Nemaloniai nustebs keli šimtai tūkstančių lietuvių, kurie sąžiningai pildo deklaracijas Vyriausiosios tarnybinės etikos komisijai (VTEK), mat šios institucijos naudojama interesų deklaracijų informacinė sistema IDIS ne tik nuo 2012 metų veikia bandomuoju režimu, bet ir nėra įteisinta teisės aktų nustatyta tvarka. Visi duomenys iš Elektroninės deklaravimo sistemos (EDS) į IDIS patenka per 24 valandas.
Aiškėja, kad IDIS nėra registruota Registrų ir valstybės informacinių sistemų registre, nors pagal Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymo 22 straipsnio 2 dalies nuostatas, registrai ir informacinės sistemos turi būti įtraukti į minėtą registrą.
Matomi vartotojų duomenys
„Privačių interesų deklaracijų informacinė sistema nėra skirta deklaruoti privatiems interesams. Tai priemonė valstybės bei savivaldybių institucijų vadovams ar jų įgaliotiems asmenims. Ji įgalina stebėti pavaldžių tarnautojų jau pateiktų, deklaruotų privačių interesų deklaracijų duomenis“, – taip IDIS pristatoma VTEK interneto svetainėje.
Nors kiekvienas registruotas šios sistemos vartotojas privalo pasirašyti pasižadėjimą saugoti asmens duomenų paslaptį, daugiau apie sistemos veikimo subtilybes išmanantys specialistai teigia, kad sistemos administratorius turi teisę ne tik matyti visą į sistemą sudedamą informaciją, bet ir vartotojų prisijungimo duomenis.
Nereikia itin lakios fantazijos, kad būtų aišku, jog galimybė matyti vartotojų duomenis suteikia sąlygas jais manipuliuoti. Pačios VETK duomenimis, vien per 2016 per IDIS galima peržvelgti 230 600 deklaracijų bei jų atnaujinimų.
2015 metais šias problemas buvo bandyta spręsti ir kreiptasi į atitinkamas institucijas – Vidaus reikalų ministeriją bei Valstybinę duomenų apsaugos inspekciją, klausiant, kokius programinius pakeitimus būtų galima atlikti, kad minėta sistema atitiktų saugumo standartus.
Naujienų portalo lrytas.lt turimame dokumente teigiama, kad po konsultacijų su atsakingomis institucijomis „buvo konstatuota, kad veikianti IDIS dėl šiurkščių klaidų sistemos kūrimo procese ir organizacinės struktūros klaidų negali būti perdaryta taip, kad atitiktų elektroninės informacijos saugos reikalavimus, tad negalėjo būti įteisinta ir turi būti uždaryta.“ Tiesa, VTEK tikina, jog tokios informacijos susirašinėjime tarp institucijų nebuvo, o IDIS veikia šiandien.
Šių dienų situacijos dėl IDIS Vidaus reikalų ministerija tikina komentuoti negalinti, mat 2015 m. paskelbus apie Kibernetinio saugumo centro kūrimą visi su duomenų apsauga susiję klausimai perleisti Krašto apsaugos ministerijos ir minėto centro atsakomybėn.
Naujienų portalui lrytas.lt pasiteiravus apie situaciją Krašto apsaugos ministerijos, buvo pateiktas aptakus atsakymas.
„Kibernetinio saugumo ir telekomunikacijų tarnyba prie Krašto apsaugos ministerijos neturi duomenų apie jūsų minimą sistemą IDIS. Jūsų pateiktus faktus ketinama tikrinti, situaciją aiškintis su Valstybine duomenų apsaugos inspekcija“, – teigiama redakcijai atsiųstame atsakyme.
VTEK: „Tai - pagalbinis įrankis“
VTEK atstovė spaudai Eglė Ivanauskaitė teigė, kad asmenys, kurie turi pareigą teikti privačių interesų deklaracijas, jas teikia per Valstybinės mokesčių inspekcijos elektroninio deklaravimo sistemą.
„Visos šios deklaracijos patenka į valstybės įmonės „Infostruktūra“ serverius. Būtent šios įmonės serveryje minėti duomenys yra saugomi. VTEK naudojama interesų deklaravimo informacinė sistema IDIS yra tik pagalbinis įrankis, kuris suteikia galimybę VTEK šių deklaracijų duomenis matyti ir analizuoti. IDIS nėra skirtas deklaracijų saugojimui ar jų redagavimui, tai darbinis įrankis. Tai tarsi langas, kuris leidžia peržvelgti asmenų pateiktas deklaracijas", - sakė E.Ivanauskaitė.
Į klausimą, ar iš tiesų sistemos administratorius gali matyti sistemos vartotojų slaptažodžius, VTEK atstovė iš karto atsakyti negalėjo ir paprašė laiko minėtiems duomenims patikslinti.
„Asmuo, kuris turi teisę prisijungti prie IDIS, sistemoje mato tik tų darbuotojų sąrašą, kurių deklaracijas tas asmuo privalo tikrinti. VTEK kontroliuoja tuos, kurie kontroliuoja savo darbuotojus, tad mes matome visus duomenis. Matome visus duomenis, nes tokios mums įstatymo suteiktos funkcijos“, - kalbėjo E.Ivanauskaitė.
VTEK atstovė teigė, kad jei asmuo nori pasikeisti slaptažodį, jis turi kreiptis į VTEK ir slaptažodis pakeičiamas.
Anot pašnekovės, sistemos vartotojas mato tik jo kontroliuojamų įstaigų asmenų deklaracijas, bet visų per sistemą pasiekiamų deklaracijų jis peržiūrėti negali.
Paklausta apie tai, ar buvo rekomenduota sistemą išjungti, E.Ivanauskaitė teigė: „Patikrinome dokumentus ir būtent tokio susirašinėjimo nerandame. 2015 metais vyko susirašinėjimas tarp institucijų, bet tai buvo techninio pobūdžio pastabos - siūlyta tikslinti formuluotes ir pan.“
E.Ivanauskaitės teigimu, nuo 2000 metų pati VTEK yra įregistruota kaip duomenų valdytoja asmens duomenų valdytojų registre. Anot VTEK atstovės, paskutiniais metais komisija nebuvo skyrusi lėšų informacinėms sistemoms naujinti. Šiuo metu vyksta parengiamieji Privačių interesų registro kūrimo darbai .
Vienas slaptažodis kelioms paskyroms
Informacinių technologijų ekspertas Marius Pareščius atkreipė dėmesį, kad sistemos neregistravimo faktas yra daugiau teisinio reglamentavimo, o ne saugumo problema: „Techniniu požiūriu, jei nėra galimybės įsilaužti į sistemą iš išorės, grėsmė egzistuoja, bet ji gana nedidelė. Norint įsilaužti reikia tam tikrų duomenų, administratoriaus slaptažodžių ir pan. Jei suprogramuota taip, kad pačiam administratoriui jungiantis kelis kartus su netinkamu slaptažodžiu sistema pati užsiblokuoja, tuomet nieko nepadarysi“, – teigė jis.
Anot pašnekovo, atrodo, kad IDIS kurti nebuvo naudojama jokia trečiųjų šalių programinė įranga, o visos sistemos kūrimo projektą įgyvendino vienas programuotojas. „Būna taip, kad sistema sukuriama, o norint ją pildyti ar atlikti tęstinius darbus reikia juos užsisakyti pas tą patį programuotoją. Akivaizdu, kad sistema buvo neteisingai suprojektuota arba neteisingai suprogramuota.
Tokių klaidų projekte neturėjo likti, bet egzistuoja ir dar niūresnė tendencija – statistinis lietuvis dažnai tą patį slaptažodį naudoja keliose platformose ar sistemose. Imkime statistinį politiką, kuris, tarkime, tuo pačiu slaptažodžiu naudojasi keliose sistemose ir, jei kas nors turi jo slaptažodį, gali prieiti ir prie Seimo nario elektroninio pašto, jo paskyrų socialiniuose tinkluose“, – potencialias įsilaužimo galimybes vardijo ekspertas.
NGSK: „Situaciją reikia aiškintis“
Seimo nacionalinio saugumo ir gynybos komiteto (NGSK) pirmininkas Vytautas Bakas teigė, kad žinia apie sistemos trūkumus jo nenustebino: „Daugelis valstybės institucijų informacinių sistemų turėjo spragų – ypač kibernetinio saugumo srityje, tad šios srities klausimus suskubta spręsti ir Lietuva po truputį plėtoja savo saugumo politiką ir įgyvendina priemones.“
V.Bakas nustebo, kad IDIS turi spragų ir dėl slaptažodžių užkodavimo: „Kad viskas taip liūdna – nežinojau. Šiuo klausimu būtinai pasidomėsiu.“
Seimo nacionalinio saugumo ir gynybos komiteto pirmininko pavaduotoja Rasa Juknevičienė sakė, kad už ją įvairias deklaracijas pildo jos padėjėjos, tad pačiai to daryti netenka. Žinia apie tai, kad sistemos nėra registruose ir kai kurie jos veikimo principai neužtikrina asmens duomenų saugumo, politikei buvo netikėta: „Jei tai yra iš tikrųjų – blogai. Šią situaciją reikia aiškintis. Visa kibernetinė erdvė, vertinant plačiąja prasme, yra grėsmė nacionaliniam saugumui, nes nėra sistemos, kuri būti visiškai atspari įsilaužimams.“
Seimo narė užsiminė, kad parlamentarų deklaracijos ir taip jau yra viešos, bet saugumo spragos jungiantis prie minėtos sistemos neatleistinos.
Ar teisėti VTEK sprendimai?
Advokatas Robertas Klovas paklaustas, ar tai, jog IDIS sistema negali užtikrinti informacijos saugos reikalavimų, yra pakankamas pagrindas šiuo metu interesus deklaruojantiems asmenims atsisakyti ir toliau tai daryti, sakė: „Situacija nevienareikšmė. Įstatymas numato pareigą atitinkamiems asmenis deklaruoti interesus. Įstatymas numato, kad šie asmenys tai daro elektroninėmis priemonėmis. Pareiga deklaruoti išlieka. Tačiau įstatymai numato nemažai pareigų valstybei (jos institucijoms). Tai pareiga naudoti tik įteisintas valstybės informacines sistemas, užtikrinti apdorojamų duomenų saugumą.
Jei Valstybinė duomenų apsaugos inspekcija pripažintų, kad VTEK asmens duomenis tvarko ir viešina pažeisdama Asmens duomenų teisinės apsaugos įstatymą, kiltų rimtų keblumų. Natūralu, kad asmuo gali neteikti duomenų į neįteisintą informacinę sistemą. Primenu, kad įstatymas numato pareigą teikti deklaraciją elektroninėmis priemonėmis. Problemos sprendimas – skubiai įteisinti sistemą, o jei tai gresia užtrukti – pakeisti Viešųjų ir privačių interesų derinimo valstybinėje tarnyboje įstatymą numatant galimybę teikti deklaracijas senąja (popierine) tvarka.“
Ar tai, kad IDIS nėra įregistruota sistema, tačiau joje esančios informacijos pagrindu priimami VTEK sprendimai, leidžia kvestionuoti šių sprendimų teisėtumą?
Anot pašnekovo, jei VTEK priima sprendimus vadovaudamasis duomenimis, paimtais iš neįteisintos informacinės sistemos, pažeidžiama įstatymu nustatyta pareiga naudoti tik įteisintas valstybės informacinės sistemas. Teismai tokią aplinkybę gali vertinti priimdami sprendimus dėl ginčijamų VTEK sprendimų.
Kyla klausimas, ar asmenys, kokiu nors būdu dėl VTEK sprendimų patyrę žalos, bent teoriškai galėtų ginti savo pažeistus interesus teisme ir reikalauti žalos atlyginimo?
„Žalos, atsiradusios dėl valdžios institucijų neteisėtų veiksmų, atlyginimo ir atstovavimo valstybei ir Lietuvos Respublikos Vyriausybei įstatymas numato, kad asmenys gali reikalauti atlyginti neteisėtais institucijų veiksmais padarytą žalą. Teisme jie turėtų įrodyti, kad sprendimas priimtas jų atžvilgiu neteisėtas ir kad dėl šio sprendimo jie patyrė materialinę (atleidimas iš darbo ir pan.) arba moralinę (sugadinta reputacija) žalą.
Šis įstatymas numato, kad valstybė, atlyginusi dėl valdžios institucijų pareigūnų, valstybės tarnautojų ar kitų darbuotojų kaltų veiksmų (aktų) atsiradusią žalą, įgyja regreso (atgręžtinio reikalavimo) teisę teismo tvarka išieškoti iš šių asmenų tiek, kiek ji sumokėjo, bet ne daugiau kaip 9 vidutinius jų darbo užmokesčius, jeigu kiti įstatymai nenustato kitaip“, – teigė R.Klovas.
Pažeidėjus tramdo baudomis
Asmenys, kurie mano, kad buvo pažeistos duomenų subjekto, teisės, naudojant jų asmens duomenis profesiniais tikslais, gali kreiptis į Valstybinę duomenų apsaugos inspekciją (VDAI).
Gavusi skundą dėl galimo asmens duomenų pažeidimo VDAI atlieka tikrinimą ir asmens duomenis tvarkančiai organizacijai gali pateikti rekomendacijų, nurodymą sutvarkyti ar sustabdyti netinkamą asmens duomenų tvarkymą, skirti baudą.
Administracinių nusižengimų kodekse numatyta, kad pažeidus asmens duomenų apsaugos srities nuostatas gali būti skiriamos baudos: asmenims – 150–580 eurų, už pakartotinį pažeidimą – 550–1200 eurų; juridinių asmenų vadovams ar kitiems atsakingiems asmenims – 300–1150 eurų, už pakartotinai padarytus nusižengimus – 1100–3000 eurų.
VDAI taip pat nurodo, kad duomenų subjektas turi teisę prašyti sunaikinti neteisėtai, nesąžiningai sukauptus asmens duomenis ar sustabdyti tokių asmens duomenų tvarkymo veiksmus, išskyrus saugojimą. Duomenų valdytojas privalo nedelsdamas neatlygintinai patikrinti asmens duomenų tvarkymo teisėtumą ir, jeigu reikia, sunaikinti duomenis.
