"Med hänvisning till Artikel 7 i lagen om förebyggande av pengatvätt och finansiering av terrorism ber vi er att förse oss med information om samtliga kunder som har försetts med Paysera-Visa-kort (namn, efternamn, personnummer/födelsedatum, dokumentnummer, utfärdande myndighet, kortnummer och datum utfärdat)."
Ovanstående är en begäran som myndigheten för utredning av ekonomisk brottslighet (FCIS) lämnade över till EVP International. FCIS bad inte bara företaget att förse myndigheten med information om samtliga Visa-kortsanvändare, utan även om alla deras tidigare överföringar - det vill säga vem som tog ut pengar eller använde sitt kort, var detta skedde, och hur mycket pengar det gällde.
'Massövervakning'
"Vi anser att den här begäran är likställd med massövervakning," hävdade EVP Internationals jurist Julija Šlekonytė i en intervju med delfi.lt. Enligt henne hade FCIS inte specificerat varför de behövde datan och uppgav heller inte information om någon pågående utredning. Dessutom begärde myndigheten inte information om någon specifik person eller summa pengar, utan snarare om allmän information om samtliga kunder.
EVP International kontaktade FCIS för att fråga varför man behövde information om samtliga kunder, men svaret man fick var vagt och otydligt: som en institution som tillhandahåller elektroniska pengatjänster, registrerad i Republiken Litauen, måste företaget enligt lagen "övervaka kundernas affärsrelationer och ge tillgång till den information som lagrats."
FCIS-chefen är undvikande
När delfi.lt kontaktade andra stora företag som tillhandahåller finansiella tjänster visade det sig att de inte har varit lika tillmötesgående. Två stora banker, Swedbank och SEB, uppgav att de samarbetar med myndigheterna och lämnar över information när de har granskat begäran. Båda institutionerna undanbad sig att svara på fler frågor, och hävdade att samma lag förbjöd dem från att diskutera ärendet öppet.
Som om detta inte var tillräckligt misslyckades dessutom FCIS:s chef, Kęstutis Jucevičius, med att förklara varför hans myndighet behövde så mycket information om alla Visa-Payseras kunder. Han begränsade sitt svar till vaga uttalanden om myndighetens allmänna verksamhet.
Enligt Jucevičius är FCIS ansvarigt för att förebygga pengatvätt och finansiering av terrorism, och därför analyserar myndigheten information om ekonomiska överföringar och affärer.
"Lagen lägger fram myndighetens rätt att samla in den information och de dokument som krävs för att utföra dessa uppgifter," sade Jucevičius när han ombads kommentera på situationen.
Myndigheterna 'benägna att missbruka befogenheter'
Karolis Liutkevičius, rättsexpert hos Human Rights Monitoring Institute, hävdade att brottsbekämpande organ i det här specifika fallet tolkar sin rätt att samla in information alltför brett och ignorerar grundläggande principer om integritetsskydd.
Hur bör vi se på FCIS:s handlingar? Tillåter lagen verkligen insamling av privat information på sådan stor skala?
Ur en dataskyddssynvinkel eller med tanke på rätten till respekt för privatlivet är FCIS:s handlingar anstötliga. Det är i grund och botten massövervakning, insamling av icke-individuell finansiell information om privata individer, och övervakning av desamma.
Enligt internationella människorättsnormer får staten endast ingripa i en persons privatliv om det är nödvändigt, och med proportionerliga åtgärder. Det är högst osannolikt att massövervakning, genom att anta att samtliga användare av en särskild typ av kort potentiellt deltar i pengatvätt och finansierar terrorism, räknas som en proportionerlig åtgärd.
Lagen om pengatvätt och finansiering av terrorism, som FCIS hänvisar till som grund för insamlingen av information, är inte särskilt tydlig. Enligt lagen har FCIS rätt att från finansiella institutioner samla in "information och dokument om ekonomiska överföringar och affärer som krävs för att man ska kunna utföra sina uppgifter."
Det verkar som att FCIS gärna tolkar sina befogenheter väldigt brett, som en rättighet att samla in all information som verkar intressant. Men när man tolkar den här särskilda befogenheten får man inte förbise internationella människorättsnormer, och insamlingen av information måste därför genomföras på ett proportionerligt sätt - som innebär insamling av särskild data om särskilda personer eller grupper, snarare än massinsamling av icke-individualiserad information.
Insamlingen av data begränsas dessutom av Litauens konstitution. Enligt konstitutionen måste myndigheter utan undantag få ett domstolsbeslut för att kunna samla in information om en persons privatliv.
Hur som helst tillåter lagens nuvarande form uppenbarligen myndigheter att missbruka sina befogenheter genom att samla in odefinierad privat finansiell information.
Det är troligt att andra företag fått liknande begäran, men baserat på deras svar verkar det som att de varken är upprörda eller överraskade. Det verkar till och med som att de är rädda för påföljder. Varför tror du att EVP International valde att uttrycka invändningar?
Det finns för tillfället inte särskilt mycket offentlig information tillgänglig om hur brottsbekämpande organ och finansiella institutioner samarbetar, så vi kan bara gissa. Jag skulle personligen gissa att EVP International inte har lika mycket erfarenhet som några av de större finansiella institutionerna, som har varit verksamma i Litauen under en längre tidsperiod, när det kommer till att arbeta med brottsbekämpande organ, och att man därför var uppriktigt förvånad över FCIS:s begäran.
Vad säger den här situationen om skyddet av privat information i Litauen?
Litauens konstitution lägger fram tydliga principer för skydd av privatlivet, och därmed även skydd av privat information. Men det verkar som att de här principerna sällan efterföljs i praktiken, och myndigheter (särskilt brottsbekämpande organ) letar efter sätt att kringgå dem, eller väljer helt enkelt att ignorera dem.
Det här problemet förvärras ytterligare av lagstiftningen, som endast erbjuder en låg skyddsnivå. Tyvärr finns lite eller ingen allmän diskussion om de här problemen, och frågan får relativt lite uppmärksamhet.
Om vissa företag vägrar att försvara sina kunders rättigheter, finns det något personerna själva kan göra för att hindra massövervakning?
Kundernas alternativ är begränsade, men det finns ett antal: för det första kan du aktivt intressera dig för frågan och be din tjänsteleverantör att förtydliga hur man skyddar din personliga information, vem som kan få tillgång till den och under vilka omständigheter, vilka steg man tar för att skydda din integritet. Om deras svar inte är tillfredsställande kan du byta till en tjänsteleverantör som bättre skyddar ditt privatliv.