Ny SWIFT aftale mellem EU og USA: Recomendation from the

Commission to the Council: To authorise opening of negotiations

between the European Union and the United States of America for an

international agreement to make available to the United States Trea-

sury departement financial messaging data to prevent and combat

terrorism and terrorist financing. SEC (2009) 771 final.

Nyt notat.

Resumé

Sagen drejer sig om forhandlingsmandat til EU Kommissionen i forbindelsemed en aftale mellem EU og USA om videregivelse af personoplysninger tilUSA i forbindelse med bekæmpelsen og finansiering af terror. Det drejersig om persondata som afgives i forbindelse med betalingsoverførsler bl.a.mellem personer i Europa. Aftalen mellem EU og USA iværksættes, da derfra september 2009 sker en ændring i arkitekturen af SWIFT, hvilket bevir-ker at USA ikke længere har adgang til de ovennævnte persondata.

1. Baggrund og indhold

SWIFT (Society for Worldwide Interbank Financial Telecommunication)er et internationalt finansielt netværk, der anvendes globalt af finansielleinstitutter til at sende og modtage finansielle meddelelsestyper, herunderbl.a. betalingsinstrukser. SWIFT ejes af dets brugere, dvs. ca. 3000 finan-sielle virksomheder med omkring 8000 forretningsenheder fordelt på 205lande. SWIFT er et aktieselskab med hovedsæde i Belgien og driftskonto-rer i bl.a. Nederlandene og USA. SWIFT opbevarer af sikkerhedsmæssi-ge årsager alle data i såvel Nederlandene som USA.SWIFT bliver, med særlig fokus på driftssikkerheden, overvåget af G10-landenes centralbanker med den belgiske centralbank som hovedansvar-lig.SWIFT er en nødvendig forudsætning for gennemførelsen af grænseover-skridende betalingstransaktioner og dermed også for betaling af varer ogservice for finansielle og ikke-finansielle virksomheder og husholdninger.Det forventes, at transaktionsomfanget i fremtiden forøges betydeligt somfølge af etableringen af det indre marked for betalingstjenester ved gen-nemførelsen af Betalingstjenestedirektivet og indførelsen af SEPA (Sing-le Euro Payment Area).

SWIFT har indtil i dag opbevaret persondata på servere i EU og USA.Serverne har tjent som back-up og har dermed haft det samme indholdbegge steder. SWIFT har besluttet at nedlægge sin amerikanske server fratidligst september 2009 og overflytte serveren til Schweiz, så begge back-up servere befinder sig i EØS-området.Hidtil har de amerikanske myndigheder, US Treasury Department, kun-net indhente oplysninger om EU-borgeres finansielle transaktioner tilbrug for bekæmpelsen af terrorisme. Det har været muligt, da SWIFTshar haft en database i USA, som dermed er underlagt amerikansk lovgiv-ning og er ikke reguleret af persondatadirektivet.De nuværende rammer for videregivelse af oplysninger fra SWIFT base-rer sig derfor ikke på en konkret aftale mellem EU og USA men på en en-sidig erklæring fra USA kombineret med løbende overvågning fra euro-pæisk side af, at de lovede foranstaltninger til beskyttelse af EU-borgernes demokratiske rettigheder løbende overholdes.I marts 2008 udpegede Kommissionen en europæisk kontaktperson(Eminent European Person), hvis rolle har været at overvåge og afrappor-tere om overholdelsen af erklæringens indhold. I December 2008 afgavkontaktpersonen den første rapport. Rapporten har været diskuteret i fe-bruar 2009 af Europa Parlamentets komité for civile rettigheder (CivilLiberties Committee) og i rådsregi. Rapporten konkluderer, at de ameri-kanske myndigheder har levet op til de krav til persondatabeskyttelse,som Kommissionen har sat og at man på baggrund af de indhentede datahar opnået betydelige resultater i kampen mod finansieringen af terroris-me. Ligesom også Medlemslandene har opnået fordele og informationertil brug i kampen mod national terrorisme.I forbindelse med SWIFTs nedlæggelse af sin amerikanske server, an-nonceret til september 2009, og overflyttelse af data til Schweiz har deamerikanske myndigheder udtrykt ønske om at få fortsat adgang til per-sondata, specifikt om adgang til serveren i Holland, vedrørende finansiel-le transaktioner internt i EU, EU og tredje lande og i det omfang det ermuligt mellem tredje lande.Den nye infrastruktur betyder, at USA for fremtiden kun vil kunne ind-hente persondata med udgangspunkt i amerikansk lovgivning i forbindel-se med transaktioner mellem EU og USA, idet både afsender og modta-ger gemmer transaktionsdata. Der vil med andre ord være tale om, at ensignifikant del af data, som de amerikanske myndigheder har udstedtdommerkendelser for, i fremtiden ikke længere vil være tilgængelig iUSA.Da SWIFT allerede fra september 2009 påbegynder ændringerne i sin ar-kitektur, er der pres for at få en hurtig aftale. Kommissionens forhand-lingsmandat vil med henblik på vedtagelse blive forelagt som a-pkt. på et

af de sidste rådsmøder inden sommerferien, formentlig GAERC den 25.-26 juli. Kommissionen vil formentlig starte forhandlingerne med USA al-lerede i løbet af september 2009.Det er Kommissionens holdning, at EU bør sikre USA’s fortsatte adgangtil oplysninger ved at etablere en formel aftale med USA, når SWIFT-serverne samles i Europa. Baggrunden for dette er, at den amerikanskescreening af persondata fra SWIFT databasen udgør et vigtigt element iden europæiske indsats mod terror. Kommissionen har derfor fremsat for-slag til forhandlingsmandat. Forslaget vedrører ikke kun de oplysninger,der videregives til de amerikanske myndigheder via SWIFT, men skaldække alle virksomheder involveret i finansielle transaktioner. SelvomSWIFT i praksis har monopol på denne ydelse.Kommissionen anbefaler, at Rådet tillader, at Kommissionen indlederforhandlinger med USA med det formål at udarbejde en international af-tale, som tillader udveksling af relevant data om finansielle transaktioner,som er nødvendige med det ene formål at bekæmpe terror og dets finan-siering. Aftalen skal sikre respekten for EU databeskyttelsesprincipper,for så vidt angår alle former for behandling af persondata indeholdt itransaktioner af finansiel karakter, som videregives mellem EU og tilUSA.Aftalen vil maksimalt vare 2 år og omfatter alle udbydere af internationa-le finansielle informationsservice. I forbindelse med aftalen nedsættes enoffentlig myndighed, som har ansvaret for at behandle ansøgninger fraUSA om adgang til data. Myndighedens opgave er at verificere lovlighe-den af ansøgningen og sikre, at udbyderen videregiver de relevante finan-sielle transaktionsdata. Myndigheden vil derefter sørge for, at data over-føres sikkert til US Treasury Department.Al relevant finansielle transaktionsdata vil udelukkende være data, som ernødvendigt for at bekæmpe terrorisme og dets finansiering.Aftalen vil sikre fuld respekt for fundamentale rettigheder i flg. artikel6(2) i Traktaten om den Europæiske Union og for proportionalitet ognødvendighed i forhold til retten til privat- og familieliv som bestemt afartikel 8(2) i Den Europæiske Menneskerettighedskonvention. Aftalenskal indeholde beskyttelses- og kontrolforanstaltninger, som sikrer til-strækkelig beskyttelse af persondata. Det drejer sig bl.a. om foranstalt-ninger rettet mod brugen af data, hvor længe data må beholdes, datasik-kerhed og videregivelse af data til andre myndigheder eller tredje lande.Aftalen vil forbyde, at videregivet data manipuleres, data mining, eller påanden vis samkøres med andre databaser.Der findes i øjeblikket ikke en fælleseuropæisk terrorbekæmpelsesdata-base (TFTP). De europæiske myndigheder har i en række tilfælde benyt-tet sig af den TFTP, som amerikanerne har opbygget. Aftalen med USA

sigter på at tillade, at US Department of Treasury foretager søgninger påopfordring af en eller flere EU kompetente myndigheder, dvs. EU Med-lemslande, Europol eller Eurojust, vedrørende en registreret terrorist or-ganisation eller en person mistænkt for at tilhøre eller hjælpe en sådanorganisation.I dag findes der allerede en aftale mellem EU og USA fra 6. juni 2003,som tillader udveksling mellem politimyndigheder information i relationtil bankkonti og finansielle transaktioner underlagt betingelser og be-grænsninger i udvekslingen af data. Ligesom der også findes aftaler mel-lem USA og Europol og Eurojust om samme (Aftaler mellem Den Euro-pæiske Union og Amerikas Forenede Stater om udlevering og gensidigretshjælp i kriminalsager (2003/516/EF)).Kommissionens forslag til forhandlingsmandat har været fremlagt for DeEuropæiske Datatilsynsmyndigheder (EDPS), som den 6. juli 2009 harkommenteret på forslaget.EDPS har en række kritiskpunkter og finder, at adgang til persondata skalvære baseret på meget stærke beviser og at de Europæiske borgeres ret-tigheder i den forbindelse skal beskyttes.EDPS anbefaler: at Kommissionen og Rådet genovervejer behovet ogproportionaliteten af aftalen specielt i forhold til, at der allerede eksistereret veludviklede EU og internationale retslige rammer for udveksling afpersondata til bekæmpelse af kriminalitet. At man genovervejer den fore-slåede retslige basis. At såfremt en aftale alligevel skal forhandles, atKommissionen sætter klare regler og standarder for databeskyttelse, somlever op til den EU fundamentale ret om beskyttelse af persondata.Kommissionen fremsætter forhandlingsmandatet med henvisning til EU-traktatens artikel 24 og 38 (søjle III) og i det tilfælde at Lissabon traktatentræder i kraft til artikel 218, som i så fald vil afløse artikel 24 og 38 afta-len. EDPS bemærker at for lignende restriktive foranstaltninger mod for-modede terrorister, EU tiltag og internationalt samarbejde har indtil vide-re været baseret på den Fælles Udenrigs- og Sikkerhedspolitik (søjle II).EDPS finder bl.a. derfor, at der er grund til at revurdere retsgrundlaget forden foreslåede aftale.

2. Europa-Parlamentets holdning

Europa-Parlamentet høres ikke. Såfremt Lissabon-traktaten vedtages, indenforhandlingsmandatet er færdigbehandlet, så skal parlamentet i flg. dennetraktat rådføres.

3. Nærhedsprincippet

Det vurderes, at nærhedsprincippet er overholdt i denne sag.

4. Gældende dansk ret

Aftalen tager sigte på overførelse af oplysninger til amerikanske myndig-heder fra udbydere af international finansiel informationsservice, herun-der SWIFT. Det kan oplyses, at der ikke findes sådanne udbydere i Dan-mark. Der sker således ikke i dag overførelse af oplysninger af den om-handlede karakter fra Danmark. Om gældende dansk ret kan i øvrigt op-lyses, at overførsel af personoplysninger fra Danmark vil være omfattet aflov nr. 429 af 31. maj 2000 om behandling af personoplysninger (person-dataloven). Dette vil i givet fald bl.a. indebære, at persondatalovens mate-rielle behandlingsregler i §§ 6-8 skal være opfyldt. Overførsel af person-oplysninger til et tredjeland, skal endvidere ligge inden for rammerne afden særlige bestemmelse i lovens § 27. Bestemmelsen i § 27 fastsætter, atder som udgangspunkt kun kan ske overførsel af personoplysninger til ettredjeland, såfremt dette land sikrer et tilstrækkeligt beskyttelsesniveau.

5. Høring

Der er ikke sket høring.

6. Generelle forventninger til andre landes holdning

Der forventes at være generel opbakning til den foreslåede løsning.

7. Foreløbig dansk holdning

Regeringen er positiv over for forhandlingsoplægget, idet der henvises tildet som Kommissionen oplyser, hvorefter de finansielle data, som deamerikanske myndigheder har behandlet, har skabt et betydeligt antal ef-terretningsspor, som medlemsstaternes tjenester har kunnet udnytte ikampen mod terrorisme i Den Europæiske Union. I modsætning til tidlige-re, hvor SWIFT spejldatabasen var placeret i USA, har EU nu i kraft af afta-len mulighed for at sikre fuld respekt for europæiske borgeres fundamentalerettigheder i overensstemmelsen med traktatens artikel 6 (2) og sikre pro-portionalitet og nødvendighed i forhold til retten til privat- og familielivsom bestemt af artikel 8(2) i Den Europæiske Menneskerettighedskon-vention, samt sikre at de bærende principper i persondatadirektivet over-holdes. Regeringen er således enig i, at der skal tages højde for EDPS be-mærkninger om at det er vigtigt, at Kommissionen sætter klare regler ogstandarder for databeskyttelse, som lever op til den EU fundamentale retom beskyttelse af persondata.

8. Lovgivningsmæssige og statsfinansielle konsekvenser

Løsningen har ikke lovgivningsmæssige eller statsfinansielle konsekvenser.

9. Samfundsøkonomiske konsekvenser

Løsningen har ikke samfundsøkonomiske konsekvenser.

10. Tidligere forelæggelse for Folketingets Europaudvalg

Sagen har tidligere været forelagt Europaudvalget til orientering den 23.juni 2007 med henblik på vedtagelse som a-punkt på rådsmødet (miljø)den 26. juli 2007. Herudover har sagen tidligere været nævnt på Europa-udvalgets møde den 24. november 2006.