Federale regering Belgie
SWIFT
(2006-09-28)
Persdienst van de Eerste Minister
PERSBERICHT M.B.T. HET ADVIES BETREFFENDE DE DOORGIFTE VAN
PERSOONSGEGEVENS DOOR DE CVBA SWIFT INGEVOLGE DE DWANGBEVELEN VAN DE
UST (OFAC)
De Commissie voor de bescherming van de persoonlijke levenssfeer
bracht op vraag van het College Inlichtingen en Veiligheid het volgend
advies uit met betrekking tot de rol van SWIFT bij de doorgifte van
persoonsgegevens aan de US Departement of the Treasury (UST). Dit is
onder meer gesteund op de Belgische Privacywet, openbare informatie
over SWIFT, opgevraagde documentatie van SWIFT en elementen uit
herhaalde bevragingen.
De Commissie pleegde overleg met de Europese groep voor de bescherming
van personen in verband met de verwerking van persoonsgegevens,
opgericht op basis van artikel 29 van de richtlijn 95/46/EG (hierna de
"Groep 29"). De groep 29 verklaarde alvast dat zij het als haar
prioriteit beschouwt om de Europese dataprotectierechten te handhaven
en wees ook op het gebrek aan transparantie van de onderhandelingen
met de UST, meer bepaald de Office of Foreign Assets Control (OFAC).
+
+ +
1. Inleiding
Het onderzoek van de Commissie richtte zich op de verwerking van
persoonsgegevens via de dienst SWIFTNet FIN en op de rol van SWIFT bij
de doorgifte van persoonsgegevens aan de UST. Dit onderzoek is dus
niet gericht op verwerkingen in het kader van de normale administratie
van een onderneming (waarvoor SWIFT de nodige aangiften heeft verricht
bij de Commissie).
De vraag of de (Belgische) financiële instellingen inbreuk pleegden op
de Belgische privacywet valt buiten het voorwerp van dit advies.
+
+ +
2. De feiten
SWIFT verleent aan haar klanten (ongeveer 7800 financiële
instellingen) geautomatiseerde diensten die in essentie bestaan uit de
transmissie van financiële boodschappen tussen financiële instellingen
wereldwijd. SWIFT is zelf geen financiële instelling. SWIFT heeft twee
verwerkingscentra, één in Europa en één in de VS, die de via SWIFT
verwerkte transactieboodschappen gedurende 124 dagen stockeren. De
SWIFTNet Fin dienst maakt het mogelijk boodschappen te sturen
betreffende financiële transacties tussen financiële instellingen.
Na de aanslagen in september 2001 richtte de UST meerdere dwangbevelen
aan het filiaal SWIFT in de VS. De toepassing daarvan is zeer breed
vanuit een materieel, territoriaal en tijdstandpunt. Het gaat om
niet-geïndividualiseerde en massale opvragingen door de UST van
informatie over (onder meer) Europese financiële transacties. Uit de
verificaties van de Commissie blijkt meer bepaald dat in het
ophalingsproces voor de UST een onderscheid werd gemaakt tussen twee
trappen; enerzijds het bewaren van de onder de dwangbevelen
aangeleverde boodschappen in een zwarte doos en anderzijds het
effectief bekijken van boodschappen in de zwarte doos door de UST na
uitoefening van zoekopdrachten teneinde terrorisme te bestrijden.
Na verificatie van de dwangbevelen nam SWIFT beslissingen over de
naleving van de dwangbevelen. SWIFT informeerde ook haar
toezichtcomité waaronder de Nationale Bank van België (NBB), die
echter oordeelde niet bevoegd te zijn om de naleving door SWIFT van de
opeenvolgende bevelschriften van UST te beoordelen omdat dit buiten de
toezichtbevoegdheid valt.
+
+ +
3. De toepasselijkheid van de Belgische Privacy-wet
De Commissie is van oordeel dat de Belgische privacywet van toepassing
is op de gegevensuitwisseling via de dienst SWIFTNet FIN. Het gaat
over transacties waarbij Belgische particulieren kunnen betrokken zijn
via de internationale betalingsopdrachten die zij aan hun bank
toevertrouwen. SWIFT heeft in België (La Hulpe) ook haar hoofdzetel.
+
+ +
4. De vraag of SWIFT en de financiële instellingen "verantwoordelijke
voor de verwerking" zijn
Vraag is of SWIFT louter een verwerker is, bijvoorbeeld als
postdienst, dan wel een verantwoordelijke voor de verwerking van
persoonsgegevens via haar dienst SWIFTNet FIN.
De Commissie is van oordeel dat
- SWIFT een verantwoordelijke is voor de verwerking van
persoonsgegevens die via de dienst SWIFTNet FIN worden verwerkt; De
Commissie overweegt onder meer dat SWIFT een internationaal
coöperatief netwerk is met een sterk centraal beheer dat een dienst
aan meerdere duizenden financiële instellingen aanbiedt. Deze situatie
is niet te vergelijken met deze van een eenvoudig dienstenconcept
waarbij één enkele professionele aanbieder persoonsgegevens verwerkt
ten aanzien van één professionele of niet-professionele tegenpartij.
SWIFT neemt beslissingen, die verder gaan dan de normale en wettelijk
afgebakende "manoeuvreerruimte" binnen dewelke een normale verwerker
kan beslissen; SWIFT is ook duidelijk een verantwoordelijke omdat zij
alle cruciale beslissingen nam over de mededeling van gegevens aan de
UST, en deed dit zonder medeweten van haar 7800 klanten.
- de financiële instellingen verantwoordelijk zijn gezien zij, in het
interbancaire verkeer, mede het doel van en de middelen bepalen voor
de uitvoering van de betalingsopdrachten.
+
+ +
5. Het onderzoek naar mogelijke schendingen van de Belgische
privacywet
Er bestaan fundamentele verschillen tussen de EU en VS wat betreft de
wetgevingen en beginselen die de verwerkingen van persoonsgegevens
reglementeren, het beschermingsniveau is veel hoger in Europa.
De Commissie is hierbij van oordeel dat:
- wat de normale verwerking van persoonsgegevens in het kader van de
dienst SWIFTNet Fin betreft:
SWIFT had haar verplichtingen onder de Belgische privacywet dienen na
te leven, waaronder de aangifteplicht, de informatieplicht, en de
verplichting om de bepalingen inzake doorgifte van persoonsgegevens
naar landen buiten de Europese Unie na te leven
- wat de mededeling van persoonsgegevens aan de UST betreft,
SWIFT bevindt zich in een conflictsituatie tussen Amerikaans en
Europees recht. Alhoewel SWIFT wel aanzienlijke inspanningen heeft
gedaan om via onderhandelingen met de UST een aantal waarborgen te
voorzien, beging SWIFT toch een aantal inschattingsfouten bij de
uitvoering van de Amerikaanse dwangbevelen. SWIFT had van bij het
begin bewust dienen te zijn van het feit dat, naast de toepassing van
het Amerikaans recht, ook de fundamentele beginselen onder Europees
recht dienen te worden nageleefd, zoals het
proportionaliteitsbeginsel, de beperkte bewaringstermijn, het
transparantiebeginsel, de vereiste van onafhankelijke controle en de
vereiste van een passend beschermingsniveau.
+
+ +
6. Besluit
De Regering is ervan overtuigd dat dit dossier alle lidstaten van de
Europese Unie aanbelangt, in de mate waarin het duidt op een conflict
tussen rechtsstelsels dat dient te worden opgelost binnen het kader
van een zo ruim mogelijk overleg met de Verenigde Staten.
De Regering zal de nodige contacten leggen met de Europese partners om
de mogelijke oplossingen snel te onderzoeken en zo de strijd tegen de
financiering van het terrorisme te kunnen verzoenen met de
noodzakelijke naleving van de waarborgen inzake de bescherming van de
private levenssfeer van burgers ten aanzien van de Europese regels.