Transatlantycki przepływ danych
Standardy ochrony prywatności, które obowiązują w Unii Europejskiej nie są idealne i – dlatego od paru lat zabiegamy o ich dostosowanie do cyfrowej rzeczywistości. Nadal są jednak bez porównania lepsze, niż na innych kontynentach. Stąd przekazywanie danych do państw spoza UE powinno odbywać się w ściśle wyznaczonych ramach. Niekiedy – jak ma to miejsce przy danych bankowych lub danych o pasażerach linii lotniczych – te ramy wyznaczają porozumienia międzynarodowe. Niestety, te obowiązujące lub obecnie negocjowane wywołują sporo kontrowersji.
Jednym ze schematów przekazywania danych poza Europę jest umowa między Unią Europejską a USA dotycząca danych bankowych, czyli tzw. porozumienie SWIFT. SWIFT, czyli Society for Worldwide Interbank Financial Telecommunication, to stowarzyszenie instytucji finansowych utrzymujące sieć telekomunikacyjną służącą do wymiany informacji. Organizacja pośredniczy w transakcjach między bankami, domami maklerskimi, giełdami oraz innymi instytucjami finansowymi. Dziennie w ramach SWIFT realizowanych jest kilka milionów operacji.
Na podstawie tego porozumienia od 2010 roku do Stanów Zjednoczonych przekazywane są hurtowe ilości danych klientów europejskich banków. Jest to konsekwencja polityki bezpieczeństwa prowadzonej przez Stany Zjednoczone po atakach z 11 września 2001 r. i „walki z terroryzmem”. Porozumienie SWIFT od początku było mocno krytykowane. Przede wszystkim dlatego, że stworzyło niebezpieczny wyłom w europejskich standardach ochrony danych osobowych.
Tymczasem we wrześniu br. dowiedzieliśmy się, że amerykańskie służby, pomimo obowiązywania umowy z UE, włamywały się do bazy danych SWIFT. Doniesienia te wywołały ogromne poruszenie pośród polityków europejskich. W zeszłym tygodniu eurodeputowani przyjęli rezolucję, w której wezwali Komisję Europejską do zawieszenia porozumienia SWIFT. Dodatkowo, Parlament Europejski zażądał wyjaśnienia sprawy nielegalnego pozyskiwania danych bankowych przez USA oraz przeprowadzenia przez parlamentarną Komisję Sprawiedliwości i Wolności Obywatelskich (LIBE) śledztwa w tej sprawie. Niestety, sama rezolucja nie ma wiążącego charakteru. Komisja Europejska zapowiedziała natomiast, że wcale nie zamierza porozumienia zawieszać. Cecilia Malmström – komisarz odpowiedzialna za sprawy wewnętrzne Unii - uznała, że nie ma wystarczających dowodów na złamanie umowy przez Stany Zjednoczone. Zapewniła jednak, że europosłowie będą w tej sprawie na bieżąco informowani.
SWIFT to jednak nie jedyny punkt zapalny dotyczący przekazywania danych Europejczyków do innych państw pod pretekstem walki z terroryzmem. Unię Europejską obowiązują obecnie umowy z trzema krajami – USA, Kanadą i Australią – w sprawie tzw. danych PNR (Passenger Name Records). PNR to dane zbierane zwyczajowo przez linie lotnicze w celach komercyjnych. Zalicza się do nich bardzo duże ilości informacji o pasażerach – od imienia i nazwiska po wybrany na pokładzie samolotu rodzaj posiłku. Gromadzenie i przekazywanie do innych państw tak wielu szczegółowych danych wywołuje sprzeciw organizacji broniących praw obywatelskich. Do tej pory największe kontrowersje budziła umowa ze Stanami Zjednoczonymi. Teraz na horyzoncie pojawił się kolejny problem: renegocjonowane porozumienie o przekazywaniu danych PNR, które wcale nie zapewnia lepszych standardów ochrony prywatności.
W liście skierowanym do eurodeputowanych Grupa Robocza art. 29 (unijny organ doradczy zrzeszający rzeczników ochrony danych ze wszystkich państw członkowskich) mocno skrytykowała projekt nowej umowy z Kanadą. Grupa podkreśla przede wszystkim, że skuteczność wykorzystania danych PNR w walce z terroryzmem nigdy nie została udowodniona. Europejscy rzecznicy ochrony danych apelują również o wprowadzenie do porozumienia dodatkowych gwarancji – m.in. wskazania precyzyjnych celów przekazywania danych, zakazania przetwarzania danych wrażliwych oraz skrócenia długiego (bo aż 5-letniego) okresu retencji danych. Nad projektem umowy w Parlamencie Europejskim pracuje komisja LIBE.
Opracowanie: Jędrzej Niklas