SWIFT

PERSBERICHT M.B.T. HET ADVIES BETREFFENDE DE DOORGIFTE VAN PERSOONSGEGEVENS DOOR DE CVBA SWIFT INGEVOLGE DE DWANGBEVELEN VAN DE UST (OFAC)

De Commissie voor de bescherming van de persoonlijke levenssfeer bracht op vraag van het College Inlichtingen en Veiligheid het volgend advies uit met betrekking tot de rol van SWIFT bij de doorgifte van persoonsgegevens aan de US Departement of the Treasury (UST). Dit is onder meer gesteund op de Belgische Privacywet, openbare informatie over SWIFT, opgevraagde documentatie van SWIFT en elementen uit herhaalde bevragingen. De Commissie pleegde overleg met de Europese groep voor de bescherming van personen in verband met de verwerking van persoonsgegevens, opgericht op basis van artikel 29 van de richtlijn 95/46/EG (hierna de "Groep 29"). De groep 29 verklaarde alvast dat zij het als haar prioriteit beschouwt om de Europese dataprotectierechten te handhaven en wees ook op het gebrek aan transparantie van de onderhandelingen met de UST, meer bepaald de Office of Foreign Assets Control (OFAC). + + + 1. Inleiding Het onderzoek van de Commissie richtte zich op de verwerking van persoonsgegevens via de dienst SWIFTNet FIN en op de rol van SWIFT bij de doorgifte van persoonsgegevens aan de UST. Dit onderzoek is dus niet gericht op verwerkingen in het kader van de normale administratie van een onderneming (waarvoor SWIFT de nodige aangiften heeft verricht bij de Commissie). De vraag of de (Belgische) financiële instellingen inbreuk pleegden op de Belgische privacywet valt buiten het voorwerp van dit advies. + + + 2. De feiten SWIFT verleent aan haar klanten (ongeveer 7800 financiële instellingen) geautomatiseerde diensten die in essentie bestaan uit de transmissie van financiële boodschappen tussen financiële instellingen wereldwijd. SWIFT is zelf geen financiële instelling. SWIFT heeft twee verwerkingscentra, één in Europa en één in de VS, die de via SWIFT verwerkte transactieboodschappen gedurende 124 dagen stockeren. De SWIFTNet Fin dienst maakt het mogelijk boodschappen te sturen betreffende financiële transacties tussen financiële instellingen. Na de aanslagen in september 2001 richtte de UST meerdere dwangbevelen aan het filiaal SWIFT in de VS. De toepassing daarvan is zeer breed vanuit een materieel, territoriaal en tijdstandpunt. Het gaat om niet-geïndividualiseerde en massale opvragingen door de UST van informatie over (onder meer) Europese financiële transacties. Uit de verificaties van de Commissie blijkt meer bepaald dat in het ophalingsproces voor de UST een onderscheid werd gemaakt tussen twee trappen; enerzijds het bewaren van de onder de dwangbevelen aangeleverde boodschappen in een zwarte doos en anderzijds het effectief bekijken van boodschappen in de zwarte doos door de UST na uitoefening van zoekopdrachten teneinde terrorisme te bestrijden. Na verificatie van de dwangbevelen nam SWIFT beslissingen over de naleving van de dwangbevelen. SWIFT informeerde ook haar toezichtcomité waaronder de Nationale Bank van België (NBB), die echter oordeelde niet bevoegd te zijn om de naleving door SWIFT van de opeenvolgende bevelschriften van UST te beoordelen omdat dit buiten de toezichtbevoegdheid valt. + + + 3. De toepasselijkheid van de Belgische Privacy-wet De Commissie is van oordeel dat de Belgische privacywet van toepassing is op de gegevensuitwisseling via de dienst SWIFTNet FIN. Het gaat over transacties waarbij Belgische particulieren kunnen betrokken zijn via de internationale betalingsopdrachten die zij aan hun bank toevertrouwen. SWIFT heeft in België (La Hulpe) ook haar hoofdzetel. + + + 4. De vraag of SWIFT en de financiële instellingen "verantwoordelijke voor de verwerking" zijn Vraag is of SWIFT louter een verwerker is, bijvoorbeeld als postdienst, dan wel een verantwoordelijke voor de verwerking van persoonsgegevens via haar dienst SWIFTNet FIN. De Commissie is van oordeel dat - SWIFT een verantwoordelijke is voor de verwerking van persoonsgegevens die via de dienst SWIFTNet FIN worden verwerkt; De Commissie overweegt onder meer dat SWIFT een internationaal coöperatief netwerk is met een sterk centraal beheer dat een dienst aan meerdere duizenden financiële instellingen aanbiedt. Deze situatie is niet te vergelijken met deze van een eenvoudig dienstenconcept waarbij één enkele professionele aanbieder persoonsgegevens verwerkt ten aanzien van één professionele of niet-professionele tegenpartij. SWIFT neemt beslissingen, die verder gaan dan de normale en wettelijk afgebakende "manoeuvreerruimte" binnen dewelke een normale verwerker kan beslissen; SWIFT is ook duidelijk een verantwoordelijke omdat zij alle cruciale beslissingen nam over de mededeling van gegevens aan de UST, en deed dit zonder medeweten van haar 7800 klanten. - de financiële instellingen verantwoordelijk zijn gezien zij, in het interbancaire verkeer, mede het doel van en de middelen bepalen voor de uitvoering van de betalingsopdrachten. + + + 5. Het onderzoek naar mogelijke schendingen van de Belgische privacywet Er bestaan fundamentele verschillen tussen de EU en VS wat betreft de wetgevingen en beginselen die de verwerkingen van persoonsgegevens reglementeren, het beschermingsniveau is veel hoger in Europa. De Commissie is hierbij van oordeel dat: - wat de normale verwerking van persoonsgegevens in het kader van de dienst SWIFTNet Fin betreft: SWIFT had haar verplichtingen onder de Belgische privacywet dienen na te leven, waaronder de aangifteplicht, de informatieplicht, en de verplichting om de bepalingen inzake doorgifte van persoonsgegevens naar landen buiten de Europese Unie na te leven - wat de mededeling van persoonsgegevens aan de UST betreft, SWIFT bevindt zich in een conflictsituatie tussen Amerikaans en Europees recht. Alhoewel SWIFT wel aanzienlijke inspanningen heeft gedaan om via onderhandelingen met de UST een aantal waarborgen te voorzien, beging SWIFT toch een aantal inschattingsfouten bij de uitvoering van de Amerikaanse dwangbevelen. SWIFT had van bij het begin bewust dienen te zijn van het feit dat, naast de toepassing van het Amerikaans recht, ook de fundamentele beginselen onder Europees recht dienen te worden nageleefd, zoals het proportionaliteitsbeginsel, de beperkte bewaringstermijn, het transparantiebeginsel, de vereiste van onafhankelijke controle en de vereiste van een passend beschermingsniveau. + + + 6. Besluit De Regering is ervan overtuigd dat dit dossier alle lidstaten van de Europese Unie aanbelangt, in de mate waarin het duidt op een conflict tussen rechtsstelsels dat dient te worden opgelost binnen het kader van een zo ruim mogelijk overleg met de Verenigde Staten. De Regering zal de nodige contacten leggen met de Europese partners om de mogelijke oplossingen snel te onderzoeken en zo de strijd tegen de financiering van het terrorisme te kunnen verzoenen met de noodzakelijke naleving van de waarborgen inzake de bescherming van de private levenssfeer van burgers ten aanzien van de Europese regels.