Vyriausiosios tarnybinės etikos komisijos (VTEK) administruojama informacine sistema (IDIS) naudojasi šimtai tūkstančių valdininkų, deklaruojančių savo interesus. Nors ši sistema veikia nuo 2012 m., paaiškėjo, jog ji ne tik nėra registruota, o dar ir sulaukia priekaištų iš už duomenų apsaugą atsakingų institucijų. Tiesa, ši situacija primena posakį – devynios auklės, vaikas be galvos – mat valstybinės institucijos negali atsakyti, ar IDIS yra saugi.
IDIS yra VTEK naudojama interesų deklaravimo sistema, skirta duomenų peržiūrai, t. y. šimtų tūkstančių valdininkų, politikų informacija apie jų privačius interesus: ryšiai su organizacijomis, buvusios ir esamos darbovietės, sutuoktinių, kitų giminaičių darbovietės, jų sąsajos su įvairiomis institucijomis, sandoriai ir t. t.
Kaip skelbiama VTEK 2016 m. veiklos ataskaitoje, IDIS pateikta 230 600 deklaracijų, iš jų 39 900 deklaracijų yra viešinamos.
Aiškėja, kad nuo 2012 m. veikianti elektroninė sistema neatitinka visų keliamų reikalavimų ir įstatymuose numatytų nuostatų.
Nežino, ar duomenys saugūs
Įstatymai, Vyriausybės nutarimai numato, kad institucijos, administruojančios informacines sistemas, turi registruotis Asmens duomenų valdytojų valstybės registre ir suderinti sistemos nuostatus su Valstybine duomenų apsaugos inspekcija (VDAI).
Alfa.lt pasidomėjus, ar IDIS sistema atitinka minėtus reikalavimus, paaiškėjo, jog IDIS administruojanti VTEK Asmens duomenų valdytojų valstybės registre buvo užregistruota 2000 m., 2012 m. duomenys buvo tikslinami. Tai Alfa.lt patvirtino VDAI.
Tiesa, kaip informavo VDAI, šiuo atveju VTEK atliko tik pusę darbo, mat IDIS sistemos nuostatų iki VTEK nėra suderinusi.
„Nors, kaip minėta, VTEK teikė pranešimą dėl registravimo [...] Asmens duomenų valdytojų valstybės registre asmens duomenų tvarkymo automatiniu būdu asmenų, dirbančių valstybinėje tarnyboje, privačių interesų deklaracijų suvestinių duomenų kaupimo, apdorojimo tikslu, tačiau dėl šių duomenų tvarkymo būtent informacinėje sistemoje Valstybinei duomenų apsaugos inspekcijai nuostatai derinti nebuvo pateikti“, – Alfa.lt atsiųstame laiške tvirtino VDAI Informacijos ir technologijų skyriaus vyriausioji specialistė Raminta Sinkevičiūtė-Šečkuvienė.
Ar tai reiškia, kad IDIS sistema, kurioje galima peržiūrėti valdininkų, politikų interesų deklaracijas yra nesaugi?
VDAI aiškaus atsakymo nepateikė, mat, kaip teigė pati inspekcija, IDIS nebuvo tikrinta.
„Dėl asmens duomenų tvarkymo IDIS, tai pastaruoju metu Valstybinė duomenų apsaugos inspekcija nėra atlikusi Vyriausiosios tarnybinės etikos komisijos tvarkomų asmens duomenų tikrinimų, todėl neturime pakankamai informacijos, kad galėtume vienareikšmiškai įvertinti jos tinkamumą asmens duomenų apsaugos požiūriu“, – teigiama VDAI atstovės R. Sinkevičiūtės-Šečkuvienės atsiųstame atsakyme.
Anot jos, VDAI kasmet atlieka apie 100 informacinių sistemų tikrinimų, tačiau įklausimą, kodėl nėra patikrinta IDIS, neatsakė.
Deklaracijų peržiūros – neregistruotoje sistemoje
IDIS sistema, kaip Alfa.lt patvirtino Informacinės visuomenės plėtros komitetas (IVPK), neatitinka ir daugiau teisės aktų reikalavimų. Valstybės informacinių išteklių valdymo įstatyme numatyta, kad visos registrai ir informacinės sistemos turi būti registruotos Registrų ir valstybės informacinių sistemų registre.
„VTEK administruojama privačių interesų deklaracijų informacinė sistema (IDIS) nėra užregistruota Registrų ir valstybės informacinių sistemą registre (RISR)“, – Alfa.lt atsiųstame atsakyme tvirtino IVPK direktorius Ramūnas Čepaitis.
Vis dėlto, pasak R. Čepaičio, tai dar nereiškia, kad IDIS sistema eksploatuojama neteisėtai.
„Informacinių sistemų registracija RISR nesprendžia valstybės informacinių sistemų legitimumo klausimo. Tai reiškia, kad jei valstybės informacinė sistema ir nėra įregistruota RISR, tai dar nepakankama sąlyga laikyti, kad ji eksploatuojama neteisėtai t.y. nėra įteisinta Valstybės informacinių išteklių įstatymo nustatyta tvarka“, – komentavo R. Čepaitis.
Kodėl VTEK neįregistravo IDIS sistemos, IVPK teigė, jog atsakymą žino pati VTEK. R. Čepaitis neslėpė, kad IVPK sistemai IDIS turi ir daugiau priekaištų.
„Iš savo pusės galiu tik pasakyti, kad IDIS nebuvo sukurta ir įteisinta laikantis Vyriausybės nutarimo Nr. 180 nustatytos tvarkos, kadangi 2015 m. esame gavę derinti tik IDIS nuostatų projektą, tačiau Techninės specifikacijos projekto derinti negavome ir taip pat negavome patvirtintų minėtų dokumentų, todėl negalėjome registruoti RISR. Taip pat negavome ir šio sistemos priėmimo į eksploataciją akto“, – dėstė R. Čepaitis.
Vis dėlto, IVPK, kaip ir VDAI, negalėjo atsakyti, ar teisės aktų nuostatų neatitinkanti IDIS sistema galima naudotis, ar ji yra saugi.
„Atsakyti į klausimą „Ar IDIS galima naudotis, ar joje kaupiami asmens duomenys yra saugūs?“ galima tik nustačius, ar IDIS įsteigta ir įteisinta (nors ir nėra įregistruota) taip kaip nustato Valstybės informacinių išteklių valdymo įstatymo, o tam reikėtų gauti iš VTEK papildomą informaciją ir informacinės sistemos steigimo kūrimo ir įteisinimo dokumentus (patvirtintus IDIS nuostatus, IDIS duomenų saugos nuostatus, Techninę specifikaciją ir duomenų saugos politiką įgyvendinančius dokumentus, priėmimo į eksploataciją aktą)“, – dėstė R. Čepaitis.
Įstatymas – vienaip, VTEK – savaip?
Alfa.lt šaltinių teigimu, VTEK ne kartą keltas klausimas dėl IDIS sistemos saugumo. Be to, apie tai, kad būtent VTEK krenta atsakomybė dėl duomenų saugumo nurodo ir Viešųjų ir privačių interesų derinimo valstybinėje tarnyboje įstatymas, kurio 8 straipsnyje teigiama, jog „Deklaracijos formą, deklaracijos pildymo, tikslinimo, papildymo ir pateikimo taisykles, taip pat deklaracijų saugojimo tvarką nustato VTEK“.
Alfa.lt kreipėsi į VTEK, tačiau komisija į klausimus, kodėl IDIS nuostatai nėra suderinti su VDAI, kodėl IDIS nėra užregistruota RISR ir ar IDIS yra saugi, neatsakė. Vietoje to VTEK pateikė kitus paaiškinimus.
Kaip Alfa.lt informavo VTEK, privačius interesus turintys deklaruoti asmenys deklaracijas pildo ir teikia elektroninėmis priemonėmis per Valstybinės mokesčių inspekcijos Elektroninio deklaravimo sistemą (VMI EDS), o pačios deklaracijas patenka į Krašto apsaugos ministerijos pavaldžios įstaigos VĮ „Infostruktūra“ serverį, kuriame jos yra saugomos. Tiesa, VTEK 2015 m. veiklos ataskaitoje nurodoma, kad užpildytos deklaracijos iš VMI EDS per 24 valandas patenka būtent į IDIS.
„VTEK naudojamas įrankis IDIS neatlieka jokių funkcijų deklaracijų pildymo, redagavimo, teikimo, saugojimo bei viešinimo procesuose ir neturi jiems jokios įtakos“, – teigiama VTEK atsakyme portalui Alfa.lt.
VTEK atstovė žiniasklaidai Eglė Ivanauskaitė tvirtino, kad komisijos administruojama sistema IDIS tėra skirta duomenų peržiūrai.
„Šis įrankis (IDIS – Alfa.lt) leidžia įgaliotiems asmenims peržiūrėti VĮ „Infostruktūra“ serveryje saugomas privačių interesų deklaracijas, kurios buvo pateiktos per VMI EDS“, – teigia E. Ivanauskaitė.
Anot VTEK, visų per VMI EDS pateiktų deklaracijų duomenis gali peržiūrėti tik VTEK, o kiti valstybinėje tarnyboje dirbančių asmenų kontrolę vykdantys asmenys (dažniausiai institucijų vadovai arba už personalo reikalų tvarkymą atsakingi institucijų darbuotojai), kuriems VTEK suteikė galimybę naudotis IDIS, gali matyti tik jų institucijoje dirbančių asmenų sąrašą ir šių asmenų pateiktas privačių interesų deklaracijas – kitų asmenų deklaracijų jie matyti negali.
VTEK atstovė žiniasklaidai E. Ivanauskaitė informavo, kad IDIS yra vidiniam naudojimui skirta sistema ir nuo 2019 m. jos bus atsisakyta. IDIS pakeis Privačių interesų registras (PINREG).
„Pradėjus veikti PINREG, vidiniam naudojimui skirto įrankio IDIS pagalba VTEK bei kontroliuojantiems asmenims nebebus reikalinga, o šio įrankio bus atsisakyta. Bet koks didesnės apimties IDIS tobulinimas gali būti prilyginamas naujos programinės įrangos kūrimui, o tai esamoje situacijoje nebūtų tikslinga“, – tikina E. Ivanauskaitė.
Advokatė perspėjo: gali grėsti baudos
Advokatų kontoros „Ellex Valiunas“ teisininkė Miglė Petkevičienė Alfa.lt teigė, jog VTEK registracija VDAI, kaip asmens duomenų valdytoja, dar nereiškia, kad VTEK informacijos nutekėjimo atveju išvengtų atsakomybės.
„Registracija Valstybinėje duomenų apsaugos inspekcijoje neapsaugo duomenų valdytojų nuo atsakomybės, nutekėjus asmens duomenims ar įvykus kitokiam duomenų saugumo pažeidimui. Tinkama registracija Asmens duomenų valdytojų valstybės registre yra viena iš aplinkybių, į kurią, duomenų nutekėjimo atveju, būtų atsižvelgiama vertinant duomenų valdytojo atsakomybę ir administracinės baudos dydį“, – tvirtino teisininkė.
Šiuo metu Administracinių nusižengimų kodeksas už asmens duomenų apsaugos pažeidimus numato baudas nuo 300 iki 1500 Eur.
M. Petkevičienė atkreipė dėmesį į tai, kad 2018 m. pavasarį įsigaliojus Europos Sąjungos Bendrajam duomenų apsaugos reglamentui, administracinės baudos už minėtus pažeidimus gerokai išaugs: priklausomai nuo pažeidimo pobūdžio, bauda gali siekti iki 4 proc. ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, arba iki 20 mln. Eur.
Tiesa, pasak teisininkės, valstybės ir savivaldybių institucijos tokių milžiniškų baudų gali išvengti.
„Asmens duomenų teisinės apsaugos įstatymo projekte, kuris įgyvendins ES Bendrąjį duomenų apsaugos reglamentą, baudos dydis valstybės ar savivaldybės institucijoms ar įstaigoms yra apribotas 60 tūkstančių eurų, tačiau kol kas tai – tik projektas, kuris vis dar derinamas“, – komentavo M. Petkevičienė.