11. februar 2010 nektet EU-parlamentet å godkjenne en midlertidig avtale mellom EU og USA om fortsatt overlevering av bankdata til bruk i USAs program mot terrorfinansiering (TFTP, Terrorist Financing Tracking Programme). Personvernhensyn var hovedinnvendingen.
Personvernet til de registrerte var bakgrunn for avvisningen. EU-parlamentet mente alt for mange opplysninger var blitt masseutlevert til USA, og var bekymret for at garantiene for at opplysningene ble håndtert på en betryggende måte ikke var gode nok.
- SWIFTs systemer er ikke laget slik at finansmeldingsselskapet kan hente frem data på annet enn massenivå, fremgår det av en rapport skrevet av Jeanine Hennis-Plasschaert for EU-parlamentet forut for avvisningen av den midlertidige avtalen. Swift kan ikke trekke ut data om en enkelt person, og USA har derfor i praksis fått utlevert alle transaksjonsdata.
Å masseutlevere disse dataene uten at det finnes en konkret mistanke, er direkte i strid med grunnprinsippene i europeisk personvernrett. I mai kom parlamentet med en rekke krav til hva en slik avtale minst måtte inneholde.
Kravene går blant annet på at grunnleggende personvernhensyn må ivaretas. Særlig understreker parlamentet at det må foreligge mistanke før data kan utleveres. Data må bare brukes målrettet mot terror/terrorfinansiering, samt USA må garantere at de registrertes rettigheter blir sikret bedre enn i tidligere avtaler.
Parlamentet understreker at ren masseoverføring av data, slik det har foregått tidligere, strider mot grunnprinsipper i europeisk rett og praksis.
Se kravene EU-parlamentet stilte i mai 2010 her (nytt vindu)
Hva er SWIFT?
SWIFT (Society for Worldwide Interbank Financial Telecommunication) er et finansmeldingsselskap med base i Belgia. Selskapet sender meldinger om finansielle overføringer mellom kunder med ulike bankforbindelser, og over landegrensene. Flere enn 8000 finansinstitusjoner i over 200 ulike land er med i nettverket. Mange transaksjoner passerer gjennom systemet hver dag. Dataene inneholder blant annet personopplysninger som navn på betaler og mottaker samt kontonummer.
Avslørt i 2006
SWIFT-data har blitt brukt av USAs finansdepartement i arbeidet med ettersporing av terrorister, personer og virksomheter som finansierer terror gjennom Terrorist Finance Tracking Programme (TFTP). USA har benyttet seg av administrative fullmakter til å rekvirere data (ikke domstolskontroll). Da dette ble avslørt av New York Times, Wall Street Journal og Los Angeles Times i 2006, ble det store oppslag i mange medier i USA og Europa. EUs Artikkel 29-gruppe, som har som oppgave å etterse at personverndirektivet blir fulgt, kom i 2006 med skarp kritikk mot SWIFT for å ha utlevert opplysninger fra Europa i strid med EUs personverndirektiv.
Les Artikkel 29-gruppens uttalelse her (nytt vindu)
Siden har saken gått flere runder i EU-systemet.
EU-parlamentet krevde at det ble laget et rammeverk som sørget for tilstrekkelig personvern, og hindret bruk til andre formål enn arbeidet mot terror. Noen endringer er blitt gjennomført på veien. 1. januar 2010 ble strukturen i SWIFT endret slik at alle data ikke automatisk blir kopiert over til servere i USA. Nå lagrer servere i henholdsvis Sveits og Nederland SWIFT-opplysningene.
Kommisjonen er kommet med ulike avtaletekster, men alle har møtt krass kritikk, og den foreløpig siste avtalen, en interrimsavtale godkjent av ministerrådet, altså ble avvist av EU-parlamentet i 11. februar 2010.
Ny avtaletekst på trappene
I begynnelsen av juni 2010 har EU-kommisjonen signalisert at de er nær å ha klar en ny avtale som skal regulere utleveringen av bank- og betalingsopplysninger til USA. EU-kommisjonær for innenrikssaker Cecilia Malmström redegjorde for dette for EU-parlamentets komite for borgernes rettihgeter, og rettslige og indre anliggender (LIBE) den 10. juni.
Les fremlegget til Cecilia Malmstöm her (nytt vindu)
Uten å legge frem utkastet til avtale, mente Cecilia Malmström at mange av parlamentets krav er møtt i den nye avtaleteksten. I et avisintervju etter møtet uttrykte hun et håp om at avtaleteksten skulle kunne godkjennes av parlamentet før sommerferien.
Lagringen av opplysningene er tenkt å være fem år, og i hovedsak to mekanismer er tenkt å gi bedret personvern. Det dreier seg, etter Malmströms beskrivelse i hovedsak om at politiet vurderer USAs utleveringsbegjæringer, og styrket tilsyn i etterkant.
Europol skal verifisere at USAs forespørsler om data er innenfor mandatet og innenfor avtalen. Videre skal Europol vurdere om dataene er nødvendige i kampen mot terrorisme og terrorfinansiering før de sendes til USA, samt om forespørselen er smal nok til å minimere mengden data som overføres.
Tilsynet i etterkant skal foretas av en ikke nærmere spesifisert gruppe, samt en uavhengig person EU-kommisjonen skal utnevne.
Malmstöm antyder også at det kan bli aktuelt med et europeisk program for sporing av terrorfinans som likner USAs Terror Finance Tracking Program (TFTP).
Den nye avtalen
EU-kommisjonen har sluttført avtalen, og mer informasjon er publisert på EU-kommisjonens sider:
Flere EU-parlamentarikere truer med nytt veto. De mener at den nye avtalen ikke vil løse hovedproblemet; at data om tusenvis av mennesker som ikke er mistenkt for noe som helst skal masseoverføres til bruk i etterretning. Europols tiltenkte rolle vil, etter kritikernes mening, være av liten betydning. MEPs threaten second veto on EU-US bank data deal (hos EU observer, nytt vindu)
EDPS, den europeiske tilsynsførende for personvernsaker, har i en uttalelse understreket at den nye avtalen fortsatt har mangler, spesielt når det gjelder masseoverføring og lagring av overskuddsinformasjon i lang tid.
Les EDPS' uttalelse om SWIFT her (pdf)