlemechanismen in het hele proces van doorgifte van persoonsgegevens, in eerste instantie naar de VS en vervolgens naar het UST, een ernstige inbreuk vormt op de bepalingen van de richtlijn. Bovendien zijn de bij de richtlijn voor de doorgifte van gegevens naar derde landen vereiste waarborgen niet aanwezig en zijn de beginselen van proportionaliteit en noodzakelijkheid niet geëerbiedigd. De Groep vindt dat de heimelijke, systematische, massale en langdurige doorgifte van persoonsgegevens door SWIFT aan het UST op vertrouwelijke, niet-doorzichtige en systematische manier gedurende jaren zonder gerechtvaardigde grondslag en zonder dat een openbare toezichthoudende autoriteit onafhankelijk toezicht kon uitoefenen, een schending van fundamentele Europese beginselen op het gebied van gegevensbescherming vormt en in strijd is met de Belgische en de Europese wetgeving. Voor de bestrijding van terrorisme bestaat op internationaal vlak reeds een passend kader. De bestaande mogelijkheden moeten worden benut, met waarborging van het vereiste niveau van bescherming van de fundamentele rechten;
5.5.
6.
nogmaals48 moet worden benadrukt dat democratische samenlevingen vastberaden zijn de eerbiediging van de fundamentele rechten en vrijheden van het individu te waarborgen. Het recht van het individu op bescherming van de hem betreffende persoonsgegevens is één van die fundamentele rechten en vrijheden49. De richtlijnen van de Gemeenschap betreffende de bescherming van persoonsgegevens (Richtlijnen 95/46/EG en 2002/58/EG) zijn een uiting van die vastberadenheid. Deze richtlijnen hebben tot doel de eerbiediging van de fundamentele rechten en vrijheden te waarborgen, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer in verband met de verwerking van persoonsgegevens en bij te dragen tot de eerbiediging van de rechten die beschermd worden door artikel 8 van het Europees Verdrag voor de Rechten van de Mens en artikel 8 van het EUHandvest van de grondrechten. Al deze instrumenten voorzien ter bestrijding van criminaliteit in uitzonderingen die aan specifieke voorwaarden gebonden zijn.
ONMIDDELLIJK TE NEMEN MAATREGELEN TER VERBETERING VAN DE SITUATIE:
Gelet op hetgeen voorafgaat verzoekt de Groep dat onmiddellijk de volgende maatregelen worden genomen om de huidige situatie te verbeteren: 6.1.
Stopzetting van de inbreuken: SWIFT en de financiële instellingen dienen hun wettelijke verplichtingen uit hoofde van de nationale en Europese wetgeving na te komen. Dit omvat het nemen van maatregelen om ervoor te
48
Advies 10/2001 van de Groep: de noodzaak van een evenwichtige benadering in de bestrijding van terrorisme; http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/wpdocs/2001_en.htm .
49
Zie in het bijzonder art. 8 van het Handvest van de grondrechten van de Europese Unie en de uitspraken van het Europees Hof voor de Rechten van de Mens in de zaken "Aman" van 16 februari 2000 en "Rotaru" van 4 mei 2000. 30
zorgen dat doorgiften van persoonsgegevens in overeenstemming met de wet geschieden. Bij niet-naleving mogen de voor de verwerking verantwoordelijken de bij de richtlijn en de nationale wetgeving voorziene dwingende sancties van de bevoegde autoriteiten tegemoet zien. 6.2.
Gegevensverwerking met eerbiediging van de wet: De Groep roept SWIFT en de financiële instellingen op onverwijld maatregelen te nemen om de huidige illegale situatie te verhelpen en de omstandigheden te scheppen waarin internationale geldoverboekingen geheel in overeenstemming met de gegevensbeschermingswetgeving kunnen geschieden. De Groep verheugt zich erover dat sommige gegevensbeschermingsautoriteiten nu reeds van de financiële instellingen eisen dat zij zonder uitstel met een oplossing komen.
6.3.
Acties van de kant van SWIFT: SWIFT moet wat betreft al haar gegevensverwerkende activiteiten als voor de verwerking verantwoordelijke de noodzakelijke maatregelen nemen om de verplichtingen die uit hoofde van de Belgische gegevensbeschermingswet ter omzetting van de richtlijn op haar rusten, na te komen.
6.4.
Acties van de kant van de centrale banken: De huidige situatie vraagt om een verduidelijking van het toezicht op SWIFT. De Groep beveelt aan dat passende oplossingen worden uitgewerkt om controle op de naleving van met name de gegevensbeschermingsregels binnen de toezichtssfeer te brengen, zonder dat afbreuk wordt gedaan aan de bevoegdheden van de nationale toezichthouders voor gegevensbescherming, alsook om te waarborgen dat de bevoegde autoriteiten naar behoren en tijdig worden geïnformeerd. De Groep is van mening dat de niet-naleving van de gegevensbeschermingswetgeving het vertrouwen van de consumenten in het bankwezen kunnen aantasten en bijgevolg ook de financiële stabiliteit van het betalingssysteem ("risico van reputatieschade"). Men mag zich in geval van mogelijke schending van grondwettelijke of mensenrechten niet beroepen op wettelijke beletsels zoals de plicht tot geheimhouding van de toezichthouders, die zouden kunnen worden gebruikt als argument om de controle door de onafhankelijke gegevensbeschermingsautoriteiten aan banden te leggen.
6.5.
Acties van de kant van de financiële instellingen: Alle financiële instellingen in de EU die gebruik maken van de dienst SWIFTNet FIN, met inbegrip van de centrale banken, dienen er overeenkomstig de artikelen 10 en 11 van Richtlijn 95/46/EG voor te zorgen dat hun klanten naar behoren worden geïnformeerd over de verwerking van hun persoonsgegevens en over de rechten van de betrokkenen. Zij dienen eveneens informatie te verstrekken over het feit dat de Amerikaanse overheid toegang heeft tot de gegevens. De toezichthoudende autoriteiten voor gegevensbescherming zien toe op de naleving van deze voorschriften, teneinde te waarborgen dat alle financiële instellingen in Europa zich eraan houden en verlenen hun medewerking aan het opstellen van geharmoniseerde informatienota's. De Groep herinnert in dit verband aan zijn advies betreffende geharmoniseerde
31
bepalingen inzake informatieverstrekking50. Het lijkt ook dienstig dat financiële instellingen en centrale banken zich beraden op alternatieve technische oplossingen voor de momenteel toegepaste procedures en zich daarbij door de beginselen van de richtlijn laten leiden. De Groep wenst eveneens het volgende te benadrukken: 6.6.
Eerbiediging van onze fundamentele waarden in de strijd tegen criminaliteit: De Groep herinnert eraan dat maatregelen die in het kader van de strijd tegen criminaliteit en terrorisme worden genomen, niet tot doel of tot gevolg mogen hebben dat afbreuk wordt gedaan aan het niveau van beschermng van de fundamentele rechten die kenmerkend zijn voor democratische samenlevingen. Een essentieel onderdeel van de strijd tegen terrorisme is het waarborgen van de eerbiediging van de fundamentele rechten en waarden waarop democratische samenlevingen zijn gestoeld en waaraan degenen die geweld propageren precies afbreuk willen doen.
6.7.
Internationale gegevensbeschermingsbeginselen: De Groep vindt het van wezenlijk belang dat de beginselen ter bescherming van persoonsgegevens, met inbegrip van het beginsel van controle door onafhankelijke instanties, volkomen worden geëerbiedigd in het raam van internationale informatieuitwisselingssystemen.
De Groep gegevensbescherming artikel 29 zal de ontwikkelingen met betrekking tot het voorafgaande op de voet volgen.
Gedaan te Brussel, 22 november 2006
Voor de Groep De voorzitter Peter Schaar
50
"Advies over meer geharmoniseerde bepalingen inzake informatieverstrekking" van de Groep van 25 november 2004. WP 100: http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2004/wp100_en.pdf. 32