/* KOM/2011/0429 wersja ostateczna */ KOMUNIKAT KOMISJI DO PARLAMENTU EUROPEJSKIEGO, RADY, EUROPEJSKIEGO KOMITETU EKONOMICZNO-SPOŁECZNEGO I KOMITETU REGIONÓW Europejski system śledzenia środków finansowych należących do terrorystów: potencjalne warianty
KOMUNIKAT KOMISJI DO PARLAMENTU EUROPEJSKIEGO, RADY, EUROPEJSKIEGO KOMITETU EKONOMICZNO-SPOŁECZNEGO I KOMITETU REGIONÓW Europejski system śledzenia środków finansowych należących do terrorystów: potencjalne warianty Wprowadzenie Kiedy Rada zatwierdziła wniosek w sprawie Umowy między Unią Europejską a Stanami Zjednoczonymi o przetwarzaniu i przekazywaniu danych z komunikatów finansowych do celów Programu śledzenia środków finansowych należących do terrorystów (umowa UE-USA w sprawie TFTP)[1], równocześnie wezwała Komisję do przedstawienia Parlamentowi Europejskiemu i Radzie w ciągu roku od wejścia w życie porozumienia (1 sierpnia 2010 r.), „prawnych i technicznych ram pobierania danych na terenie UE”[2]. Parlament Europejski konsekwentnie zwracał się o przygotowanie trwałego i prawnie uzasadnionego, europejskiego rozwiązania kwestii pobierania żądanych danych na terenie Europy[3]. W komunikacie „Strategia bezpieczeństwa wewnętrznego UE w działaniu: pięć kroków w kierunku bezpieczniejszej Europy” również zapowiedziano, że Komisja opracuje w 2011 r. politykę UE w zakresie pozyskiwania i analizy danych z komunikatów finansowych zarejestrowanych na terenie UE[4]. Biorąc pod uwagę skuteczność systemu TFTP USA, oczekuje się, że system europejski przyczyni się do odcięcia terrorystów od źródeł finansowania i materiałów oraz do śledzenia dokonywanych przez nich transakcji. Można również odwołać się do art. 11 umowy UE-USA w sprawie TFTP, który stanowi, że w trakcie obowiązywania umowy Komisja Europejska przeprowadzi badanie na temat możliwego wprowadzenia równoważnego unijnego systemu pozwalającego na bardziej ukierunkowane przekazywanie danych. Niniejszy komunikat stanowi pierwszy etap odpowiedzi Komisji na postanowienia tego artykułu umowy i wezwanie wystosowane przez Radę. Opisuje on różne działania podjęte przez Komisję w celu ustanowienia takich prawnych i technicznych ram oraz przedstawia różne rozpatrywane warianty, które pozwolą osiągnąć ten cel. Na tym etapie w komunikacie nie wskazuje się jednego preferowanego rozwiązania – przedstawiono jednak istotne kwestie, które należy uwzględnić w odniesieniu do rozważanych wariantów. Biorąc pod uwagę polityczną wagę tego zagadnienia i jego prawną oraz techniczną złożoność, Komisja chce zaprezentować Radzie i Parlamentowi Europejskiemu aktualną sytuację oraz rozpocząć debatę. Komisja uznaje, że najkorzystniej będzie przeprowadzić taką debatę przed zaprezentowaniem konkretnych propozycji na podstawie oceny skutków. W tym kontekście należy podkreślić, że komunikat nie przesądza z góry, która propozycja zostanie przedstawiona przez Komisję. Każda przyszła propozycja będzie uwzględniać wyniki wspomnianych dyskusji oraz ocenę skutków, która zostanie oparta na badaniu zleconym przez Komisję w drugiej połowie 2010 r. Biorąc pod uwagę wpływ, jaki wniosek ustawodawczy może mieć na prawa podstawowe, a w szczególności na ochronę danych, ocena skutków będzie skoncentrowana na konieczności i proporcjonalności środków, które może zaproponować Komisja. W tym celu Komisja będzie się kierować wskazówkami zawartymi w swoim komunikacie „Strategia skutecznego wprowadzania w życie Karty praw podstawowych przez Unię Europejską”[5]. Dodatkowo ocena skutków dostarczy niezbędnego materiału dotyczącego zagadnień technicznych, jak również szczegółowej oceny dostępnych wariantów. Na temat tych zagadnień prowadzono już dyskusje z wieloma zainteresowanymi tą dziedziną podmiotami, w tym organami państw członkowskich, organami zajmującymi się ochroną danych osobowych, Europolem oraz wyznaczonym dostawcą. Ostateczne wyniki wyżej wspomnianego badania będą dostępne dopiero przed końcem tego roku. Aby wesprzeć przygotowanie oceny skutków, Komisja Europejska zorganizowała trzy spotkania ekspertów z tymi samymi zainteresowanymi podmiotami, jak również z organami amerykańskimi odpowiedzialnymi za zarządzanie systemem TFTP. Warianty omówione w niniejszym komunikacie opierają się na wstępnych wynikach badania oraz dyskusjach przeprowadzonych na spotkaniach ekspertów. CELE USTANOWIENIA UNIJNEGO SYSTEMU śLEDZENIA PRZEPłYWU śRODKÓW FINANSOWYCH NALEżąCYCH DO TERRORYSTÓW Istnieją dwa główne powody ustanowienia unijnego systemu śledzenia przepływu środków finansowych należących do terrorystów (TFTS): - system musi skutecznie przyczynić się do walki z terroryzmem i finansowaniem działalności terrorystycznej na terytorium Unii Europejskiej; - system musi przyczynić się do ograniczenia ilości danych osobowych przekazywanych do państw trzecich. System powinien umożliwić przetwarzanie żądanych danych na terytorium UE zgodnie z zasadami i prawodawstwem UE. W Stanach Zjednoczonych udowodniono, że system śledzenia przepływu środków finansowych należących do terrorystów (system TFTP) ma znaczną wartość dodaną w walce z terroryzmem i finansowaniem działalności terrorystycznej, przynosząc korzyści nie tylko organom Stanów Zjednoczonych, ale także organom państw członkowskich Unii Europejskiej i organom państw trzecich. Przy okazji ostatniego przeglądu umowy UE-USA w sprawie TFTP[6] stwierdzono, że od ustanowienia systemu TFTP w Stanach Zjednoczonych, przekazano organom państw trzecich ponad 2500 raportów, z których przytłaczająca większość (1700) dotyczyła Unii Europejskej. Skuteczność amerykańskiego programu i jego znaczenie w walce z terroryzmem oraz finansowaniem działalności terrorystycznej zostały również potwierdzone w dwóch sprawozdaniach zaprezentowanych przez sędziego Bruguière’a, któremu w 2008 r. Komisja Europejska powierzyła dokonanie przeglądu tego programu. Informacje pobrane z systemu TFTP, które zostały dostarczone organom UE obejmowały istotne poszlaki w odniesieniu do głośnych dokonanych lub planowanych ataków terrorystycznych, takich jak ataki w Madrycie i Londynie, udaremniona w 2006 r. próba zamachu na samoloty transatlantyckie z użyciem płynnych materiałów wybuchowych oraz próba ataku na interesy Stanów Zjednoczonych podjęta w 2007 r. w Niemczech. Zespół zajmujący się przeglądem z ramienia UE także stwierdził, że dostarczono mu „przekonujących informacji dotyczących wartości dodanej systemu TFTP w walce z terroryzmem i finansowaniem terroryzmu”. Doświadczenia te pozwalają wysunąć uzasadnione przypuszczenie, że system TFTS UE również istotnie przyczyni się do działań UE i państw członkowskich podejmowanych w ramach walki z terroryzmem i finansowaniem terroryzmu. Mimo że nie kwestionuje się skuteczności systemu TFTP USA w walce z terroryzmem i finansowaniem terroryzmu, pojawiły się poważne wątpliwości co do jego wpływu na prawa podstawowe obywateli. Wynikają one głównie z tego, że wykonanie umowy UE-USA w sprawie TFTP wiąże się z przekazywaniem dużej ilości danych osobowych („duże partie danych”) organom Stanów Zjednoczonych – a znaczna większość tych danych dotyczy obywateli, którzy nie mają nic wspólnego z terroryzmem i finansowaniem terroryzmu. Dane przekazywane są w dużych partiach (według kategorii danych), a nie jednostkowo (w odpowiedzi na wniosek dotyczący jednej osoby lub większej liczby osób), z tego względu, że dostawca danych nie ma technicznej zdolności przekazywania danych na temat poszczególnych jednostek. Dodatkowo, aby dostawca był w stanie udostępnić jednostkowe dane, musiałby zainstalować funkcje zaawansowanego wyszukiwania i analizy, które nie są wymagane przez jego procedury operacyjne, co pociągnęłoby za sobą istotne konsekwencje w kontekście zasobów. Ponadto przekazywanie danych na temat jednostek oznaczałoby, że dostawca w konsekwencji wiedziałby, w stosunku do których jednostek toczy się dochodzenie w ramach dochodzeń dotyczących terroryzmu i finansowania tej działalności. Mogłoby to mieć wpływ na skuteczność takich dochodzeń. Aby zrównoważyć skutki przekazywania dużych partii danych, wprowadzono znaczne zabezpieczenia, gwarantujące, że nie dojdzie do niewłaściwego wykorzystania danych, w tym zastrzeżenie, że przekazane dane będą przeszukiwane i wykorzystywane jedynie do celów walki z terroryzmem i finansowaniem działalności terrorystycznej. Ostatni przegląd umowy UE-USA w sprawie TFTP potwierdził, że zabezpieczenia te są rzeczywiście wdrażane zgodnie z postanowieniami umowy. Niezależnie od tego pojawiły się głosy, iż przekazanie takiej ilości danych do państwa trzeciego stanowi niepożądane naruszenie praw podstawowych obywateli, których one dotyczą, ze względu na konieczność i proporcjonalność tego naruszenia. W związku z tym Rada wezwała Komisję do przedstawienia propozycji ustanowienia „systemu pobierania danych, który będzie funkcjonował na terytorium UE”, której ogólnym celem jest zapewnienie, że przetwarzanie takich danych będzie się odbywać zgodnie z prawodawstwem UE dotyczącym ochrony danych oraz z Kartą praw podstawowych Unii Europejskiej. W tym kontekście należy zauważyć, że zbieranie i przetwarzanie danych finansowych przez organy publiczne narusza prawo do ochrony danych osobowych zapisane w art. 16 TFUE i art. 8 Karty. Zgodnie z art. 52 ust. 1 Karty wszelkie ograniczenia praw podstawowych muszą być przewidziane ustawą, która będzie wystarczająco precyzyjna i zapewni wystarczającą przewidywalność oraz poszanowanie istoty tych praw. Ograniczenia te mogą być wprowadzone wyłącznie wtedy, gdy są proporcjonalne i konieczne dla osiągnięcia praworządnego celu uznanego przez Unię. Zasady te muszą być zatem uwzględnione nie tylko podczas podejmowania decyzji, czy system TFTS UE powinien zostać ustanowiony, ale także w odniesieniu do różnych możliwych wariantów wdrażania systemu. Dlatego zasady te w równym stopniu wpływają na wybory, których należy dokonać, w odniesieniu do takich zagadnień jak zakres funkcjonowania systemu, obowiązujące okresy zatrzymywania danych, prawa jednostek dotyczące dostępu i usuwania danych itp. Zagadnienia te nie zostały szczegółowo poruszone w obecnym komunikacie, ale zostaną w pełni przeanalizowane w ocenie skutków. Ewentualne utworzenie systemu pobierania danych na terytorium UE miałoby oczywiste konsekwencje dla obowiązującej umowy UE-USA w sprawie TFTP. Zostało to przewidziane w art. 11 ust. 3 umowy, który stanowi, że ponieważ utworzenie systemu UE mogłoby w znaczący sposób zmienić kontekst umowy, strony powinny przeprowadzić konsultacje, aby ustalić, czy istnieje konieczność dostosowania umowy, gdyby Unia Europejska zdecydowała się na utworzenie takiego systemu. Wszystkie warianty mogłyby zatem mieć wpływ na przyszłe wykonywanie i w następstwie ponowne dostosowanie obowiązującej umowy UE-USA w sprawie TFTP. GłÓWNE FUNKCJE UNIJNEGO SYSTEMU śLEDZENIA PRZEPłYWU śRODKÓW FINANSOWYCH NALEżąCYCH DO TERRORYSTÓW Jedną z pierwszych kwestii wynikłych z dyskusji ze wspomnianymi zainteresowanymi podmiotami, jest to, że zainteresowane podmioty są w przytłaczającej większości zdania, że jeżeli trzeba utworzyć europejski system śledzenia przepływów środków finansowych należących do terrorystów (TFTS UE), należy to zrobić ze względu na zapewnienie bezpieczeństwa obywatelom UE. System ten nie powinien zostać utworzony wyłącznie w celu dostarczania istotnych informacji organom Stanów Zjednoczonych – osiągnięcie wyników funkcjonowania takiego systemu leży również w interesie organów państw członkowskich. Podejście to oznacza, że o ile system TFTP USA może z pewnością stanowić wzór dla utworzenia takiego systemu, jego europejski odpowiednik nie musi koniecznie powielać wszystkich elementów systemu TFTP USA. Ponadto system UE powinien uwzględniać specyfikę uregulowań prawodawczych i administracyjnych UE, w tym – zgodnie z powyższymi rozważaniami – kwestię przestrzegania obowiązujących praw podstawowych. Każdy system mający na celu śledzenie przepływu środków finansowych należących do terrorystów zgodnie z głównymi celami określonymi powyżej musiałby jednak przewidywać uwzględnienie wdrażania następujących funkcji podstawowych: - przygotowywanie i wydawanie (prawnie wiążących) wniosków skierowanych do wyznaczonych dostawców świadczących usługi z zakresu komunikatów finansowych o przekazanie do uprawnionego odbiorcy lub odbiorców nieprzetworzonych danych. Obejmuje to określenie kategorii komunikatów, których dotyczą wnioski, częstotliwości przekazywania takich komunikatów oraz kontakty się z dostawcami w odniesieniu do tych kwestii; - monitorowanie i akceptowanie wniosków do wyznaczonego dostawcy lub dostawców w sprawie danych nieprzetworzonych. Obejmuje to weryfikację, czy wniosek o dane nieprzetworzone został przygotowany zgodnie z obowiązującymi ograniczeniami; - otrzymywanie i przechowywanie (przetwarzanie) danych nieprzetworzonych od wyznaczonego dostawcy lub dostawców, w tym wdrożenie właściwego system zabezpieczeń fizycznych i elektronicznych; - przeprowadzanie właściwych kwerend na przekazanych danych zgodnie z obowiązującymi ramami prawnymi na podstawie wniosków o przeprowadzenie kwerendy od organów państw członkowskich, Stanów Zjednoczonych lub innych państw trzecich, zgodnie z jasno zdefiniowanymi warunkami i gwarancjami, lub z inicjatywy organu (lub organów), którym powierzono przetwarzanie danych; - monitorowanie i zatwierdzanie przeprowadzenia kwerendy na przekazanych danych; - analizowanie wyników kwerend, poprzez łączenie tych wyników z innymi dostępnymi informacjami lub danymi wywiadowczymi; - przesyłanie wyników kwerendy (bez przeprowadzania dalszej analizy) lub wyników analiz uprawnionym odbiorcom; - wdrożenie właściwego systemu ochrony danych, w tym obowiązujących terminów zatrzymywania danych, realizacji zobowiązań dotyczących rejestrowania w systemie, rozpatrywanie wniosków o udzielenie dostępu, korygowanie i usuwanie danych itp. W zależności od wybranego rozwiązania niniejsze funkcje podstawowe powinny zostać ujęte w ramy odpowiedniego aktu prawnego na poziomie unijnym, krajowym lub obu poziomach. PODSTAWOWE ZASADY, JAKIMI NALEżY SIę KIEROWAć PODCZAS ANALIZY MOżLIWYCH WARIANTÓW Oprócz rozważań na temat wyżej określonych funkcji podstawowych, na wybór rozwiązania wpłynie przede wszystkim to, w jakim stopniu warianty te przyczyniają się do realizacji niektórych z głównych kwestii, które są obecnie analizowane w ramach oceny skutków. Kwestie te zostały omówione poniżej. Skuteczność Oczekiwana skuteczność różnych wariantów w spełnieniu podstawowego celu, tj. walki z terroryzmem i finansowaniem terroryzmu, jest czynnikiem nadrzędnym. Warianty, które zwiększą możliwości wymiany danych i ich analizy na poziomie międzynarodowym będą w związku z tym uprzywilejowane, z tego względu że tego rodzaju wymiana danych i ich analiza podwyższy skuteczność i poprawi osiągane wyniki. W szczególności wybór organizacji, którym zostanie powierzona analiza danych, jak również przekazywanie wyników analiz właściwym organom, będzie miał znaczący wpływ na ogólną skuteczność systemu, jak również ilość przekazywanych danych. Nawet wtedy, zgodnie z obecną praktyką, państwa członkowskie powinny utrzymać pełną kontrolę nad tym, czy ich informacje lub dane wywiadowcze mogą zostać przekazane innym organom. Ochrona danych Międzynarodowe przekazywanie i analiza danych i danych wywiadowczych może się odbyć jedynie w miejscu, w którym prężnie funkcjonuje bardzo dobrze rozwinięty system ochrony danych. Skuteczność takich ram zależy nie tylko od obowiązujących przepisów prawnych, umożliwiających osobom, których dotyczą dane, wykonywanie ich praw takich jak prawo do ponownego rozpoznania sprawy, ale także od dostępności doświadczonego personelu, w tym na przykład niezależnego administratora bezpieczeństwa danych oraz niezależnego i doświadczonego organu kontroli ochrony danych. Niektóre organizacje, które mogłyby być zaangażowane w tworzenie systemu TFTS UE, mają już działającą infrastrukturę, natomiast inne musiałaby ją utworzyć. Dlatego wybór danego wariantu w kontekście ochrony danych osobowych musi być dokładnie oceniony zgodnie z nadrzędnymi zasadami dotyczącymi poszanowania praw podstawowych, o których mowa w części drugiej niniejszego komunikatu. Bezpieczeństwo danych Skuteczne przepisy dotyczące ochrony danych powinny być oparte na stanie wiedzy w dziedzinie infrastruktury i technologii ochrony danych. Zapewnienie bezpieczeństwa danych przemawia za ograniczeniem liczby miejsc, w których można przetwarzać dane, jak również ograniczeniem dostępu do danych z zewnątrz. Najbezpieczniejszym rozwiązaniem jest przechowywnie danych w jednym miejscu, do którego nie ma dostępu z zewnątrz. Większość organizacji, które mogłyby uczestniczyć w działalności systemu TFTS, dysponuje już technologiami bezpiecznego przetwarzania danych, ale obecnie nie wszystkie mają zdolność do przetwarzania danych niejawnych na poziomie wyższym niż EU Restricted . Przechowywanie danych Przechowywanie danych mogłoby się odbywać na poziomie krajowym lub unijnym. Na poziomie unijnym, przechowywanie danych otrzymanych od wyznaczonego dostawcy lub dostawców mogłoby się odbywać w Europolu lub innym organie UE, takim jak powstająca obecnie europejska Agencja ds. zarządzania operacyjnego wielkoskalowymi systemami informatycznymi w przestrzeni wolności, bezpieczeństwa i sprawiedliwości (Agencja IT)[7]. Ze względu na to, że przechowywanie danych jest nieodłącznie związane z ochroną i bezpieczeństwem danych, wybór organizacji odpowiedzialnej za przechowywanie danych powinien być ściśle związany z możliwością zapewnienia przez te organizacje systemu ochrony danych i ich bezpieczeństwa. Wykorzystanie istniejących struktur i instrumentów We wszystkich wariantach należy uwzględnić jak najszersze wykorzystanie istniejących struktur. Ogranicza to koszty, i umożliwia wykorzystanie już nabytych doświadczeń, jak i gotowej infrastruktury. Takie wykorzystanie istniejących instrumentów wymaga, żeby zadania przypisane organizacji dobrze wpisywały się w obowiązujący zakres jej kompetencji. Na przykład Europol, Eurojust lub organy sądowe mogłyby odgrywać rolę organu weryfikującego i zatwierdzającego wnioski do wskazanego dostawcy lub dostawców o przekazanie danych. Współpraca właściwych organów Opisane niżej warianty umożliwiają różny poziom współpracy i wymiany informacji oraz danych wywiadowczych między organami krajowymi oraz organami krajowymi a europejskimi. Różne państwa członkowskie w różny sposób uregulowały to, jak ich organy krajowe współpracują w walce z terroryzmem, a we wszystkich działaniach na poziomie europejskim należy przestrzegać ograniczeń wynikających z art. 72 TFUE dotyczącego kompetencji państw członkowskich w odniesieniu do utrzymania porządku publicznego i ochrony bezpieczeństwa wewnętrznego. System TFTS UE, niezależnie od kształtu, musi zatem umożliwiać państwom członkowskim wysoki poziom kontroli informacji i danych wywiadowczych, którymi są one skłonne wymieniać się w ramach systemu. Organizacje wymienione poniżej wypracowały różne podejścia do tego zagadnienia, z których niektóre można bezpośrednio zastosować w planowanym systemie. Pierwszy ogólny przegląd potencjalnych konsekwencji finansowych poszczególnych wariantów Koszty całkowite utworzenia systemu TFTS UE oraz podział kosztów na poziomie UE i krajowym będzie w znacznym stopniu zależał od wyboru wariantu. Koszty w każdym razie obejmą: - koszty związane z bezpiecznym przekazywaniem i przechowywaniem danych otrzymanych od wskazanego dostawcy lub dostawców; - koszty związane z rozwojem i utrzymaniem oprogramowania umożliwiającego przeprowadzanie kwerend i dostarczanie wyników kwerend; - koszty związane z przekazywaniem wyników i analiz kwerend uprawnionym odbiorcom; - koszty zatrudnienia pracowników przeprowadzających kwerendy i analizy oraz przekazujących dane; - koszty zatrudnienia pracowników odpowiedzialnych za monitorowanie i audyt; - koszty zatrudnienia pracowników odpowiedzialnych za ochronę danych i praw obywateli. Na obecnym etapie nie są jeszcze dostępne szczegółowe szacunki, ale wstępne obliczenia wskazują, że koszt podejścia czysto unijnego i wszystkich innych wariantów mieszanych omówionych poniżej wyniósłby od 33 do 47 mln EUR na początkowe koszty utworzenia, z dodatkowymi kosztami rzędu 7-11 mln EUR na roczne koszty bieżące. Poszczególne warianty zostały opisane w części szóstej niniejszego komunikatu. Wariant trzeci jest najdroższy: pociąga on za sobą wydatki na koszty utworzenia w wysokości 43 mln EUR po stronie UE oraz 3,7 EUR po stronie państw członkowskich (łącznie) oraz 4,2 mln EUR na roczne koszty bieżące po stronie UE i 6,8 mln EUR po stronie państw członkowskich (łącznie). Wariant drugi jest najtańszy: wymaga on 33 mln EUR na koszty utworzenia po stronie UE oraz 3,5 mln EUR na roczne koszty bieżące, jak również 3,3 mln EUR na roczne koszty bieżące po stronie państw członkowskich (łącznie). Na wariant pierwszy potrzeba 40,5 mln EUR na koszty utworzenia po stronie UE oraz 4 mln EUR na roczne koszty bieżące, jak również 5 mln EUR na roczne koszty bieżące po stronie państw członkowskich (łącznie). Oczywiście ponoszone koszty będą niższe, jeżeli można będzie zatrudnić pracowników istniejących organizacji lub wykorzystać istniejącą infrastrukturę, jak również oprogramowanie i sprzęt komputerowy. Koszty utworzenia i zarządzania wyłącznie systemem krajowym byłyby znacząco wyższe (390 mln na koszty utworzenia, 37 mln na roczne koszty bieżące), ponieważ tego rodzaju system wymagałby od wszystkich państw członkowskich utworzenia wysoce zabezpieczonych systemów przetwarzania danych i zatrudnienia pracowników do ich obsługi. Podane kwoty są wstępne, a ich dalsza szczegołowa analiza powinna przebiegać w świetle wyniku oceny skutków. KWESTIE WYMAGAJąCE UWZGLęDNIENIA Niezależnie od wyboru dokonanego spośród różnych wariantów w zakresie utworzenia i prowadzenia systemu TFTS UE, należy przeanalizować kilka istotnych zagadnień w odniesieniu do zakresu potencjalnego systemu TFTS EU. Zagadnienia te omówiono poniżej. Terroryzm i jego finansowanie czy dalej? Dostęp do danych z komunikatów finansowych jest użyteczny nie tylko w walce z terroryzmem i finansowaniem terroryzmu. Tego rodzaju dostęp byłby niewątpliwie cennym narzędziem walki z innymi postaciami poważnych przestępstw, w szczególności z przestępczością zorganizowaną i praniem brudnych pieniędzy. Jednak w ramach umowy UE-USA w sprawie TFTP względy dotyczące proporcjonalności doprowadziły do skrupulatnego utrzymywania ograniczenia wykorzystania tych danych dla celów walki z terroryzmem i finansowaniem terroryzmu. Przeprowadzone do tej pory wstępne dyskusje wskazują, że panuje powszechna zgoda co do tego, że względy dotyczące proporcjonalności także przemawiają za tym, aby nowo utworzony system europejski również przewidywał takie ograniczenia, zgodnie z ogólnymi względami dotyczącymi przestrzegania praw podstawowych omówionych w części drugiej niniejszego komunikatu. Więcej niż jeden dostawca? Umowa UE-USA w sprawie TFTP jest obecnie ograniczona do składania wniosków o dane do wyłącznie jednego dostawcy międzynarodowych usług dostarczania danych z komunikatów finansowych. Chociaż dostawca ten jest najważniejszym światowym dostawcą danych z komunikatów finansowych, na rynku działają również inni dostawcy. Względy związane ze skutecznością i równością przemawiają za stworzeniem systemu, który byłby dostępny dla wszystkich międzynarodowych dostawców usług w zakresie komunikatów finansowych. W każdym przypadku w wyborze danego wariantu należy uwzględnić obciążenie administracyjne spółek świadczących usługi z zakresu komunikatów finansowych. Usługi z zakresu komunikatów finansowych wyłącznie na poziomie międzynarodowym czy także krajowym? Umowa UE-USA w sprawie TFTP jest obecnie ograniczona do składania wniosków o dane wyłącznie od dostawców międzynarodowych usług z zakresu komunikatów finansowych, tj. usług przekazywania wiadomości w celu realizacji operacji transgranicznych, w tym między państwami członkowskimi UE, jednak z wyłączeniem danych z komunikatów finansowych związanych z jednolitym obszarem płatności w euro (SEPA). Na potrzeby systemu TFTS UE należy rozważyć możliwość włączenia lub niewłączenia usług z zakresu komunikatów finansowych wymienianych między państwami członkowskimi oraz możliwość ograniczenia usług z zakresu komunikatów finansowych do wymiany międzynarodowej. Usługi z zakresu komunikatów finansowych o charakterze czysto krajowym (wykorzystywanych wyłącznie w kontekście krajowych transakcji finansowych) są obecnie wyłączone z zakresu umowy UE-USA w sprawie TFTP. Dostęp do takich krajowych usług z zakresu komunikatów finansowych leżałby w interesie walki z terroryzmem i innymi postaciami przestępstw. Jednak nawet niezależnie od kwestii, czy transakcje o charakterze czysto krajowym powinny być regulowane na poziomie europejskim, wstępne dyskusje potwierdziły opinię, że taki dostęp jest uznawany za nieproporcjonalny i z tego względu powinien być wyłączony z zakresu systemu UE. Jaki rodzaj danych z komunikatów finansowych powinien być objęty systemem? W międzynarodowym systemie bankowym wykorzystuje się różne rodzaje danych z komunikatów finansowych. Umowa UE-USA w sprawie TFTP jest obecnie ograniczona do jednego rodzaju danych z zakresu komunikatów finansowych. Dostęp do takich krajowych usług z zakresu komunikatów finansowych leżałby w interesie walki z terroryzmem i innymi postaciami przestępstw. Jednak wybór w tym zakresie podyktowany jest faktem, że względy proporcjonalności i poszanowania praw podstawowych obywateli przemawiają za ograniczeniem zakresu danych finansowych, które miałby zostać objęte systemem. Dalsze szczegóły dotyczącego tej kwestii technicznej zostaną włączone do oceny skutków. WARIANTY DOTYCZąCE SYSTEMU TFTS UE Komisja w ramach prowadzonej oceny skutków analizuje obecnie opisane poniżej wariatny. Nie mają one charakteru wyczerpującego i w żadnym razie nie przesądzają o ostatecznej ocenie skutków ani o wyborze, którego Komisja dokona na jej podstawie. Jednym z wariantów, które jest zawsze brane pod uwagę podczas procesu przygotowywania nowych inicjatyw i towarzyszącej im ocenie skutków, jest zachowanie status quo , co w tym przypadku oznaczałoby utrzymanie w mocy obowiązującej umowy UE-USA w sprawie TFTP oraz nieprzedkładanie żadnego wniosku dotyczącego systemu TFTS UE. Wariant ten nie spełniłby oczekiwań wyrażonych w wezwaniu wystosowanym przez Radę i Parlament do Komisji o przedłożenia wniosku w sprawie „warunków prawnych i technicznych pozyskiwania danych na terytorium UE”, o którym mowa w części pierwszej niniejszego komunikatu. Dodatkowo wariant ten nie przyczyniłby się do ograniczenia ilości danych osobowych przekazywanych państwom trzecim i nie zapewniłoby przetwarzania danych na terytorium UE, w poszanowaniu prawodawstwa oraz zasad ochrony danych UE. W innych wariantach przedstawionych poniżej zaprezentowano możliwe sposoby utworzenia TFTS UE. Teoretycznie wszystkie podstawowe funkcje systemu TFTS UE określone w części trzeciej niniejszego komunikatu mogą być wdrożone albo na poziomie unijnym, albo na poziomie krajowym. Zadania te mogą być również przekazane organizacji lub organizacjom zgodnie z ich kompetencjami; można także powołać nowe podmioty, aby wykonywały te zadania. Organizacje takie mogą być krajowe lub europejskie. Zatem oznacza to, że – także teoretycznie – możliwe jest podejście wyłącznie europejskie, zgodnie z którym wszystkie podstawowe zadania będą przypisane organizacjom na poziomie unijnym, jak również podejście wyłącznie krajowe, zgodnie z którym wszystkie funkcje będą wykonywane na poziomie krajowym. Ogólnie rzecz biorąc, należy pamiętać, że wybór systemu scentralizowanego, zdecentralizowanego lub mieszanego w tym szczególnym przypadku nie jest podobny do wyborów podejmowanych w odniesieniu do innych inicjatyw, które obejmują przetwarzanie danych w celu walki z terroryzmem i przestępczością zorganizowaną – każda inicjatywa w tej dziedzinie powinna być oceniana indywidualnie. Podejście czysto scentralizowane lub czysto krajowe ma istotne wady. Na przykład zastosowanie europejskiego podejścia spowodowałoby na pewno rozluźnienie powiązań z organami ścigania i organizacjami wywiadowczymi oraz rozbieżność z praktyką państw członkowskich, a zatem nie byłoby bardzo skuteczne. Bez wkładu ze strony organów krajowych odpowiedzialnych za te zagadnienia prawie niemożliwe byłoby dokładne określenie, o które kategorie danych należałoby wnioskować u wskazanego dostawcy lub dostawców. Użyteczność systemu byłaby również zmniejszona, jeżeli kwerendy w bazie danych odbywałyby się na podstawie danych wywiadowczych dostępnych na poziomie UE – na obecnym etapie integracji europejskiej takie dane wywiadowcze są dostępne przede wszystkim tylko na poziomie krajowym. Ponadto państwa członkowskie najprawdopodobniej nie będą skłonne zaakceptować czysto unijnego podejścia, ponieważ nie miałoby ono wartości dodanej w stosunku do ich własnych wysiłków w walce z terroryzmem i finansowaniem terroryzmu. W czasie konsultacji państwa członkowskie wskazały także, że rozwiązanie to będzie politycznie trudne do zaakceptowania ze względów prawnych i technicznych. Z kolei czysto narodowe podejście przyczyniłoby się do rozbieżności we wdrażaniu w poszczegolnych państwach członkowskich, oraz do powstania zwiększonego ryzyka naruszenia bezpieczeństwa danych ze względu na potrzebę stworzenia 27 kopii przekazywanych danych. Czysto krajowe podejście oznaczałoby również trudności z wdrożeniem jednolitych ram ochrony danych w UE, jak również zharmonizowanego podejścia do (kontroli) innych koniecznych ograniczeń, takich jak ograniczenie do celów walki terroryzmem i finansowaniem terroryzmu. Ponadto przy czysto krajowym podejściu pozostaje niejasne, które państwo członkowskie byłoby odpowiedzialne za rozpatrywanie wniosków o przeprowadzenie kwerendy z państw trzecich, a dodatkowa korzyść wynikająca z analizy wyników kwerend na poziomie europejskim zostałaby utracona. Dodatkowo, tak jak wskazano powyżej, koszty związane z tym wariantem byłyby znacząco wyższe, ponieważ wszystkie państwa członkowskie byłyby zobowiązane do stworzenia wysoko zabezpieczonego systemu przetwarzania danych i zatrudnienia pracowników do jego obsługi. W trakcie prac przygotowawczych z zainteresowanymi podmiotami szybko okazało się, że w grupie możliwych rozwiązań krańcowe rozwiązania nie znajdują poparcia – konsensus osiągnięto dzięki rozwiązaniu mieszanemu, które pociąga za sobą przydzielenie różnych zadań różnym organizacjom na poziomie unijnym i krajowym, i przyczyni się do osiągnięcia najlepszych rezultatów w ramach dwóch głównych celów. Chociaż dzięki konsensusowi wskazano najbardziej pożądany wariant, przyjęcie podejścia mieszanego oznacza nadal potrzebę dokonania wielu wyborów. Poniższe podrozdziały szczegółowo opisują trzy warianty mieszane, które podczas prac przygotowawczych uznano za najbardziej prawdopodobne – warianty te zostały również przedstawione w zestawieniu tabelarycznym w załączniku. Dział koordynacji i dokonywania analiz w systemie TFTS UE (wariant pierwszy) Wariant ten obejmowałby utworzenie wydziału centralnego TFTS UE, który wykonywałby większość zadań i funkcji na poziomie unijnym. Wydawanie wniosków o dane „nieprzetworzone” skierowanych do wyznaczonego dostawcy lub dostawców, weryfikacja wniosków, obsługa wniosków o przeprowadzenie kwerendy oraz przeprowadzanie kwerend, zarządzanie ich wynikami oraz przesyłanie raportów do podmiotów, które złożyły wniosek o przeprowadzanie kwerend, odbywałoby się na poziomie unijnym. Jednak przygotowywanie wniosków do wyznaczonego dostawcy lub dostawców mogłoby się odbywać we współpracy z odpowiedzialnymi organami państw członkowskich, a państwa członkowskie mogłyby podjąć decyzję o wysłaniu własnych analityków do wydziału centralnego, aby uczestniczyli w przeprowadzaniu kwerend. W przeciwieństwie do rozwiązania charakteryzującego się największym scentralizowaniem działań, państwa członkowskie mogą wnieść o przeprowadzenie kwerendy w ich imieniu, na zasadach podobnych do procedury przewidzianej w systemie TFTP USA, lub o przeprowadzenie kwerendy przez własnych analityków. Przed rozpoczęciem kwerendy państwa członkowskie musiałyby przekazać informacje wydziałowi centralnemu TFTS UE, aby „uzasadnić” wniosek i jego związek z terroryzmem lub przekazać wniosek do „wstępnego zatwierdzenia” przez organy krajowe. Takimi organami krajowymi mogłyby być na przykład krajowi prokuratorzy zajmujący się walką z terroryzmem lub sędziowie śledczy – po zatwierdzeniu przez nich danej kwerendy przekazanych danych, wydział centralny TFTS UE mógłby wyrazić zgodę na taką kwerendę bez potrzeby dalszej weryfikacji. W tym scenariuszu nie zachodzi potrzeba przekazywania większej ilości danych wywiadowczych wydziałowi centralnemu TFTS UE. Wydział centralny TFTS UE przekazywałaby wyniki kwerend i analiz, oraz mógłby przekazywać informacje z własnej inicjatywy. Stany Zjednoczone i inne państwa trzecie również musiałyby wystąpić z wnioskiem o przeprowadzenie kwerend, przy zachowaniu podobnej procedury. Monitorowanie zgodności z zabezpieczeniami i kontrole również zostałyby scentralizowane, przy ewentualnym nadzorze zewnętrznym zainteresowanych podmiotów, na przykład reprezentujących wskazanych dostawców lub dostawcę oraz tych, którzy zostali wyznaczeni jako niezależni nadzorcy. Ochrona danych, integralność i bezpieczeństwo byłyby zapewnione na szczeblu centralnym. Najważniejszym organami uczestniczącymi w systemie mogłyby być Europol oraz Eurojust. W takim przypadku zadania powierzone Europolowi oraz Eurojustowi muszą pozostawać w zgodzie z ich misją określoną w Traktacie o funkcjonowaniu Unii Europejskiej (TFUE). Ponadto należy również ustalić, w jakim zakresie powinno się zmienić instrumenty prawne regulujące obecnie ich funkcjonowanie. Gdyby Europol został wybrany jako wydział centralny organu TFTS UE, byłby również odpowiedzialny za obsługę wniosków o udzielenie dostępu do danych, o dokonanie korekty lub usuwanie danych, składanych przez obywateli UE, zgodnie z obowiązującymi ramami prawnymi i przepisami dotyczącym ochrony. Wydział centralny TFTS UE wykonywałby swoje zadania zgodnie z obowiązującymi ramami prawnymi, a sprawy ponownego rozpoznania wniosku lub środka zaskarżenia również byłyby rozpatrywane zgodnie z obowiązującymi przepisami. Na poziomie krajowym narodowe organy ścigania byłyby zaangażowane w weryfikację i zatwierdzanie wniosków o przeprowadzenie kwerendy. Można rozważyć możliwość stworzenia nowych organów krajowych, ale wybór ten należy do państw członkowskich ze względu na zasadę pomocniczości[8]. Dział pobierania danych w systemie TFTS UE (wariant drugi) Podobnie jak w pierwszym przypadku, wariant ten obejmuje utworzenie wydziału TFTS UE, którego zadania obejmowałyby wydawanie wniosków o dane „nieprzetworzone” do wyznaczonego dostawcy lub dostawców, weryfikację wniosków, przeprowadzanie kwerend oraz obsługę wniosków o przeprowadzenie kwerendy. Jednak w ramach tego wariantu wydział TFTS UE nie byłby uprawniony do analizowania wyników kwerend i porównywania z innymi dostępnymi informacjami lub danymi wywiadowczymi, w razie gdy kwerendy byłyby przeprowadzane na wniosek organów państw członkowskich – w takich przypadkach rola wydziału ograniczałaby się do przygotowywania i rozsyłania wyników kwerend w odpowiednim formacie. Tak jak w wariancie pierwszym, wnioski o dane „nieprzetworzone” kierowane do wskazanego dostawcy lub dostawców będą przygotowywane w bliskiej współpracy z państwami członkowskimi, które mogłyby informować wydział centralny TFTS o swoich konkretnych potrzebach, który z kolei po ich analizie sformułowałby wnioski o dane. Organy państw członkowskich wnosiłyby o przeprowadzanie kwerend w swoim własnymi imieniu. Zakres, w jakim wnioski te są uzasadnione i mają powiązanie z terroryzmem, byłby weryfikowany i zatwierdzany na poziomie krajowym. Wydział centralny TFTS UE przeszukiwałby dane i przekazywał państwom członkowskim pełny zestaw wyników w odpowiednim formacie. Analizę kwerend przeprowadzałyby wyłącznie organy państw członkowskich, które mogłyby również z własnej inicjatywy podjąć decyzję o przekazaniu informacji. Centralny wydział TFTS UE byłby odpowiedzialny za przeprowadzanie kwerend oraz analizowanie wyników w imieniu instytucji UE, Stanów Zjednoczonych i państw trzecich. Mógłby również na tej podstawie dostarczać informacji z własnej inicjatywy. Podobnie jak w przypadku poprzedniego wariantu, monitorowanie zgodności z zabezpieczeniami oraz kontrole odbywałyby się na poziomie centralnym, przy ewentualnym nadzorze zewnętrznym zainteresowanych podmiotów, reprezentujących na przykład wskazanego dostawcę lub dostawców oraz tych, którzy zostali wyznaczeni jako niezależni nadzorcy. Ochrona danych, intregralność danych i bezpieczeństwo danych byłoby zapewnione na szczeblu centralnym. Podobnie jak w poprzednim wariancie najważniejszym organami uczestniczącymi w systemie mógłby być Europol oraz Eurojust. Na poziomie krajowym najważniejszymi organami byłyby organy ścigania i agencje wywiadowcze. Tak jak poprzednio utworzenie nowych organów krajowych należałoby pozostawić państwom członkowskim ze względu na zasadę pomocniczości. Europol lub wydziały krajowe zajmowałyby się wnioskami obywateli UE o udzielenie dostępu do danych, o dokonanie korekty lub usuwanie danych, przy udziale krajowych organów ochrony danych i wspólnego organu nadzorczego Europolu. Sprawy ponownego rozpoznania wniosku lub złożenia środka zaskarżenia byłyby rozpatrywane zgodnie z obowiązującymi przepisami prawnymi na poziomie krajowym lub unijnym[9]. Dział koordynacji Wydziału Wywiadu Finansowego (wariant trzeci) Wariant ten przewiduje utworzenie rozbudowanej platformy obejmującej wydziały wywiadu finansowego, składającej się z wszystkich wydziałów wywiadu finansowego państw członkowskich. Specjalny organ na poziomie unijnym wydawałby wnioski o dane „nieprzetworzone” do wyznaczonego dostawcy lub dostawców poprzez łączenie zapotrzebowań wykazanych przez wydziały wywiadu finansowego w jeden wniosek, który następnie byłby weryfikowany i zatwierdzany na poziomie centralnym. Każdy wydział wywiadu finansowego byłby odpowiedzialny za prowadzenie kwerend i zarządzanie wynikami kwerend w imieniu swojego państwa członkowskiego, jak również za dokonywanie analiz i przekazywanie raportów do odpowiednich organów. Zakres, w jakim takie kwerendy są uzasadnione i mają powiązanie z terroryzmem, byłby weryfikowany i zatwierdzany na poziomie krajowym lub unijnym. Wydziały wywiadu finansowego byłyby również odpowiedzialne za dostarczanie informacji z własnej inicjatywy. Rozbudowana platforma mogłaby przeszukiwać dane i dokonywać analiz wyników w imieniu instytucji UE i innych państw trzecich, z którymi UE zawarłaby umowę. Mogłaby również dostarczać informacji z własnej inicjatywy. Monitorowanie zgodności z zabezpieczeniami oraz kontrole odbywałyby się na poziomie centralnym, przy ewentualnym nadzorze zewnętrznym zainteresowanych podmiotów, reprezentujących na przykład wskazanego dostawcę lub dostawców oraz tych, którzy zostali wyznaczeni jako niezależni nadzorcy. Ochrona danych, integralność i bezpieczeństwo byłyby zapewnione na szczeblu centralnym. Rozbudowanej platformie zostałby nadany oficjalny status prawny oraz jasno określona rola i zakres obowiązków. Na poziomie krajowym najważniejszymi organami byłyby wydziały wywiadu finansowego oraz organy ścigania i agencje wywiadowcze. Każdy organ na poziomie UE zajmowałby się rozpatrywaniem wniosków, złożonych przez obywateli UE, o udzielenie dostępu, o dokonanie korekty lub usuwanie danych, a sprawy ponownego rozpoznania wniosku i składania środków zaskarżenia byłyby rozpatrywane zgodnie z obowiązującymi przepisami prawnymi na poziomie krajowym lub unijnym. PODSUMOWANIE Na podstawie prac przygotowawczych przeprowadzonych jak dotąd przez Komisję, z zastrzeżeniem wyników oceny skutków, niniejszy komunikat opisuje różne możliwe warianty dotyczące ustanowienia „ram prawnych i technicznych pobierania danych na terytorium UE” w kontekście systemu śledzenia środków finansowych należących do terrorystów. Różne warianty przedstawione w niniejszym komunikacie pokazują, że nadal należy podjąć istotne wybory i decyzje, w tym dotyczące przestrzegania praw podstawowych, a wiele innych prawnych, technicznych, organizacyjnych i finansowych kwestii nadal pozostaje do przeanalizowania w dużo bardziej szczegółowy sposób w toku dalszych prac przygotowawczych. Biorąc pod uwagę tak istotne wyzwania, Komisja uznaje, że potrzeba zapewnić wystarczająco dużo czasu na dalsze prace przygotowawcze i na przeprowadzenie debaty z Radą i Parlamentem. * * * Załącznik: Warianty mieszane w zestawieniu tabelarycznym Dział koordynacji i dokonywania analiz TFTS UE (wariant pierwszy) | Dział pobierania danych w systemie TFTS UE (wariant drugi) | Dział koordynacji Wydziału Wywiadu Finansowego (wariant trzeci) | przygotowywanie i wydawanie wniosków o „dane nieprzetworzone” | wydział centralny TFTS UE we współpracy z państwami członkowskimi | wydział centralny TFTS UE we współpracy z państwami członkowskimi | rozbudowana platforma obejmująca wydziały wywiadu finansowego | monitorowanie i zatwierdzanie wniosków o „dane nieprzetworzone” | Eurojust lub inny istniejący organ | Eurojust lub inny istniejący organ | Eurojust lub inny istniejący organ | otrzymywanie i przechowywanie „danych nieprzetworzonych”, bezpieczeństwo danych | Europol lub inny organ unijny np. Agencja IT | Europol lub inny organ unijny np. Agencja IT | Europol lub inny organ unijny np. Agencja IT | przeprowadzanie kwerend na „danych nieprzetworzonych ” | wydział centralny TFTS UE, analitycy -eksperci narodowi z państw członkowskich lub obie powyższe grupy | wydział centralny TFTS UE | wydziały wywiadu finansowego, rozbudowana platforma obejmująca wydziały wywiadu finansowego | monitorowanie i zatwierdzanie przeprowadzania kwerend | niezależni nadzorcy, potencjalnie organy krajowe | niezależni nadzorcy, potencjalnie organy krajowe | niezależni nadzorcy | analiza wyników kwerend | wydział centralny TFTS UE, analitycy -eksperci narodowi z państw członkowskich lub obie powyższe grupy | organy krajowe do przeprowadzania kwerend krajowych, analitycy z unijnego centralnego wydziału do przeprowadzania kwerend dla UE i państw trzecich | rozbudowana platforma obejmująca wydziały wywiadu finansowego, krajowe wydziały wywiadu finansowego | przesyłanie wyników kwerend | analitycy Europolu lub analitycy -eksperci narodowi | organy krajowe do przeprowadzania kwerend krajowych, analitycy z unijnego centralnego wydziału do przeprowadzania kwerend dla UE i państw trzecich | rozbudowana platforma obejmująca wydziały wywiadu finansowego, krajowe wydziały wywiadu finansowego | wdrożenie właściwego systemu ochrony danych | Europol lub inny organ unijny np. Agencja IT | Europol lub inny organ unijny np. Agencja IT | Europol lub inny organ unijny np. Agencja IT | [1] Dz.U. L 195 z 27.7.2010, s. 5. [2] Decyzja Rady z 13 lipca 2010 r. (Dz U L 195 z 27.7.2010), s. 3. [3] Zob. np. rezolucja P7_TA(2010)0143 oraz uzasadnienie do zalecenia A7-0224/2010. [4] COM(2010) 673 wersja ostateczna z 22.11.2010. Zob. Działanie 2 w ramach Celu 2, s. 8. [5] COM(2010) 573 wersja ostateczna z 19.10.2010. [6] SEC (2011) 438 wersja ostateczna z 30.3.2011. [7] COM(2010) 93 wersja ostateczna z 19.3.2010. [8] Na tym etapie konsekwencje dla budżetów agencji unijnych, które mogą odegrać rolę we wdrażaniu systemu, nie są jeszcze znane. [9] Zob. przypis 8.