Οµάδα Προστασίας βάσει του άρθρου 29

Οµάδα Προστασίας βάσει του άρθρου 29 01935/06/EL WP128 Γνώµη 10/2006 σχετικά µε την επεξεργασία δεδοµένων προσωπικού χαρακτήρα από την Παγκόσµια Εταιρεία ιατραπεζικών Χρηµατοπιστωτικών Τηλεπικοινωνιών (SWIFT) της 22ας Νοεµβρίου 2006 Αυτή η οµάδα προστασίας έχει συσταθεί βάσει του άρθρου 29 της οδηγίας 95/46/ΕΚ. Η οµάδα είναι ένας ανεξάρτητος ευρωπαϊκός συµβουλευτικός φορέας και ασχολείται µε την προστασία δεδοµένων προσωπικού χαρακτήρα και της ιδιωτικής ζωής. Τα καθήκοντα της οµάδας περιγράφονται στο άρθρο 30 της οδηγίας 95/46/ΕΚ και το άρθρο της οδηγίας 2002/58/ΕΚ. Χρέη γραµµατείας της οµάδας ασκεί η διεύθυνση Γ (Αστική ικαιοσύνη, ικαιώµατα και Ιθαγένεια) της Ευρωπαϊκής Επιτροπής, Γενική ιεύθυνση ικαιοσύνη, Ελευθερία και Ασφάλεια, B-1049 Brussels, Belgium, Office No LX-46 01/43. ικτυακος τόπος: http://ec.europa.eu/justice_home/fsj/privacy/index_en.htm

Σύνοψη Η παρούσα γνώµη της Οµάδας Προστασίας του άρθρου 29 περιέχει τα πορίσµατα σχετικά µε την επεξεργασία δεδοµένων προσωπικού χαρακτήρα από την Παγκόσµια Εταιρεία ιατραπεζικών Χρηµατοπιστωτικών Τηλεπικοινωνιών (SWIFT). Σε αυτό το πλαίσιο, η οµάδα προστασίας του άρθρου 29 επισηµαίνει ότι τα θεµελιώδη δικαιώµατα πρέπει να διασφαλίζονται ακόµη και στο πλαίσιο της καταπολέµησης της τροµοκρατίας και του εγκλήµατος. Για το λόγο αυτό επιµένει ότι πρέπει να τηρούνται όλοι οι κανόνες προστασίας των δεδοµένων. Η SWIFT είναι µια παγκόσµια υπηρεσία ανταλλαγής µηνυµάτων χρηµατοοικονοµικού περιεχοµένου που διευκολύνει τις διεθνείς µεταφορές χρηµατικών ποσών. Η SWIFT αποθηκεύει όλα τα µηνύµατα για διάστηµα 124 ηµερών σε δύο επιχειρησιακά κέντρα, ένα στην ΕΕ και ένα στις ΗΠΑ, µε µια µορφή επεξεργασίας δεδοµένων η οποία στο παρόν έγγραφο αποδίδεται µε τον όρο «ακριβής αναπαραγωγή». Τα µηνύµατα περιέχουν δεδοµένα προσωπικού χαρακτήρα, όπως τα ονοµατεπώνυµα του εντολέα και του δικαιούχου. Μετά τις τροµοκρατικές επιθέσεις του Σεπτεµβρίου του 2001 το Υπουργείο Οικονοµικών των Ηνωµένων Πολιτειών ("UST"), εξέδωσε κλήσεις (subpoenas) ζητώντας από τη SWIFT να της παράσχει πρόσβαση σε πληροφορίες µηνυµάτων που διατηρούνται στις ΗΠΑ. Η SWIFT συµµορφώθηκε µε αυτές τις κλήσεις, αν και τέθηκαν ορισµένοι περιορισµοί στην πρόσβαση του UST, µετά από διαπραγµάτευση. Το θέµα δηµοσιοποιήθηκε, όταν αποκαλύφθηκε στον Τύπο στα τέλη Ιουνίου και αρχές Ιουλίου του 2006. Ως εταιρεία µε έδρα το Βέλγιο, η SWIFT υπόκειται στο βελγικό νόµο περί προστασίας των δεδοµένων προσωπικού χαρακτήρα ο οποίος εφαρµόζει την οδηγία 95/46/ΕΚ της ΕΕ για την προστασία των δεδοµένων προσωπικού χαρακτήρα («η Οδηγία»). Τα χρηµατοπιστωτικά ιδρύµατα της ΕΕ που χρησιµοποιούν τις υπηρεσία της SWIFT υπόκεινται στους νόµους περί προστασίας των δεδοµένων προσωπικού χαρακτήρα οι οποίοι εφαρµόζουν την Οδηγία στα κράτη µέλη στα οποία οι οργανισµοί αυτοί είναι εγκατεστηµένοι. Η οµάδα προστασίας συµπεραίνει ότι: - Τόσο η SWIFT όσο και τα χρηµατοπιστωτικά ιδρύµατα εντολείς είναι από κοινού υπεύθυνα, αν και σε διαφορετικό βαθµό, για την επεξεργασία δεδοµένων προσωπικού χαρακτήρα µε την ιδιότητα του «υπευθύνου της επεξεργασίας» κατά την έννοια του άρθρου 2, στοιχείο δ) της Οδηγίας. - Η συνεχιζόµενη επεξεργασία δεδοµένων προσωπικού χαρακτήρα, δεδοµένης της ευρείας κλίµακας των κλήσεων του UST, συνιστά έναν πρόσθετο σκοπό ο οποίος δεν συµβιβάζεται µε τον αρχικό εµπορικό σκοπό για τον οποίο συνελέγησαν τα δεδοµένα προσωπικού χαρακτήρα, κατά την έννοια του άρθρου 6, παράγραφος 1, στοιχείο β) της Οδηγίας. - Ούτε η SWIFT, ούτε τα χρηµατοπιστωτικά ιδρύµατα της ΕΕ έχουν ενηµερώσει τους ενδιαφερόµενους για την επεξεργασία των προσωπικών τους δεδοµένων και ιδίως ότι αυτά διαβιβάζονται στις ΗΠΑ, όπως απαιτούν τα άρθρα 10 και 11 της Οδηγίας. - Τα µέτρα ελέγχου που έχει θέσει σε εφαρµογή η SWIFT, ιδίως όσον αφορά την πρόσβαση του UST στα δεδοµένα, δεν υποκαθιστούν κατά κανένα τρόπο τον ανεξάρτητο έλεγχο που θα µπορούσε να διενεργηθεί από τις αρχές ελέγχου οι οποίες έχουν συσταθεί βάσει του άρθρου 28 της Οδηγίας. - Όσον αφορά τη διαβίβαση των δεδοµένων στο επιχειρησιακό κέντρο των ΗΠΑ, η SWIFT δεν µπορεί να επικαλεστεί το άρθρο 25 της Οδηγίας για να νοµιµοποιήσει την επεξεργασία των δεδοµένων. - Καµία από τις παρεκκλίσεις του άρθρου 26, παράγραφος 1 της Οδηγίας δεν εφαρµόζεται στην επεξεργασία δεδοµένων στις ΗΠΑ. - Η SWIFT δεν έκανε χρήση των προβλεπόµενων από το άρθρο 26, παράγραφος 2 της Οδηγίας µέσων για να λάβει έγκριση της βελγικής αρχής ελέγχου να προβεί στις

εργασίες επεξεργασίας δεδοµένων προσωπικού χαρακτήρα. - Η οµάδα προστασίας του άρθρου 29 καλεί τη SWIFT και τα χρηµατοπιστωτικά ιδρύµατα να λάβουν άµεσα διορθωτικά µέσα µε στόχο να επανορθώσουν το παράνοµο καθεστώς που εφαρµόζουν σήµερα. - Επιπλέον η οµάδα προστασίας του άρθρου 29 ζητεί διευκρινίσεις για την εποπτεία στη SWIFT. Η οµάδα εργασίας του άρθρου 29 θα παρακολουθεί και θα ελέγχει την τήρηση όλων των προαναφεροµένων. 3

ΠΙΝΑΚΑΣ ΠΕΡΙΕΧΟΜΕΝΩΝ 1. ΠΛΑΙΣΙΟ...6 1.1. Το ιστορικό...6 1.2. Τα πραγµατικά περιστατικά...9 1.2.1. Οι δραστηριότητες επεξεργασίας δεδοµένων από την SWIFT σε αριθµούς...9 1.2.2. Κατηγορίες δεδοµένων που υποβάλλονται σε επεξεργασία...9 1.2.3. Κλήσεις από το UST...9 2. ΕΦΑΡΜΟΓΗ ΤΟΥ ΝΟΜΟΘΕΤΙΚΟΥ ΠΛΑΙΣΙΟΥ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΤΩΝ Ε ΟΜΕΝΩΝ...10 2.1. Εφαρµογή της οδηγίας 95/46/ΕΚ...10 2.2. Ο νόµος που εφαρµόζεται στην περίπτωση της SWIFT...11 2.3. Ο νόµος που εφαρµόζεται στα χρηµατοπιστωτικά ιδρύµατα...11 3. Η ΑΠΟΣΤΟΛΗ ΤΗΣ SWIFT ΚΑΙ ΤΩΝ ΧΡΗΜΑΤΟΠΙΣΤΩΤΙΚΩΝ Ι ΡΥΜΑΤΩΝ...12 3.1. Ο ρόλος της SWIFT...12 3.2. Ο ρόλος των χρηµατοπιστωτικών ιδρυµάτων...14 3.3. Ο ρόλος των κεντρικών τραπεζών...16 4. ΕΚΤΙΜΗΣΗ ΤΗΣ ΣΥΜΜΟΡΦΩΣΗΣ ΜΕ ΤΙΣ ΙΑΤΑΞΕΙΣ ΠΕΡΙ ΠΡΟΣΤΑΣΙΑΣ ΤΩΝ Ε ΟΜΕΝΩΝ...17 4.1. Εφαρµογή των αρχών της ποιότητας και αναλογικότητας των δεδοµένων (Άρθρο 6 της Οδηγίας)...17 4.1.1. Εµπορικός σκοπός...18 4.1.2. Περαιτέρω επεξεργασία για αθέµιτους σκοπούς...18 4.2. Νοµιµότητα (Άρθρο 7 της Οδηγίας)...21 4.2.1. Αναγκαιότητα για την εκτέλεση σύµβασης (Άρθρο 7 (β) της Οδηγίας)...21 4.2.2. Η τήρηση µιας νοµικής υποχρέωσης του υπεύθυνου της επεξεργασίας (Άρθρο 7 (γ) της Οδηγίας)...21 4.2.3. Απαραίτητες προϋποθέσεις για την επίτευξη εννόµου συµφέροντος που επιδιώκει ο υπεύθυνος της επεξεργασίας (Άρθρο 7 (στ) της Οδηγίας)...22 4.3. Παροχή σαφούς και πλήρους ενηµέρωσης σχετικά µε το σύστηµα (Άρθρα 10 και 11 της Οδηγίας)...23 4.4. Συµµόρφωση µε τις απαιτήσεις κοινοποίησης (Άρθρα 18 έως 20 της Οδηγίας)...23 4.5. Μηχανισµοί εποπτείας...24 4

4.6. ιασυνοριακές διαβιβάσεις δεδοµένων (Άρθρα 25 και 26 της Οδηγίας)...24 4.6.1. Επαρκής προστασία δεδοµένων (Άρθρο 25 (1) της Οδηγίας)...25 4.6.2. Επαρκείς εγγυήσεις από τον αποδέκτη των δεδοµένων (Άρθρο 26 παράγραφος 2 της Οδηγίας)...26 4.6.3. Παρεκκλίσεις (Άρθρο 26 της Οδηγίας)...27 4.6.3.1. Συναίνεση του προσώπου στο οποίο αναφέρονται τα δεδοµένα (Άρθρο 26 (1) (a) της Οδηγίας)...27 4.6.3.2. Η διαβίβαση είναι απαραίτητη για την εκτέλεση σύµβασης µεταξύ του προσώπου το οποίο αφορούν τα δεδοµένα και του υπευθύνου της επεξεργασίας για την εφαρµογή προσυµβατικών µέτρων που λαµβάνονται για την ικανοποίηση αίτησης του προσώπου το οποίο αφορούν τα δεδοµένα (Άρθρο 26 (1) (β)της Οδηγίας)...28 4.6.3.3. Η διαβίβαση είναι απαραίτητη για τη σύναψη ή εκτέλεση µιας σύµβασης η οποία συνάπτεται προς το συµφέρον του προσώπου το οποίο αφορούν τα δεδοµένα µεταξύ του υπευθύνου της επεξεργασίας και ενός τρίτου (Άρθρο 26 (1) (γ) της Οδηγίας)...28 4.6.3.4. Η διαβίβαση είναι αναγκαία ή απαιτείται εκ του νόµου για τη διασφάλιση σηµαντικού δηµοσίου συµφέροντος ή για την αναγνώριση, άσκηση ή υπεράσπιση ενός δικαιώµατος ενώπιον δικαστηρίου (Άρθρο 26 (1) (d) της Οδηγίας)...29 4.6.3.5. Η διαβίβαση είναι αναγκαία για τη διασφάλιση ζωτικού συµφέροντος του προσώπου στο οποίο αναφέρονται τα δεδοµένα (Άρθρο 26 (1) (ε) της Οδηγίας)...30 4.6.4. Πορίσµατα...30 5. ΣΥΜΠΕΡΑΣΜΑΤΑ:...31 6. ΆΜΕΣΑ ΜΕΤΡΑ ΠΟΥ ΠΡΕΠΕΙ ΝΑ ΛΗΦΘΟΥΝ ΓΙΑ ΤΗ ΒΕΛΤΙΩΣΗ ΤΗΣ ΤΡΕΧΟΥΣΑΣ ΚΑΤΑΣΤΑΣΗΣ:...33 5

Η ΟΜΑ Α ΠΡΟΣΤΑΣΙΑΣ ΤΩΝ ΠΡΟΣΩΠΩΝ ΕΝΑΝΤΙ ΤΗΣ ΕΠΕΞΕΡΓΑΣΙΑΣ Ε ΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ η οποία συστήθηκε βάσει της Οδηγίας 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συµβουλίου της 24 ης Οκτωβρίου 1995 1, Έχοντας υπόψη: τα άρθρα 29 και 30, παράγραφοι 1, στοιχείο α) και 3 της Οδηγίας., τον εσωτερικό κανονισµό της, και ιδίως τα άρθρα 12 και 14, εξέδωσε την παρούσα Γνώµη: 1. ΠΛΑΙΣΙΟ Οι ανεξάρτητες αρχές ελέγχου της προστασίας των δεδοµένων προσωπικού χαρακτήρα στο εσωτερικό της Ευρωπαϊκής Ένωσης 2 εξετάζουν ένα σοβαρό ζήτηµα αναφορικά µε τη διαβίβαση στις αρχές των ΗΠΑ δεδοµένων χρηµατοοικονοµικού περιεχοµένου σε µεγάλη κλίµακα από µια εταιρεία εγκατεστηµένη στην Ευρωπαϊκή Ένωση (SWIFT). Οι λεπτοµέρειες και οι όροι µε τους οποίους πραγµατοποιούνται αυτές οι διαβιβάσεις δεδοµένων, ιδίως η επεξεργασία δεδοµένων προσωπικού χαρακτήρα ατόµων που βρίσκονται στην Ευρώπη, έχουν προκαλέσει ανησυχίες στις αρχές προστασίας των δεδοµένων (ΑΠ ) οι οποίες συνένωσαν τις δυνάµεις τους για να διερευνήσουν τις ροές διαβίβασης δεδοµένων και να αναλύσουν κατά πόσο αυτές είναι σύµφωνες µε τις ευρωπαϊκές αρχές προστασίας της ιδιωτικής ζωής, και ιδίως µε τις διατάξεις της Οδηγίας για την προστασία των δεδοµένων προσωπικού χαρακτήρα («η Οδηγία»). 1.1. Το ιστορικό Στα τέλη Ιουνίου και στις αρχές Ιουλίου του 2006, τα ευρωπαϊκά και αµερικανικά µέσα µαζικής ενηµέρωσης διατύπωσαν επιφυλάξεις για το ρόλο και τις ευθύνες της Παγκόσµιας Εταιρείας ιατραπεζικών Χρηµατοπιστωτικών Τηλεπικοινωνιών (SWIFT) όσον αφορά τη διαβίβαση δεδοµένων προσωπικού χαρακτήρα στο Office of Foreign Assets Control (Yυπηρεσία ελέγχου περιουσιακών στοιχείων αλλοδαπών) (OFAC) του Υπουργείου Οικονοµικών των Ηνωµένων Πολιτειών ( UST ). Η SWIFT είναι βελγική εταιρεία που δραστηριοποιείται στον τοµέα της επεξεργασίας µηνυµάτων χρηµατοοικονοµικού περιεχοµένου. Αποκαλύφθηκε ότι δεδοµένα προσωπικού χαρακτήρα, τα οποία συλλέγονταν και υποβάλλονταν σε επεξεργασία µέσω του δικτύου SWIFT για τις διεθνείς µεταφορές χρηµατικών ποσών µε τη χρησιµοποίηση του 1 2 Επίσηµη εφηµερίδα. αριθ. L 281 της 23/11/1995, σ. 31, διαθέσιµη στο δικτυακό τόπο http://ec.europa.eu/justice_home/fsj/privacy/law/index_en.htm Εκτός από τις αρχές της ΕΕ, και άλλες αρχές προστασίας δεδοµένων προσωπικού χαρακτήρα έχουν αρχίσει να διερευνούν αυτό το θέµα: Αυστραλία, Καναδάς, Νέα Ζηλανδία, Ελβετία, Ισλανδία. 6

τραπεζικού κωδικού ταυτοποίησης ( BIC ) ή του κωδικού SWIFT, διαβιβάζονταν στο UST από τα τέλη του 2001 βάσει κλήσεων που εκδίδονταν σύµφωνα µε την αµερικανική νοµοθεσία για τους σκοπούς της καταπολέµησης της τροµοκρατίας. Η SWIFT εξέδωσε µια πρώτη δήλωση 3 στις 23 Ιουνίου 2006, µετά από τη δηµοσιότητα που έλαβε το θέµα στα µέσα ενηµέρωσης. Σύµφωνα µε αυτή τη δήλωση, η SWIFT είναι «συνεταιριστική εταιρεία βιοµηχανικής ιδιοκτησίας που παρέχει ασφαλείς, τυποποιηµένες υπηρεσίες αποστολής µηνυµάτων και λογισµικό διεπαφής σε περισσότερα από 7.800 χρηµατοπιστωτικά ιδρύµατα σε όλο τον κόσµο». Η Ευρωπαϊκή Επιτροπή αποφάσισε να διερευνήσει την υπόθεση διεξοδικά και ζήτησε από τις βελγικές αρχές, τον Ιούλιο του 2006, πληροφορίες για τους όρους µε τους οποίους η SWIFT επεξεργάζεται δεδοµένα προσωπικού χαρακτήρα και εάν συµµορφώνεται µε τη βελγική νοµοθεσία περί προστασίας δεδοµένων προσωπικού χαρακτήρα κατ εφαρµογή της Οδηγίας. Η Επιτροπή ελέγχει επίσης, σε συνεργασία µε τα κράτη µέλη, αν οι τράπεζες οι οποίες χρησιµοποιούν το σύστηµα SWIFT για την εκτέλεση εντολών πληρωµών συµµορφώνονται µε τις εθνικές νοµοθεσίες τους περί της προστασίας δεδοµένων προσωπικού χαρακτήρα όσον αφορά την επεξεργασία των εν λόγω δεδοµένων που σχετίζεται µε αυτές τις πληρωµές. Στο ψήφισµα της 6 ης Ιουλίου 2006 4, το Ευρωπαϊκό Κοινοβούλιο ζήτησε από τα κράτη µέλη να διασφαλίσουν και να ελέγξουν ότι δεν υπάρχει νοµικό κενό σε εθνικό επίπεδο και ότι η κοινοτική νοµοθεσία περί προστασίας των δεδοµένων καλύπτει και τις κεντρικές τράπεζες. Σε αυτό το ψήφισµα, το Ευρωπαϊκό Κοινοβούλιο εξέφρασε επίσης σοβαρές ανησυχίες ως προς τους σκοπούς της διαβίβασης των δεδοµένων στο UST. Επίσης, αποδοκίµασε απερίφραστα «οιαδήποτε µυστική δράση στην επικράτεια της ΕΕ» η οποία θίγει την ιδιωτική ζωή των πολιτών της ΕΕ. Επιπλέον, εξέφρασε σοβαρή ανησυχία για το γεγονός ότι παρόµοιες ενέργειες εφαρµόζονται χωρίς να ενηµερώνονται οι ευρωπαίοι πολίτες και οι κοινοβουλευτικοί τους εκπρόσωποι. Τέλος, παρότρυνε τις ΗΠΑ και τις υπηρεσίες πληροφοριών και ασφαλείας τους να ενεργούν µε πνεύµα καλής συνεργασίας και να ενηµερώνουν τους συµµάχους τους για τις δραστηριότητες στον τοµέα της ασφάλειας τις οποίες προτίθενται να αναλάβουν στην επικράτεια της ΕΕ. Αναφέρθηκε επίσης στην πιθανότητα η διαβίβαση δεδοµένων να αφορά «παράνοµες δραστηριότητες», αλλά και «πληροφορίες που αφορούν τις οικονοµικές δραστηριότητες των ενδιαφερόµενων ατόµων και χωρών, γεγονός που θα µπορούσε να οδηγήσει σε µορφές οικονοµικής και βιοµηχανικής κατασκοπείας ευρείας κλίµακας». Το ψήφισµα ζητεί από τα κράτη µέλη να κοινοποιήσουν τα αποτελέσµατα του ελέγχου στην Ευρωπαϊκή Επιτροπή, το Συµβούλιο και το Ευρωπαϊκό Κοινοβούλιο. Στις 27 Ιουλίου 2006, ο πρόεδρος της Οµάδας Προστασίας του άρθρου 29 ανακοίνωσε ότι οι ευρωπαϊκές αρχές προστασίας δεδοµένων προσωπικού χαρακτήρα αποφάσισαν να συντονίσουν τη δράση τους. Σε µεταγενέστερη συνεδρίασή της, στις 26 και 27 3 4 SWIFT statement on compliance policy, που δηµοσιεύτηκε στο δικτυακό τόπο http://www.swift.com/index.cfm?item_id=59897 Ψήφισµα του Ευρωπαϊκού Κοινοβουλίου σχετικά µε την παρακολούθηση των δεδοµένων τραπεζικών εντολών µε το σύστηµα SWIFT από τις µυστικές υπηρεσίες των ΗΠΑ (P6_TA-PROV(2006)0317) 7

Σεπτεµβρίου 2006, η Οµάδα Προστασίας του άρθρου 29 συνεδρίασε για πρώτη φορά σε ολοµέλεια. 5 Στις 4 Οκτωβρίου 2006, σε δηµόσια ακρόαση των Επιτροπών Πολιτικών ελευθεριών και Οικονοµικών και νοµισµατικών υποθέσεων του Ευρωπαϊκού Κοινοβουλίου, το θέµα συζητήθηκε, µεταξύ άλλων συµµετεχόντων, µε τον Οικονοµικό ιευθυντή της SWIFT και µε εκπρόσωπο της Ευρωπαϊκής Κεντρικής Τράπεζας 6. Η Ευρωπαϊκή Αρχή Προστασίας των εδοµένων εξέδωσε ορισµένες προκαταρκτικές παρατηρήσεις για την έρευνα που πραγµατοποίησε σχετικά µε την αποστολή της Ευρωπαϊκής Κεντρικής Τράπεζας (ΕΚΤ) σύµφωνα µε τον κανονισµό (ΕΚ) 45/2001. 7 Σε εθνικό επίπεδο, οι εθνικές αρχές προστασίας των δεδοµένων επικοινώνησαν µε τις αντίστοιχες κεντρικές τράπεζες των χωρών τους. Η Αρχή Προστασίας εδοµένων (ΑΠ ) του Βελγίου διενήργησε έρευνα σχετικά µε τη νοµιµότητα της επεξεργασίας δεδοµένων προσωπικού χαρακτήρα από την SWIFT. Κατά τη διενέργεια της έρευνας, η βελγική ΑΠ επικοινώνησε απευθείας µε τη SWIFT για να διευκρινίσει και το πεδίο και την κλίµακα της παρακολούθησης αλλά και τις διαβιβάσεις δεδοµένων. Η βελγική ΑΠ διαπίστωσε, στην απόφαση της 27 ης Σεπτεµβρίου 2006, ότι η διαβίβαση δεδοµένων προσωπικού χαρακτήρα από τη SWIFT στο υποκατάστηµά της στις ΗΠΑ παραβιάζει το βελγικό νόµο της 8 ης εκεµβρίου 1992 σχετικά µε την προστασία της ιδιωτικής ζωής έναντι της επεξεργασίας δεδοµένων προσωπικού χαρακτήρα 8. Ειδικότερα, η βελγική ΑΠ διαπίστωσε ότι η SWIFT παραβίαζε βασικές διατάξεις όσον αφορά τις υποχρεώσεις ενηµέρωσης, περιορισµού του σκοπού των δραστηριοτήτων επεξεργασίας δεδοµένων και διαβίβασης δεδοµένων προσωπικού χαρακτήρα σε τρίτες χώρες. Η βελγική ΑΠ διαπίστωσε ότι η SWIFT διέπραττε «µυστική, συστηµατική, µαζική και µακροχρόνια παραβίαση των θεµελιωδών ευρωπαϊκών αρχών όσον αφορά την προστασία δεδοµένων». Βάσει των πληροφοριών που συνελέγησαν κατά τη διενέργεια αυτών των ερευνών, η οµάδα προστασίας επιθυµεί να εξετάσει αν η SWIFT συµµορφώνεται µε τους προβλεπόµενους από την Οδηγία κανόνες προστασίας των δεδοµένων, οι οποίοι εφαρµόζονται σε ευρεία κλίµακα σε όλα τα κράτη µέλη βάσει των εθνικών νοµοθεσιών περί προστασίας των δεδοµένων. Η SWIFT απέστειλε στον Πρόεδρο της Οµάδας Προστασίας του άρθρου 29 αντίγραφο των απαντήσεών της στη βελγική, την ισπανική και τη γαλλική ΑΠ 9. 5 6 7 8 9 ελτία τύπου της Οµάδας Προστασίας του άρθρου 29: ελτίο τύπου της Οµάδας Προστασίας του άρθρου 29 για την υπόθεση Swift της 28/7/2006: http://ec.europa.eu/justice_home/fsj/privacy/news/docs/pr_swift_affair_28_07_06_en.pdf ελτίο τύπου για την υπόθεση SWIFT της 27/9/2006 http://ec.europa.eu/justice_home/fsj/privacy/news/docs/pr_swift_affair_26_09_06_en.pdf. Τα πλήρη πρακτικά της δηµόσιας ακρόασης διατίθενται στην ηλεκτρονική διεύθυνση: http://www.europarl.europa.eu/news/expert/infopress_page/017-11292-275-10-40-902- 20061002IPR11291-02-10-2006-2006-false/default_en.htm http://www.edps.europa.eu/press/edps-2006-10-en%20swift.pdf http://www.privacycommission.be/communiqu%e9s/av37-2006.pdf Επιστολή της SWIFT στον πρόεδρο της Οµάδας Προστασίας του άρθρου 29, της 31 ης Ιουλίου 2006. 8

1.2. Τα πραγµατικά περιστατικά 1.2.1. Οι δραστηριότητες επεξεργασίας δεδοµένων από την SWIFT σε αριθµούς Η SWIFT επεξεργάζεται κατά µέσο όρο 12 εκατοµµύρια µηνύµατα σε καθηµερινή βάση 10. Ενδεικτικά αναφέρουµε ότι ο συνολικός όγκος των µηνυµάτων που υποβλήθηκαν σε επεξεργασία το 2005 ανήλθε σε 2,5 δισεκατοµµύρια, εκ των οποίων 1,6 δισεκατοµµύρια µηνύµατα απευθύνθηκαν στην Ευρώπη και 467 εκατοµµύρια στην Αµερική. Οι πληροφορίες τις οποίες επεξεργάστηκε η SWIFT αφορούν µηνύµατα για τις χρηµατοοικονοµικές συναλλαγές εκατοντάδων χιλιάδων πολιτών της ΕΕ. Τα ευρωπαϊκά χρηµατοπιστωτικά ιδρύµατα (που δεν περιορίζονται στις τράπεζες) χρησιµοποιούν την υπηρεσία SWIFTNet FIN για τη διαβίβαση µηνυµάτων που αφορούν µεταφορές χρηµατικών ποσών µεταξύ χρηµατοπιστωτικών ιδρυµάτων σε ολόκληρο τον κόσµο. Η µεταφορά πραγµατοποιείται ανεξάρτητα από το αν η επεξεργασία των µηνυµάτων γίνεται στο εσωτερικό της Ευρωπαϊκής Ένωσης (ΕΕ) και του Ευρωπαϊκού Οικονοµικού Χώρου (ΕΟΧ) ή σε τρίτη χώρα. 1.2.2. Κατηγορίες δεδοµένων που υποβάλλονται σε επεξεργασία Τα µηνύµατα που διαβιβάζονται µέσω της υπηρεσίας SWIFTNet FIN περιέχουν δεδοµένα προσωπικού χαρακτήρα, όπως τα ονοµατεπώνυµα του δικαιούχου και του εντολέα πελάτη. Τα σχετιζόµενα µε την πληρωµή µηνύµατα µπορεί, ωστόσο, να περιλαµβάνουν περισσότερες πληροφορίες, όπως ένας αριθµός αναφοράς που παρέχει στον εντολέα και τον δικαιούχο τη δυνατότητα να αντιστοιχίσουν την πληρωµή µε τα λογιστικά τους έγγραφα. Επιπλέον, ορισµένοι τύποι µηνυµάτων παρέχουν τη δυνατότητα προσθήκης ενός άτυπου κειµένου. Εκτός από τα εµπορικά γραφεία σε διάφορες χώρες, η SWIFT διαθέτει δύο επιχειρησιακά κέντρα εγκατεστηµένα σε υποκαταστήµατα της SWIFT, ένα σε κράτος µέλος της ΕΕ και ένα στις Ηνωµένες Πολιτείες. Σε αυτά τα επιχειρησιακά κέντρα, στο πλαίσιο της υπηρεσίας SWIFTNet FIN, όλα τα µηνύµατα που υποβάλλονται σε επεξεργασία από την SWIFT αποθηκεύονται και απεικονίζονται για 124 ηµέρες ως εφεδρικά αντίγραφα ( back-up recovery tool ) για την εξυπηρέτηση των πελατών, σε περίπτωση διαφορών µεταξύ των χρηµατοπιστωτικών ιδρυµάτων ή απώλειας δεδοµένων. Μετά την παρέλευση αυτής της περιόδου τα δεδοµένα διαγράφονται. 1.2.3. Κλήσεις από το UST Μετά τις τροµοκρατικές επιθέσεις του Σεπτεµβρίου του 2001, το UST έχει αποστείλει πολυάριθµες διοικητικές κλήσεις στο επιχειρησιακό κέντρο της SWIFT στις ΗΠΑ. Μετά από έρευνα, η SWIFT δήλωσε ότι µέχρι σήµερα έχει λάβει και έχει ικανοποιήσει 64 κλήσεις του UST. Σύµφωνα µε τη νοµοθεσία των ΗΠΑ, µια διοικητική κλήση είναι διαταγή από κάποιον κυβερνητικό αξιωµατούχο προς ένα τρίτο µε την οποία ο παραλήπτης της καλείται να 10 SWIFT Annual Report 2005 (Ετήσια έκθεση SWIFT 2005) διατίθεται στη διεύθυνση: http://www.swift.com/index.cfm?item_id=59684. 9

παράσχει ορισµένες πληροφορίες. 11 Το πεδίο των κλήσεων του UST στη συγκεκριµένη περίπτωση έχει ευρύτατη υλική, εδαφική και χρονική εµβέλεια και προσδιορίζεται στις κλήσεις καθώς και στην αλληλογραφία µεταξύ του UST και της SWIFT. Οι κλήσεις αυτές εκδίδονται για οποιαδήποτε συναλλαγή σχετίζεται ή ενδέχεται να σχετίζεται µε την τροµοκρατία, αφορά ένα x αριθµό χωρών και δικαστηρίων για µια ψ ηµεροµηνία, ή διαστήµατα «από... έως...» που κυµαίνονται από µία έως αρκετές εβδοµάδες, εντός και εκτός των ΗΠΑ. Αφορούν µηνύµατα διατραπεζικών συναλλαγών στο εσωτερικό των ΗΠΑ, από ή προς τις ΗΠΑ καθώς και µηνύµατα εκτός των ΗΠΑ, όπως µηνύµατα στο εσωτερικό της ΕΕ. 12 Η SWIFT διαπραγµατεύτηκε κατ ιδίαν έναν διακανονισµό µε το Υπουργείο Οικονοµικών των ΗΠΑ για τον τρόπο συµµόρφωσής της µε τις κλήσεις. Μέσω αυτής της διαδικασίας, η SWIFT ισχυρίζεται ότι της έχουν παρασχεθεί «σηµαντικά µέτρα προστασίας και διασφαλίσεις όσον αφορά τον σκοπό, το απόρρητο, την εποπτεία και τον έλεγχο των περιορισµένων συνόλων δεδοµένων που διαβιβάζονται σύµφωνα µε αυτές τις κλήσεις» 13. Σύµφωνα µε τα πορίσµατα της βελγικής ΑΠ, η πρακτική κοινοποίηση δεδοµένων προσωπικού χαρακτήρα στο UST πραγµατοποιείται από το επιχειρησιακό κέντρο της SWIFT στις ΗΠΑ σε διάφορα στάδια. εν γίνεται άµεση εξαγωγή εξατοµικευµένων δεδοµένων από την βάση δεδοµένων της SWIFT, αλλά η SWIFT συµφώνησε µε το UST τη δηµιουργία ενός µηχανισµού σκοτεινού θαλάµου ( black box ) που παρέχει τη δυνατότητα µεταφοράς δεδοµένων στο black box από την κατοπτρική βάση δεδοµένων της SWIFT. Από τη στιγµή που τα δεδοµένα βρίσκονται στο "black box", ιδιοκτήτης του οποίου είναι οι ΗΠΑ, το UST διενεργεί εξειδικευµένες έρευνες. Περισσότερες λεπτοµέρειες για τη διαβίβαση δεδοµένων προσωπικού χαρακτήρα στο UST έχουν περιέλθει σε γνώση της βελγικής Α Π και παρουσιάζονται στη Γνώµη της 14. 2. ΕΦΑΡΜΟΓΗ ΤΟΥ ΝΟΜΟΘΕΤΙΚΟΥ ΠΛΑΙΣΙΟΥ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΤΩΝ Ε ΟΜΕΝΩΝ 2.1. Εφαρµογή της οδηγίας 95/46/ΕΚ Εφόσον τα διαβιβαζόµενα µέσω της υπηρεσίας SWIFTNet FIN µηνύµατα περιέχουν δεδοµένα προσωπικού χαρακτήρα, η Οµάδα Προστασίας θεωρεί ότι η Οδηγία είναι 11 12 13 14 Hearing before the United States Senate Judiciary Committee, Subcommittee on Terrorism, Technology and Homeland Security: Tools to fight Terrorism: Subpoena Authority and Pretrial Detention of Terrorists Testimony of Rachel Brand, Principal Deputy Assistant Attorney General, Office of Legal Policy, US Department of Justice. (Ακρόαση ενώπιον της Υποεπιτροπής για την τροµοκρατία, την τεχνολογία και την εσωτερική ασφάλεια της δικαστικής επιτροπής της Γερουσίας των Ηνωµένων Πολιτειών: «Μέσα καταπολέµησης της τροµοκρατίας: αρχή κλήσεων και προφυλάκισης τροµοκρατών». Κατάθεση της Rachel Brand, Γενικού Αντιεισαγγελέα, Υπηρεσία Νοµικών υποθέσεων, Υπουργείο ικαιοσύνης των ΗΠΑ, 22 Ιουνίου 2004) http://kyl.senate.gov/legis_center/subdocs/062204_brand.pdf Βλ. γνώµη βελγικής ΑΠ, B.2 (ανεπίσηµη µετάφραση στα αγγλικά), υποσηµείωση 8. SWIFT statement on compliance policy, δηµοσιεύεται στη διεύθυνση http://www.swift.com/index.cfm?item_id=59897. Βλ. υποσηµείωση 8. 10

εφαρµοστέα στην επεξεργασία των δεδοµένων προσωπικού χαρακτήρα µέσω της υπηρεσίας SWIFTNet FIN. Η Οµάδα Προστασίας επισηµαίνει πως το γεγονός ότι η επεξεργασία δεδοµένων προσωπικού χαρακτήρα συνδέεται µε την παροχή υπηρεσίας δεν σχετίζεται µε τον καθορισµό της ιδιότητας ενός οργανισµού ως φορέα επεξεργασίας δεδοµένων. Οι ορισµοί «επεξεργασία δεδοµένων προσωπικού χαρακτήρα» και «δεδοµένα προσωπικού χαρακτήρα» προσδιορίζονται µε σαφήνεια στο άρθρο 2 της Οδηγίας. Όταν οι δραστηριότητες τις οποίες ασκεί µια εταιρεία εµπίπτουν σε αυτούς τους ορισµούς, η Οδηγία εφαρµόζεται και, κατά συνέπεια, οι δραστηριότητες επεξεργασίας δεδοµένων ασκούνται στο πλαίσιο της πλήρους συµµόρφωσης µε τις διατάξεις της Οδηγίας. 2.2. Ο νόµος που εφαρµόζεται στην περίπτωση της SWIFT Το άρθρο 4, παράγραφος 1, στοιχείο α) της Οδηγίας αναφέρει ότι κάθε κράτος µέλος εφαρµόζει τις εθνικές διατάξεις που θεσπίζει δυνάµει της παρούσας Οδηγίας σε κάθε επεξεργασία δεδοµένων προσωπικού χαρακτήρα εφόσον «(...) η επεξεργασία εκτελείται στο πλαίσιο των δραστηριοτήτων υπευθύνου επεξεργασίας εγκατεστηµένου στο έδαφος του κράτους µέλους». Τα κεντρικά γραφεία της SWIFT είναι εγκατεστηµένα στην La Hulpe, Βέλγιο. Η SWIFT έχει επίσης δύο επιχειρησιακά κέντρα (ένα στην Ευρώπη και ένα στις ΗΠΑ, το οποίο λειτουργεί ως πλήρες κάτοπτρο). Επιπλέον, η SWIFT έχει διάφορα γραφεία πωλήσεων στο Ηνωµένο Βασίλειο, τη Γαλλία, τη Γερµανία, την Ιταλία, την Ισπανία κλπ. Οι κρίσιµες αποφάσεις για την επεξεργασία δεδοµένων προσωπικού χαρακτήρα και για τη διαβίβαση των δεδοµένων στο UST ελήφθησαν στα κεντρικά γραφεία της εταιρείας στο Βέλγιο. Κατά συνέπεια, η επεξεργασία δεδοµένων προσωπικού χαρακτήρα από την SWIFT διέπεται από το βελγικό νόµο, ο οποίος εφαρµόζει την Οδηγία, ανεξάρτητα από το πού πραγµατοποιείται η επεξεργασία των δεδοµένων. 2.3. Ο νόµος που εφαρµόζεται στα χρηµατοπιστωτικά ιδρύµατα Όσον αφορά τις λειτουργίες επεξεργασίας δεδοµένων για τις οποίες τα χρηµατοπιστωτικά ιδρύµατα που χρησιµοποιούν την υπηρεσία της SWIFT για τις διεθνείς εντολές πληρωµών τους µπορούν να θεωρηθούν ως υπεύθυνοι επεξεργασίας, το εφαρµοστέο εθνικό δίκαιο καθορίζεται από το άρθρο 4, παράγραφος 1, στοιχείο α) της Οδηγίας και, όσον αφορά τα θεσµικά όργανα και τους οργανισµούς της Κοινότητας, από το άρθρο 3 του κανονισµού (ΕΚ) αριθ. 45/2001 15. Αυτό σηµαίνει ότι στην περίπτωση των χρηµατοπιστωτικών ιδρυµάτων εφαρµόζονται διαφορετικοί αλλά εναρµονισµένοι νόµοι. Η Οµάδα Προστασίας επισηµαίνει ότι, εφόσον τα δεδοµένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία στο πλαίσιο χρηµατοοικονοµικών συναλλαγών που 15 Κανονισµός (ΕΚ) αριθ. 45/2001 του Ευρωπαϊκού Κοινοβουλίου και του Συµβουλίου, της 18 ης εκεµβρίου 2000, σχετικά µε την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδοµένων προσωπικού χαρακτήρα από τα όργανα και τους οργανισµούς της Κοινότητας και σχετικά µε την ελεύθερη κυκλοφορία των δεδοµένων αυτών ΕΕ L 8 της 12.1.2001, σ. 1. 11

αφορούν εκατοντάδες χιλιάδες πολίτες µέσω οργανισµών που είναι εγκατεστηµένοι στην ΕΕ (η συνεταιριστική εταιρεία SWIFT καθώς και τα χρηµατοπιστωτικά ιδρύµατα που κάνουν χρήση της υπηρεσίας SWIFTNet FIN), εφαρµόζονται οι εθνικές νοµοθεσίες περί προστασίας δεδοµένων προσωπικού χαρακτήρα των ενδιαφεροµένων κρατών µελών, οι οποίες έχουν εκδοθεί κατ εφαρµογή της Οδηγίας. 3. Η ΑΠΟΣΤΟΛΗ ΤΗΣ SWIFT ΚΑΙ ΤΩΝ ΧΡΗΜΑΤΟΠΙΣΤΩΤΙΚΩΝ Ι ΡΥΜΑΤΩΝ Σύµφωνα µε την Οδηγία, ο υπεύθυνος της επεξεργασίας οφείλει να διασφαλίζει την τήρηση των υποχρεώσεων που διέπουν την επεξεργασία προσωπικών δεδοµένων. Το ζήτηµα είναι αν η SWIFT ή/και τα χρηµατοπιστωτικά ιδρύµατα πρέπει να θεωρηθούν υπεύθυνοι της επεξεργασίας ή εκτελούντες την επεξεργασία. Σύµφωνα µε την Οδηγία, µε τον όρο «υπεύθυνος επεξεργασίας» νοείται «το φυσικό ή νοµικό πρόσωπο, η δηµόσια αρχή, η υπηρεσία ή οιοσδήποτε άλλος φορέας που µόνος του ή από κοινού µε άλλους καθορίζει τους στόχους και τον τρόπο της επεξεργασίας των δεδοµένων προσωπικού χαρακτήρα» (άρθρο 2, στοιχείο δ) «εκτελών την υπηρεσία» είναι «το φυσικό ή νοµικό πρόσωπο, η δηµόσια αρχή, η υπηρεσία ή οιοσδήποτε άλλος φορέας που επεξεργάζεται τα δεδοµένα προσωπικού χαρακτήρα για λογαριασµό του υπευθύνου της επεξεργασίας» (άρθρο 2, στοιχεία ε). 3.1. Ο ρόλος της SWIFT Η SWIFT παρουσιάζεται ως «αποκλειστικά ενδιάµεσος για την ασφαλή και εµπιστευτική διαβίβαση µηνυµάτων χρηµατοοικονοµικού χαρακτήρα µεταξύ χρηµατοπιστωτικών ιδρυµάτων. Η SWIFT δεν είναι τράπεζα, ούτε τηρεί λογαριασµούς πελατών». Αυτός ο ορισµός αποτέλεσε τη βάση για τις εκτιµήσεις που πραγµατοποίησαν ορισµένες ΑΠ κρατών µελών όταν έδωσαν άδεια για την άσκηση δραστηριοτήτων επεξεργασίας δεδοµένων από τράπεζές τους. Η δοµή διεθνούς υπηρεσίας της SWIFT και οι συµβατικές ρυθµίσεις που έχουν συναφθεί µεταξύ της SWIFT και των χρηµατοπιστωτικών ιδρυµάτων είναι µάλλον περίπλοκες. Η Οµάδα Προστασίας επισηµαίνει, ωστόσο, ότι η διάρθρωση αυτού του τύπου, περιλαµβανοµένης της αποστολής ενός φορέα παροχής υπηρεσιών σε συνεργασία µε άλλους φορείς δεν είναι µοναδική. Η δοµή της SWIFT είναι χαρακτηριστικό ενός τυπικού συνεταιριστικού δικτύου. Η SWIFT οργανώθηκε το 1973 από έναν όµιλο ευρωπαϊκών τραπεζών που επιθυµούσε να αναπτύξει µια νέα µέθοδο αποστολής εντολών πληρωµών σε συνεργαζόµενες τράπεζες µε τυποποιηµένο τρόπο. Για το σκοπό αυτό, συστάθηκε µια συνεταιριστική εταιρεία περιορισµένης ευθύνης βάσει της βελγικής νοµοθεσίας. Η Οµάδα Προστασίας αναφέρεται σε παρόµοιες περιπτώσεις συνεταιριστικών δικτύων, όπως η περίπτωση των Terminated Merchant Databases που έχουν τεθεί σε λειτουργία από την VISA και την Mastercard, σε συνεργασία µε χρηµατοπιστωτικά ιδρύµατα, µε στόχο την ανάλυση των κινδύνων που συνδέονται µε την σύναψη µιας συγκεκριµένης 12

σύµβασης µε το σύστηµα VISA ή Mastercard 16. Η Οµάδα Προστασίας αναφέρεται επίσης στις περιπτώσεις συστηµάτων εκκαθάρισης και διακανονισµού και στα συστήµατα κρατήσεων επιβατών, όταν γραφεία ταξιδίων και αεροπορικές εταιρείες, από τη µία πλευρά, και οι διαχειριστές αυτών των συστηµάτων (όπως το Galileo) από την άλλη έχουν διαφορετικές αρµοδιότητες. Ανεξάρτητα από τη συµβατική σχέση µεταξύ της SWIFT και των χρηµατοπιστωτικών ιδρυµάτων βάσει του αστικού ή εµπορικού δικαίου, η οποία µπορεί να περιλαµβάνει τον όρο «υπεργολάβος» από την άποψη της προστασίας των δεδοµένων, η SWIFT δεν είναι απλώς «υπεργολάβος» ή εκτελών την επεξεργασία κατά την έννοια του άρθρου 2 της Οδηγίας όσον αφορά τη συνήθη επεξεργασία δεδοµένων προσωπικού χαρακτήρα για τη συνήθη επαγγελµατική της χρήση. Από τα πραγµατικά περιστατικά συνάγεται ότι η SWIFT έχει εξελιχθεί κατά τις τελευταίες δεκαετίες και ασκεί περισσότερες δραστηριότητες από το να ενεργεί απλώς για λογαριασµό των πελατών της. Ακόµη και αν κάποτε θεωρούνταν ότι ενεργούσε ως «εκτελών την επεξεργασία», η SWIFT ανέλαβε ειδικές ευθύνες που υπερβαίνουν το σύνολο των εντολών και καθηκόντων ενός φορέα εκτέλεσης της επεξεργασίας, γεγονός που δεν συµβιβάζεται µε τον ισχυρισµό της ότι είναι απλώς «εκτελών την επεξεργασία». 17 Η διαχείριση της SWIFT ασκείται στο πλαίσιο ενός επίσηµου συνεταιριστικού δικτύου που καθορίζει τους σκοπούς και τα µέσα της επεξεργασίας δεδοµένων στο πλαίσιο της SWIFTNet Service και τα δεδοµένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία µέσω αυτής της υπηρεσίας. Η διοίκηση της SWIFT αποφασίζει αυτόνοµα το επίπεδο πληροφοριών που παρέχονται στα χρηµατοπιστωτικά ιδρύµατα σε σχέση µε την επεξεργασία τους. Η διοίκηση της SWIFT είναι σε θέση να καθορίζει τους σκοπούς και τα µέσα της επεξεργασίας αναπτύσσοντας, διαθέτοντας στην αγορά και αλλάζοντας τις υφιστάµενες ή τις νέες υπηρεσίες SWIFT και επεξεργαζόµενη δεδοµένα, π.χ. µε το να καθορίζει πρότυπα που εφαρµόζονται στους πελάτες της όσον αφορά τη µορφή και το περιεχόµενο των εντολών πληρωµής, χωρίς να ζητεί τη συναίνεση των χρηµατοπιστωτικών ιδρυµάτων. Η SWIFT παρέχει επίσης προστιθέµενη αξία για την επεξεργασία δεδοµένων προσωπικού χαρακτήρα, όπως η αποθήκευση και επικύρωση αυτών των δεδοµένων και η προστασία δεδοµένων προσωπικού χαρακτήρα µε υψηλές προδιαγραφές ασφάλειας. Η διοίκηση της SWIFT έχει την εξουσία να λαµβάνει κρίσιµες αποφάσεις όσον αφορά την επεξεργασία, όπως τα πρότυπα ασφαλείας και ο τόπος εγκατάστασης των επιχειρησιακών κέντρων της. Τέλος, η διοίκηση της SWIFT διαπραγµατεύεται και συνάπτει µε πλήρη αυτονοµία τις συµφωνίες παροχής υπηρεσιών της και συντάσσει και τροποποιεί τα διάφορα συµβατικά έγγραφα και τα ασφαλιστήριά της 18. Τα ανωτέρω είναι τα πρακτικά και νοµικά µέσα της επεξεργασίας. Για τη διαβίβαση δεδοµένων προσωπικού χαρακτήρα στο UST, η SWIFT αποφάσισε να συµµορφωθεί µε τις κλήσεις των ΗΠΑ. Έλαβε επίσης την πρωτοβουλία να διαπραγµατευθεί, µε αδιαφανή τρόπο, µέσω αλληλογραφίας και επιστολής θέσεως στο αρχείο µε το UST, τους όρους διαβίβασης των δεδοµένων προσωπικού χαρακτήρα στο 16 17 18 Βλ. π.χ. έγγραφο Guidelines for Terminated Merchant Databases της Οµάδας Προστασίας του Άρθρου 29 διατίθεται στη διεύθυνση http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/others/2005-01-11-fraudprevention_en.pdf. Οι εκτελούντες την επεξεργασία δεδοµένων πρέπει σε κάθε περίπτωση να συµµορφώνονται µε τις διατάξεις της Οδηγίας, Βλ. άρθρο 17, παράγραφος 3 σχετικά µε τα µέτρα ασφαλείας. Η ρήτρα 4.5.3 των γενικών όρων και προϋποθέσεων αναφέρει: «ο πελάτης θεωρείται ότι έχει συναινέσει για κάθε παρόµοια επεξεργασία...». 13

UST. Αποφάσισε σκοπίµως να µην ενηµερώσει τα ενδιαφερόµενα χρηµατοπιστωτικά ιδρύµατα γι αυτή τη διαπραγµάτευση. Πράγµατι, οι µηχανισµοί ελέγχου τους οποίους απέκτησε και έθεσε σε λειτουργία η SWIFT αφορούσαν τον σκοπό και το εύρος της διαβίβασης των δεδοµένων στο UST. Οι ενέργειες αυτές υπερέβαιναν σε πολύ µεγάλο βαθµό τις συνήθεις ιδιότητες ενός φορέα εκτέλεσης επεξεργασίας δεδοµένων σε σχέση µε την εικαζόµενη έλλειψη αυτονοµίας όσον αφορά τις εντολές του υπευθύνου της επεξεργασίας δεδοµένων. Ενώ η SWIFT παρουσιάζεται ως εκτελών την επεξεργασία δεδοµένων, και ορισµένα στοιχεία υποδηλώνουν ότι η SWIFT έχει ενεργήσει στο παρελθόν ως εκτελών την επεξεργασία σε ορισµένες περιπτώσεις για λογαριασµό των χρηµατοπιστωτικών ιδρυµάτων, η Οµάδα Προστασίας, αφού εξέτασε την πραγµατική ελευθερία κινήσεων της SWIFT στις προαναφερθείσες καταστάσεις, έχει την άποψη ότι η SWIFT είναι υπεύθυνος της επεξεργασίας κατά την έννοια του άρθρου 2, στοιχείο δ) της Οδηγίας, όσον αφορά τόσο τη συνήθη διαδικασία επεξεργασίας δεδοµένων προσωπικού χαρακτήρα στο πλαίσιο της υπηρεσίας SWIFTNet όσο και την περαιτέρω επεξεργασία µε τη διαβίβαση δεδοµένων προσωπικού χαρακτήρα στο UST. 3.2. Ο ρόλος των χρηµατοπιστωτικών ιδρυµάτων Ο ρόλος των χρηµατοπιστωτικών ιδρυµάτων κατά τη χρήση της υπηρεσίας SWIFTNet FIN πρέπει να διερευνηθεί. Ορισµένα χρηµατοπιστωτικά ιδρύµατα δεν ήταν πλήρως ενηµερωµένα από τη SWIFT σχετικά µε την έκταση και τα ακριβή χαρακτηριστικά της επεξεργασίας και της ακριβούς αναπαραγωγής των δεδοµένων προσωπικού χαρακτήρα, περιλαµβανοµένης της µετέπειτα διαβίβασης στο UST των ακριβών αντιγράφων αυτών των δεδοµένων. Όµως, µετά την αποκάλυψη αυτών των γεγονότων στις 23 Ιουνίου 2006, όλα τα χρηµατοπιστωτικά ιδρύµατα είναι εις γνώση της κατάστασης όταν αποστέλλουν δεδοµένα προσωπικού χαρακτήρα µέσω της υπηρεσίας SWIFTNet FIN για τις διεθνείς µεταφορές χρηµατικών ποσών. Υποτίθεται ότι τα χρηµατοπιστωτικά ιδρύµατα που κάνουν χρήση των υπηρεσιών της SWIFT ασκούν, και θα περίµενε κάποιος να ασκούν, κάποια επιρροή στην πολιτική αυτής της συνεταιριστικής εταιρείας. Ορισµένα χρηµατοπιστωτικά ιδρύµατα συµµετέχουν στο ιοικητικό Συµβούλιο της SWIFT και η τρέχουσα διοικητική δοµή της SWIFT σχεδιάστηκε αρχικά µε τρόπο που να παρέχει στις τράπεζες και στα χρηµατοπιστωτικά ιδρύµατα τη δυνατότητα να κατέχουν κάποια εξουσία στις διαδικασίες λήψης αποφάσεων της SWIFT. Οι οργανισµοί αυτοί πρέπει, συνεπώς, να θεωρείται ότι συµµετέχουν στον καθορισµό του σκοπού και των µέσων της επεξεργασίας, µαζί µε την εταιρεία της οποίας είναι µέλη. Έχουν επίσης άµεση επαφή µε τα ενδιαφερόµενα φυσικά πρόσωπα και ασκούν καθοριστικό ρόλο στην εκτέλεση των διεθνών εντολών πληρωµών των πελατών τους. Πρέπει επίσης να λαµβάνεται υπόψη ότι τα χρηµατοπιστωτικά ιδρύµατα είναι αυτόνοµα και µπορούν να επιδιώκουν τους δικούς τους στόχους σε διατραπεζικό επίπεδο. Η Οµάδα Προστασίας επισηµαίνει ότι, στο πλαίσιο των διατραπεζικών συναλλαγών, τα χρηµατοπιστωτικά ιδρύµατα συχνά λαµβάνουν καθοριστικές αποφάσεις για τη διαβίβαση δεδοµένων προσωπικού χαρακτήρα στη SWIFT, συχνά χωρίς να το γνωρίζουν οι πελάτες τους. Αυτό αποδεικνύεται από τα ακόλουθα στοιχεία: Σε διατραπεζικό επίπεδο, τα χρηµατοπιστωτικά ιδρύµατα συχνά αποφασίζουν 14

αυτόνοµα ποια µέσα χρησιµοποιούν κατά τον καθορισµό των οδηγιών που διέπουν τις πληρωµές. Μπορούν να χρησιµοποιούν ή να αναπτύσσουν εναλλακτικές ή ανταγωνιστικές υπηρεσίες για τη διαβίβαση αυτών των µηνυµάτων χρηµατοοικονοµικού περιεχοµένου στο πλαίσιο του διατραπεζικού συστήµατος (π.χ. ηλεκτρονικά µηνύµατα, φαξ, τηλεφωνική επικοινωνία). Οι επιλογές σε αυτό το επίπεδο θα καθορίσουν τα χαρακτηριστικά της ιδιωτικής ζωής όσον αφορά τις οδηγίες που καθορίζουν τα χρηµατοπιστωτικά ιδρύµατα σχετικά µε την εκτέλεση των πληρωµών. Κατά την επιλογή µιας διατραπεζικής υπηρεσίας, τα χρηµατοπιστωτικά ιδρύµατα είναι ελεύθερα, δεδοµένης της πολυµορφίας των υπηρεσιών σε διατραπεζικό επίπεδο, να δώσουν προτεραιότητα σε άλλα στοιχεία εκτός από την ασφάλεια των πληροφοριών, η οποία θεωρείται ασφαλώς πάντοτε προαπαιτούµενο, όπως η πολιτική φορέα παροχής επαγγελµατικών υπηρεσιών για τον σεβασµό της ιδιωτικής ζωής. Τα χρηµατοπιστωτικά ιδρύµατα έχουν τη δυνατότητα να ακολουθήσουν µια αυστηρή πολιτική σεβασµού της ιδιωτικής ζωής από ένα συγκεκριµένο φορέα παροχής υπηρεσιών ή να επιλέξουν τη λύση ενός εικονικού ιδιωτικού δικτύου ως εγγύηση για να διασφαλίσουν στο µέγιστο την εµπιστοσύνη των πελατών τους και την αξιοπιστία των υπηρεσιών τους. Τα χρηµατοπιστωτικά ιδρύµατα προσχωρούν και αποδέχονται το συµβατικό πλαίσιο της υπηρεσίας SWIFTNet FIN 19. Από τα κείµενα των συµβάσεων (Data Retrieval Policy 20 - Σύµβαση εξαγωγής δεδοµένων), και την πολιτική συµµόρφωσης της SWIFT οι πελάτες της SWIFT αντιλαµβάνονται ότι, κατά γενική αρχή, η διαβίβαση προσωπικών δεδοµένων αποτελεί αντικείµενο κλήσεων οι οποίες απευθύνονται είτε στους ίδιους είτε στη SWIFT. Σύµφωνα µε την Γνώµη της βελγικής ΑΠ, η SWIFT επικαλέστηκε το επιχείρηµα ότι οι κλήσεις που κοινοποιούνται σε χρηµατοπιστωτικά ιδρύµατα ανέρχονται ενδεχοµένως σε χιλιάδες ή ακόµη και σε δεκάδες χιλιάδες ετησίως. Είναι λοιπόν απίθανο τα χρηµατοπιστωτικά ιδρύµατα που δραστηριοποιούνται στη διεθνή αγορά πληρωµών να µην είναι ενηµερωµένα σχετικά µε τη γενική αρχή των κλήσεων. Τα χρηµατοπιστωτικά ιδρύµατα πρέπει να αξιολογούν τις πιθανές συνέπειες και τους κινδύνους όσον αφορά την ιδιωτική ζωή, περιλαµβανοµένων των κινδύνων για τους πελάτες τους που σχετίζονται µε τη χρήση της υπηρεσίας SWIFTNet FIN τους οποίους αναλαµβάνουν ως φορείς παροχής επαγγελµατικών υπηρεσιών. Για το λόγο αυτό πρέπει να ελεγχθεί αν η σύµβαση εχεµύθειας του εντολέα οργανισµού περιέχει ρήτρες που αφορούν αυτούς τους κινδύνους. εδοµένου του γεγονότος ότι τα χρηµατοπιστωτικά ιδρύµατα ενεργούν για λογαριασµό των πελατών τους οι οποίοι δίνουν εντολές πληρωµών, δεν επιτρέπεται να κοινοποιούν τα απαραίτητα δεδοµένα για άλλους σκοπούς πέρα από την αυστηρή εκτέλεση της εντολής πληρωµής. Εάν ένα χρηµατοπιστωτικό ίδρυµα γνωρίζει ότι η SWIFT χρησιµοποιεί δεδοµένα που οι πελάτες έχουν εµπιστευθεί σε αυτό µε τρόπους που δεν περιορίζονται αυστηρά στις µεταφορές 19 20 Ένα από τα συµβατικά έγγραφα είναι το SWIFT User Handbook (Εγχειρίδιο χρηστών SWIFT) το οποίο περιέχει τα τυποποιηµένα µηνύµατα που πρέπει να χρησιµοποιούνται. Το οποίο ορίζει: «Προς άρση πάσης αµφιβολίας, καµία διάταξη της παρούσας σύµβασης ή, γενικότερα, καµία από τις υποχρεώσεις της SWIFT προς τους πελάτες της δεν θα θεωρηθεί ότι εµποδίζει τη SWIFT να αποσπά, να χρησιµοποιεί ή να αποκαλύπτει δεδοµένα συναλλαγών ή µηνυµάτων που θεωρούνται ευλόγως απαραίτητα για τη συµµόρφωση µε µια bona fide κλήση ή άλλη νόµιµη διαδικασία από κάποιο δικαστήριο ή άλλη αρµόδια αρχή». Βλ. Γνώµη της βελγικής ΑΠ, D.2, υποσηµείωση 8. 15

χρηµατικών ποσών και παρόλα αυτά εξακολουθεί να κάνει χρήση των υπηρεσιών της SWIFT, πρέπει να τεθεί το ζήτηµα της νοµικής βάσης αυτής της µεταφοράς και της χρήσης: µόνο αν υπάρχει ειδική συµφωνία µεταξύ των χρηµατοπιστωτικών ιδρυµάτων και των πελατών τους µπορεί να αιτιολογηθεί η διάθεση τραπεζικών δεδοµένων στη SWIFT για άλλους σκοπούς πέρα από την οµολογούµενη υπηρεσία. Κατά συνέπεια, τα χρηµατοπιστωτικά ιδρύµατα δεν έχουν µόνο την ιδιότητα του υπεύθυνου της επεξεργασίας κατά την έννοια του άρθρου 2, στοιχείο δ) της Οδηγίας όσον αφορά τις δικές τους δραστηριότητες επεξεργασίας δεδοµένων, αλλά φέρουν ευθύνη και για τις δραστηριότητες επεξεργασίας δεδοµένων της SWIFT. Το γεγονός ότι η διοικητική δοµή της συνεταιριστικής εταιρείας SWIFT έχει εξελιχθεί µε την πάροδο του χρόνου, µε αποτέλεσµα η διαχείριση της SWIFT να ασκείται µε µεγαλύτερη αυτονοµία σε σχέση µε τις αρχικές προθέσεις, δεν σηµαίνει ότι οι ιδρυτές της, δηλαδή τα χρηµατοπιστωτικά ιδρύµατα, έπαψαν να έχουν την ιδιότητα του υπευθύνου της επεξεργασίας των δεδοµένων κατά την έννοια της Οδηγίας. Βάσει των ανωτέρω στοιχείων, η Οµάδα Προστασίας πιστεύει ότι υπάρχουν επαρκή στοιχεία που ενισχύουν την άποψη ότι τα χρηµατοπιστωτικά ιδρύµατα και η εταιρεία SWIFT στην οποία εκπροσωπούνται φέρουν κοινή ευθύνη για την επεξεργασία δεδοµένων προσωπικού χαρακτήρα µέσω της υπηρεσίας SWIFTNet FIN. Κοινή ευθύνη, ωστόσο, δεν σηµαίνει κατ ανάγκη ίση ευθύνη. Ενώ η SWIFT φέρει την κύρια ευθύνη για την επεξεργασία δεδοµένων προσωπικού χαρακτήρα στην υπηρεσία SWIFTNet FIN, τα χρηµατοπιστωτικά ιδρύµατα φέρουν µερική ευθύνη για την επεξεργασία δεδοµένων προσωπικού χαρακτήρα των δικών τους πελατών από αυτή την υπηρεσία. 3.3. Ο ρόλος των κεντρικών τραπεζών Πρέπει να εξεταστεί η συµµετοχή των κεντρικών τραπεζών, λαµβανοµένων υπόψη των διαφορετικών ρόλων τους οποίους διαδραµατίζουν σε σχέση µε τη SWIFT και όσον αφορά την εποπτεία εντός του τοµέα των τραπεζικών πληρωµών. Πρώτον, η SWIFT υπόκειται στην συνεταιριστική εποπτεία των κεντρικών τραπεζών της Οµάδας των έκα χωρών (G-10 Group) 21. Η εποπτεία έχει κύριο στόχο να διασφαλίσει ότι η SWIFT διενεργεί αποτελεσµατικούς ελέγχους και διαθέτει επαρκή µέσα διαχείρισης κινδύνων για τη χρηµατοοικονοµική σταθερότητα και την ασφάλεια των χρηµατοπιστωτικών υποδοµών. Επιπλέον, «οι επόπτες επανεξετάζουν τα µέσα εντοπισµού και περιορισµού των επιχειρησιακών κινδύνων και µπορούν επίσης να εξετάζουν τους νοµικούς κινδύνους, τη διαφάνεια των ρυθµίσεων και τα ζητήµατα πρόσβασης των πελατών. Η στρατηγική διαχείριση της SWIFT µπορεί επίσης να εξετάζεται από το ιοικητικό Συµβούλιο και τα ανώτερα διοικητικά στελέχη» 22. Το βασικό µέσο εποπτείας της SWIFT είναι η επιρροή και η πίεση την οποία µπορεί να ασκήσει η εποπτική αρχή («ηθική πίεση»). Οι επόπτες µπορούν να απευθύνουν συστάσεις στη SWIFT εντούτοις, 21 22 Η G-10 Group αποτελείται από τις τράπεζες National Bank of Belgium, Bank of Canada, Deutsche Bundesbank, European Central Bank, Banque de France, Banca d' Italia, Bank of Japan, De Nederlandsche Bank, Sveriges Riksbank, Swiss National Bank, Bank of England και το Federal Reserve System (USA), που εκπροσωπείται από την Federal Reserve Bank of New York και το Συµβούλιο ιοικητών του Federal Reserve System. Financial Stability Review 2005 (Έκθεση δηµοσιονοµικής σταθερότητας 2005), δηµοσιεύθηκε από την Εθνική Τράπεζα του Βελγίου και είναι διαθέσιµη στον δικτυακό τόπο της www.nbb.be. 16

είναι επίσης σαφές ότι η εποπτεία της SWIFT δεν παρέχει στη SWIFT καµία πιστοποίηση, έγκριση ή άδεια από τις κεντρικές τράπεζες. Τα µνηµόνια συµφωνίας µεταξύ της SWIFT και των κεντρικών τραπεζών περιέχουν διατάξεις σχετικά µε την εµπιστευτική επεξεργασία πληροφοριών που δεν έχουν δηµόσιο χαρακτήρα. Η G-10 Group ενηµερώθηκε κατά τη διάρκεια του 2002 σχετικά µε τις διαβιβάσεις δεδοµένων στις αρχές των ΗΠΑ. Εντούτοις, η εν λόγω οµάδα θεώρησε ότι το ζήτηµα αυτό δεν ενέπιπτε στον εποπτικό ρόλο της. Ακόµη, πολλές κεντρικές τράπεζες θεώρησαν ότι τα µνηµόνια συµφωνίας σχετικά µε τον εµπιστευτικό χαρακτήρα των στοιχείων δεν τους επέτρεπαν να αναφέρουν αυτό το ζήτηµα στις αρµόδιες αρχές σε εθνικό και ευρωπαϊκό επίπεδο. Ως εκ τούτου, τα µέλη της G-10 Group δεν εξέτασαν τις συνέπειες που θα είχε για την προστασία των δεδοµένων η διαβίβαση στοιχείων στις αρχές των ΗΠΑ, ούτε ενηµέρωσαν τις αρµόδιες αρχές, αλλά ούτε και ζήτησαν από τη SWIFT να το πράξει. Επιπλέον, ο Πρόεδρος της Ευρωπαϊκής Κεντρικής Τράπεζας (ΕΚΤ) ανέφερε σε δηµόσια ακρόαση στο Ευρωπαϊκό Κοινοβούλιο ότι τα µέλη της οµάδας G-10 των κεντρικών τραπεζών «δεν επιδοκίµασαν κατά κανένα τρόπο τη στάση της SWIFT να συµµορφωθεί µε αυτές τις κλήσεις. Πράγµατι, δεν θα µπορούσαµε να δώσουµε καµία παρόµοια άδεια, ακόµη και αν το επιθυµούσαµε, διότι αυτό ήταν εκτός των αρµοδιοτήτων µας. Συνεπώς, η SWIFT ήταν αποκλειστικά υπεύθυνη για τις αποφάσεις της» 23. εύτερον, πρέπει να επισηµανθεί ότι ο περιορισµένος ρόλος τον οποίο ασκούν οι κεντρικές τράπεζες σήµερα στην εποπτεία της SWIFT δεν αποκλείει τη δυνατότητα να θεωρηθεί µια κεντρική τράπεζα όπως και κάθε άλλο χρηµατοπιστωτικό ίδρυµα που χρησιµοποιεί την υπηρεσία SWIFTNet - ως (από κοινού) υπεύθυνος της επεξεργασίας όταν ενεργεί ως πελάτης της SWIFT (Βλ. ανωτέρω παράγραφο 3.2), σε περίπτωση που επεξεργάζεται δεδοµένα προσωπικού χαρακτήρα για τους σκοπούς διατραπεζικών συναλλαγών. Από αυτή την άποψη, το γεγονός ότι ορισµένες κεντρικές τράπεζες ενηµερώθηκαν σχετικά µε τις διαβιβάσεις δεδοµένων στις αρχές των ΗΠΑ µπορεί να ληφθεί υπόψη για τον καθορισµό της ευθύνης τους ως χρήστες του συστήµατος SWIFT. 4. ΕΚΤΙΜΗΣΗ ΤΗΣ ΣΥΜΜΟΡΦΩΣΗΣ ΜΕ ΤΙΣ ΙΑΤΑΞΕΙΣ ΠΕΡΙ ΠΡΟΣΤΑΣΙΑΣ ΤΩΝ Ε ΟΜΕΝΩΝ 4.1. Εφαρµογή των αρχών της ποιότητας και αναλογικότητας των δεδοµένων (Άρθρο 6 της Οδηγίας) Σύµφωνα µε το άρθρο 6 της Οδηγίας, τα δεδοµένα προσωπικού χαρακτήρα πρέπει να υφίστανται σύννοµη και θεµιτή επεξεργασία 24 πρέπει να συλλέγονται για 23 Jean-Claude Trichet: ήλωση του Προέδρου της ΕΚΤ στη δηµόσια ακρόαση στο Ευρωπαϊκό Κοινοβούλιο σχετικά µε την απόσπαση από τις µυστικές υπηρεσίες των ΗΠΑ δεδοµένων από το σύστηµα SWIFT τα οποία αφορούν διατραπεζικές µεταφορές χρηµατικών ποσών. 24 Άρθρο 6(1)(α) της Οδηγίας. 17

καθορισµένους, σαφείς και νόµιµους σκοπούς 25 και η επεξεργασία τους να είναι σύµφωνη µε τον αρχικό σκοπό για τον οποίο συνελέγησαν. Επιπλέον, τα δεδοµένα που υποβάλλονται σε επεξεργασία πρέπει να είναι κατάλληλα, συναφή προς το θέµα και όχι υπερβολικά σε σχέση µε τους σκοπούς για τους οποίους συλλέγονται ή/και υφίστανται επεξεργασία. 26 Αυτοί οι κανόνες, σε συνδυασµό µεταξύ τους, αναφέρονται ως «αρχή της αναλογικότητας». Τέλος, πρέπει να λαµβάνονται τα κατάλληλα µέτρα ώστε τα ανακριβή ή ελλιπή δεδοµένα να διαγράφονται ή να διορθώνονται. 27 4.1.1. Εµπορικός σκοπός Τα δεδοµένα προσωπικού χαρακτήρα συλλέγονταν από τα χρηµατοπιστωτικά ιδρύµατα αποκλειστικά για το σκοπό της εκτέλεσης των εντολών πληρωµών των πελατών και στη συνέχεια από τη SWIFT για την εκτέλεση της υπηρεσίας SWIFTNet FIN (εµπορικός σκοπός). Αυτός ο εµπορικός σκοπός της επεξεργασίας προσωπικών δεδοµένων µπορεί, συνεπώς, να θεωρηθεί ως ο µόνος προσδιορισµένος, ρητός και νόµιµος σκοπός. Όσον αφορά τη διαβίβαση δεδοµένων προσωπικού χαρακτήρα σε τρίτες χώρες, Βλ. κατωτέρω σηµείο 4.6. 4.1.2. Περαιτέρω επεξεργασία για αθέµιτους σκοπούς αα) Τα δεδοµένα προσωπικού χαρακτήρα δεν είναι δυνατό να υποβάλλονται σε επεξεργασία για σκοπούς που δεν συµβιβάζονται µε τον αρχικό σκοπό. Με την απόφασή της να αναπαράγει κατοπτρικά όλες τις δραστηριότητες επεξεργασίας δεδοµένων σε ένα επιχειρησιακό κέντρο στις ΗΠΑ, η SWIFT έθεσε τον εαυτό της σε µια εκ των προτέρων προβλέψιµη κατάσταση όπου θα δεχόταν κλήσεις βάσει της αµερικανικής νοµοθεσίας. Σε αυτή την περίπτωση, η SWIFT ελάµβανε κλήσεις τις οποίες εξέδιδε το UST για υποτιθέµενες έρευνες κατά της τροµοκρατίας. Αυτός ο πρόσθετος σκοπός είναι τελείως διαφορετικός από τον αρχικό σκοπό και την επεξεργασία δεδοµένων προσωπικού χαρακτήρα και µπορεί να έχει άµεσες επιπτώσεις για τα άτοµα των οποίων δεδοµένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία. Αυτός ο πρόσθετος σκοπός δεν συµβιβάζεται µε τον αρχικό, αποκλειστικά εµπορικό σκοπό για τον οποίο συνελέγησαν τα εν λόγω δεδοµένα. Η SWIFT γνώριζε αυτόν τον πρόσθετο σκοπό. Η διοίκηση της SWIFT τον ενέκρινε και συνεργάστηκε. Η SWIFT δεν ανέφερε αυτόν τον σκοπό ούτε στους χρήστες των υπηρεσιών της ούτε στην εποπτεύουσα αρχή ελέγχου της προστασίας δεδοµένων. ββ) ιαπιστώθηκε επίσης ότι η SWIFT διαβίβαζε σε µεγάλη κλίµακα δεδοµένα στο UST, χωρίς να έχει πραγµατική δυνατότητα να ελέγξει αν τα ζητούµενα δεδοµένα έχουν εξειδικευµένο χαρακτήρα. Σύµφωνα µε τη SWIFT, το UST µπορούσε εν δυνάµει να ελέγξει διεξοδικά όλα τα µηνύµατα χρηµατοοικονοµικού περιεχοµένου µέσω του 25 26 27 Άρθρο 6(1)(β) της Οδηγίας. Άρθρο 6(1)(γ) της Οδηγίας. Άρθρο 6(1)(δ) της Οδηγίας. 18

µηχανισµού του «black box». Αυτό το σύστηµα παρέχει στο UST τη δυνατότητα να αποσπά από το «black box» όλα τα µηνύµατα και τα δεδοµένα προσωπικού χαρακτήρα που περιέχονται σε αυτά τα οποία θεωρεί απαραίτητα. Η Οµάδα Προστασίας επισηµαίνει ότι, ακόµη και για τους σκοπούς των υποτιθέµενων ερευνών για την τροµοκρατία, η SWIFT έπρεπε να διαβιβάζει µόνο ειδικά και εξατοµικευµένα δεδοµένα για µεµονωµένες περιπτώσεις, τηρώντας πλήρως τις διατάξεις περί προστασίας των δεδοµένων. Επειδή αυτό δεν συνέβη, η τρέχουσα πρακτική δεν τηρεί την αρχή της αναλογικότητας και κατά συνέπεια παραβιάζει το άρθρο 6, παράγραφος 1, στοιχείο γ) της Οδηγίας. γγ) Το άρθρο 13 προβλέπει ότι «τα κράτη µέλη µπορούν να περιορίζουν µε νοµοθετικά µέτρα την εµβέλεια των υποχρεώσεων και των δικαιωµάτων που προβλέπονται από τις διατάξεις του άρθρου 6 παράγραφος 1 [αρχή του περιορισµού του σκοπού], του άρθρου 10, του άρθρου 11 παράγραφος 1 [υποχρέωση ενηµέρωσης του προσώπου στο οποίο αναφέρονται τα δεδοµένα], του άρθρου 12 [δικαίωµα πρόσβασης] και του άρθρου 21 [δηµοσιοποίηση των διαδικασιών επεξεργασίας], όταν ο περιορισµός αυτός απαιτείται για τη διασφάλιση [ακολουθεί κατάλογος στοιχείων δηµοσίου συµφέροντος] (γ) της δηµόσιας ασφάλειας (δ) της πρόληψης, διερεύνησης, διαπίστωσης και δίωξης παραβάσεων του ποινικού κώδικα [...] (στ) αποστολής ελέγχου, επιθεώρησης ή ρυθµιστικών καθηκόντων που συνδέονται, έστω και περιστασιακά, µε την άσκηση δηµόσιας εξουσίας στις περιπτώσεις που αναφέρονται στα στοιχεία (γ), (δ) και (ε)». Το Ευρωπαϊκό ικαστήριο ( ΕΚ) έχει διασαφηνίσει τη σηµασία ορισµένων από αυτές τις διατάξεις. Στην απόφαση της 20ής Μαΐου 2003 για τις συνεκδικασθείσες υποθέσεις C-465/00, C-138/01 και C-139/01 ("Rechnungshof"), το ικαστήριο κατέστησε σαφές ότι η κοινοποίηση σε τρίτους δεδοµένων που αρχικά συνελέγησαν για «οικονοµικούς» σκοπούς, περιλαµβανοµένων των δηµόσιων αρχών «συνιστά παρέµβαση κατά την έννοια του άρθρου 8 του ΕΧΑ». Ακόµη, οι παρεκκλίσεις από την αρχή περιορισµού του σκοπού που ορίζονται στην Οδηγία περί προστασίας των δεδοµένων πρέπει να είναι σύµφωνες µε το άρθρο 13 της ίδιας Οδηγίας και για το σκοπό αυτό πρέπει να είναι «αιτιολογηµένες βάσει του άρθρου 8 της σύµβασης» (Rechnungshof, C-465/00, παράγραφος 68 στ). Σύµφωνα µε τη Σύµβαση, για να είναι αιτιολογηµένη µια παρέµβαση που πλήττει το δικαίωµα της ιδιωτικής ζωής, πρέπει να είναι «σύννοµη» και «απαραίτητη σε µια δηµοκρατική κοινωνία» για λόγους δηµοσίου συµφέροντος. Η νοµολογία του Στρασβούργου έχει επανειληµµένα επισηµάνει ότι ο νόµος που επιτρέπει την παρέµβαση «πρέπει να αναφέρει το πεδίο κάθε παρόµοιου διακριτικού δικαιώµατος που παρέχεται στις αρµόδιες αρχές και τον τρόπο άσκησης της παρέµβασης µε επαρκή σαφήνεια, σε συνάρτηση µε το νόµιµο στόχο του επίµαχου µέτρου, έτσι ώστε να παρέχεται στα άτοµα επαρκής προστασία από αυθαίρετες παρεµβάσεις». Όµως, στην προκειµένη περίπτωση δεν είναι δυνατό να γίνει επίκληση αυτών των διατάξεων, διότι η SWIFT δεν συµµορφώθηκε µε τη βελγική νοµοθεσία που διέπει αυτά τα θέµατα. 28 28 Γνώµη της βελγικής ΑΠ, Βλ. υποσηµείωση 8. 19

δδ) Ακόµη, η Οµάδα Προστασίας επισηµαίνει την ύπαρξη νοµικών µηχανισµών σε κυβερνητικό επίπεδο. Η Οµάδα Προστασίας τονίζει ότι τα συστήµατα πρέπει να χρησιµοποιούνται σύµφωνα µε την αρχή του τραπεζικού απορρήτου. Ως προς αυτό, αναφέρεται στις 40+9 συστάσεις της Financial Action Task Force (FATF/GAFI) (Ειδική Οµάδα ράσης για Χρηµατοοικονοµικά Θέµατα), ένα διακυβερνητικό όργανο που συστάθηκε το 1989 µε στόχο να αναπτύξει και να προωθήσει εθνικές και διεθνείς πολιτικές για την καταπολέµηση της νοµιµοποίησης εσόδων από παράνοµες δραστηριότητες και της χρηµατοδότησης της τροµοκρατίας. Η Οµάδα Προστασίας αναφέρεται επίσης στο σύστηµα ανταλλαγής πληροφοριών χρηµατοοικονοµικού περιεχοµένου που έχουν θέσει σε λειτουργία ειδικές οµάδες πληροφοριών για οικονοµικά θέµατα 96 χωρών (Egmont Secure Web, ESW), ο συντονισµός της οποίας ασκείται από την FinCEN στις Ηνωµένες Πολιτείες. Σε αυτό το πλαίσιο, οι πληροφορίες χρηµατοοικονοµικού περιεχοµένου είναι δυνατό να παρέχονται στον αιτούντα µε την τήρηση των εθνικών διατάξεων της χώρας από την οποία εξάγονται οι πληροφορίες. Η Οµάδα Προστασίας αναφέρει επίσης τους υφιστάµενους µηχανισµούς συνεργασίας που δηµιουργήθηκαν ή αναπτύχθηκαν στο πλαίσιο του τρίτου πυλώνα (δικαστική και αστυνοµική συνεργασία), και ιδίως τις διεθνείς συµφωνίες που υπεγράφησαν στις 25 Ιουνίου 2003 µεταξύ των ΗΠΑ και της ΕΕ 29 σχετικά µε την αµοιβαία νοµική συνδροµή και, αν και έχει µικρότερη σχέση µε το εξεταζόµενο θέµα, τη διεθνή συµφωνία για την έκδοση κατηγορουµένων. Αν και οι συνθήκες αυτές δεν έχουν ακόµη επικυρωθεί, σύµφωνα µε το άρθρο 18 της Σύµβασης της Βιέννης για το ίκαιο των Συνθηκών 30, ένα κράτος υποχρεούται να απέχει από ενέργειες οι οποίες θα µπορούσαν να παραβιάζουν τον στόχο και το σκοπό µιας συνθήκης, σε περίπτωση που έχει υπογράψει τη συνθήκη ή έχει προβεί στην ανταλλαγή των εγγράφων της συνθήκης για επικύρωση και δεν έχει γνωστοποιήσει την πρόθεσή του να µην καταστεί συµβαλλόµενο µέρος της συνθήκης. Ως εκ τούτου, µε την απόφασή της να αναπαράγει κατοπτρικά όλες τις δραστηριότητες επεξεργασίας δεδοµένων σε ένα επιχειρησιακό κέντρο στις ΗΠΑ, η SWIFT περιήλθε σε µία προβλέψιµη κατάσταση όπου θα δεχόταν κλήσεις βάσει της νοµοθεσίας των ΗΠΑ και όπου η επεξεργασία των δεδοµένων προσωπικού χαρακτήρα έχει οργανωθεί µε τρόπο που καταστρατηγεί τους µηχανισµούς και τις ισχύουσες διεθνείς συµφωνίες. Συνολικά, η Οµάδα Προστασίας έχει τη γνώµη ότι δεν τηρούνται οι αρχές περιορισµού του σκοπού και της συµβατότητας, της αναλογικότητας και της αναγκαιότητας της επεξεργασίας των δεδοµένων προσωπικού χαρακτήρα. 29 30 Συµφωνία για την έκδοση µεταξύ της ΕΕ και των ΗΠΑ και «Συµφωνία περί αµοιβαίας νοµικής συνδροµής µεταξύ της ΕΕ και των ΗΠΑ». http://eur-lex.europa.eu/lexuriserv/site/en/oj/2003/l_181/l_18120030719en00270033.pdf και http://europa.eu.int/eurlex/pri/en/oj/dat/2003/l_181/l_18120030719en00340042.pdf#search=%22agreement%20on%20mutu al%20legal%20assistance%20between%20the%20european%20union%22 Συνθήκη της Βιέννης για το ίκαιο των Συνθηκών της 23 ης Μαΐου 1969. Οι Ηνωµένες Πολιτείες έχουν υπογράψει αυτή τη Συνθήκη. 20