"Във връзка с член 7 от Закона за предотвратяване прането на пари и финансирането на тероризма, ние ви молим да ни предоставите данните на всички клиенти с издадени карти Paysera Visa (име, фамилия, ЕГН / дата на раждане, документ No., издаващ орган, номер на картата и дата на издаване)".
Това е искането, което Финансовата следствена служба (FCIS) представи на EVP International. Освен това FCIS поиска от компанията не само да предостави данните на всички потребители на карта Visa, но и детайли за всички последни трансакции - кой е теглил пари или използвал картата; мястото, където това е направено; колко пари са били изтеглени или преведени.
"Масово наблюдение"
"Ние смятаме, че това искане е равносилно на масово наблюдение" – заяви в интервю delfi.lt адвокатът на EVP International Юлия Шлеконите. Според нея FCIS не е уточнила за какво точно са необходими данните и не е предоставила каквато и да е информация за текущото разследване. Освен това агенцията не е поискала информация за дадено лице или сума пари, а да се предостави пълна информация за всеки клиент.
Тогава компанията се обръща към FCIS с питане за причината, налагаща предоставянето на информация за всеки клиент, но отговорът е лаконичен: като институция, извършваща електронни трансакции в Република Литва, компанията е задължена по закон да предостави данни "за бизнес взаимоотношения на клиентите и да предостави достъп до съхраняваната информация".
Шефът на FCIS отговаря уклончиво
Когато delfi.lt се свързва и с други големи доставчици на финансови услуги, се оказва, че не всички от тях са така отзивчиви. Две от големите банки - Swedbank и SEB - заявяват, че биха сътрудничили и предоставили информация, само ако им бъде представено конкретното основание за искането на агенцията. И двете институции отказват по-нататъшен коментар, заявявайки, че законът им забранява да обсъждат въпроса.
И ако това не е достатъчно, шефът на FCIS Кестутис Юцевичиус така и не успява да обясни защо неговата агенция има нужда от толкова подробни данни за всички клиенти на Visa Paysera. Отговорът му по-скоро прилича на неясно обяснение на основните функции на агенцията.
Според Юцевичиус FCIS е натоварена с предотвратяване прането на пари и финансирането на тероризма и именно за тази цел агенцията събира и анализира информация за финансовите операции и сделки.
"Законът предвижда правомощието на агенцията да се снабдява с информация и документи, необходими за изпълнението на своите функции" - каза Юцевичиус, коментирайки ситуацията.
Органите са склонни да злоупотребяват с власт
Каролис Люткевичиус - правен експерт към Институт за наблюдение на човешките права - твърди, че в конкретния случай правоприлагащите органи тълкуват твърде разширено правото си да изискват информация и игнорират основните принципи на защитата на лични данни.
Какво означават действията на FCIS? Наистина ли законът позволява събирането на лични данни в такъв огромен мащаб?
От гледна точка на защита на лични данните и неприкосновеността на личния живот действията на FCIS са абсолютно противопоказни. По същество те представляват масово наблюдение, събиращо не-индивидуализирана финансова информация за физически лица.
Международните стандарти за човешките права гарантират, че личният живот на едно лице може да бъде ограничен само при крайна необходимост и с помощта на пропорционални мерки. Масово наблюдение, слагащо всички потребители на определена карта под общ знаменател като потенциални перачи на пари, финансиращи тероризма, в никакъв случай не е пропорционална мярка.
Законът за борба с прането на пари и финансирането на тероризма, на който FCIS разчита, за да събира данни, дава твърде обща дефиниция. Той предвижда, че FCIS има право да получи от финансовите институции "информация и документи за финансови операции и сделки, необходими за изпълнението на своите функции".
Изглежда, че FCIS обича да тълкува правомощията си твърде разширено и смята, че има право да получи всяка информация, която поиска. Прилагането на тази конкретна разпоредба обаче не може да потъпче международните спогодби за правата на човека, според които събирането на данни трябва да се извършва по пропорционален начин - конкретни данни за конкретни заподозрени хора или групи, а не масово събиране на не-индивидуализирани данни.
Събирането на данни е ограничено и от Конституцията на Република Литва, която предвижда, че информация за личния живот на всяко лице - без изключение - може да се събира само със съдебна заповед.
Въпреки това в момента законът недвусмислено позволява на органите да злоупотребяват с властта си и да събират частна финансова информация без всякакви ограничения.
Много е вероятно други компании също да са получили подобни искания, но от отговорите им е видно, че те нито са възмутени, нито изненадани от тази практика. Точно обратното - изглежда, че всъщност ги е страх от санкции. Защо тогава EVP International реши да говори по този въпрос?
В момента липсва обществена информация за сътрудничеството между правоприлагащите органи и финансовите институции и на този въпрос не може да се отговори еднозначно. Лично аз предполагам, че EVP International няма толкова опит в работата с органите на реда, колкото имат някои от най-големите финансови институции, опериращи в Литва отдавна. Точно затова те компанията е била наистина изненадана от искането от на FCIS.
Какво означава това за защитата на лични данни в Литва?
Конституцията на Литва въплъщава принципи за защита на личния живот, а оттам и на личните данни. Изглежда обаче, че тези принципи рядко се следват от съответните органи (особено правоприлагащите), които само търсят начини да ги заобиколят или просто да ги игнорират.
Проблемът допълнително се задълбочава от законодателството, предвиждащо по-ниско ниво на защита. За съжаление няма публичен дебат по тези проблеми и към въпроса има сравнително нисък интерес.
Ако компаниите отказват да защитават правата на своите клиенти, какво могат да направят хората, за да се противопоставят на масовото наблюдение?
Възможностите пред потребителите на финансови услуги са ограничени, но все пак съществуват: на първо място те могат да вземат активно участие и да попитат доставчика на услуги как защитава личните им данни, при какви обстоятелства дават достъп до тях и какви мерки са взети. Ако отговорът е неудовлетворителен, те могат да сменят доставчика си на услуги с такъв, който защитава личния им живот.