Lietuvoje veikia beveik 900 valstybės institucijų ir jų padalinių, kurių didžioji dalis renka, tvarko ir valdo asmens duomenis, nuo mūsų vardo ir pavardės, kontaktinės informacijos, asmens kodo iki informacijos apie skolas, padarytus nusižengimus ir sumokėtus mokesčius. Sunkiai apskaičiuojamos apimties asmens duomenys valstybės institucijoms yra prieinami per jų savarankiškai sukurtas duomenų bazes ar registrus bei susistemintas rinkmenas, be to, jie taip pat pasiekiami per kitų institucijų duomenų bazes ir per viešuosius registrus. Suprantama, kad tokie duomenys yra reikalingi valstybės institucijų funkcijoms atlikti, tačiau turbūt ne vienam kilo abejonė, ar visada asmens duomenys tvarkomi ir naudojami tinkamai.

Gyventojų nuomonė apie privatumo apsaugą

Europos Komisija šių metų birželio mėnesį paskelbė Eurobarometro apžvalgą, atskleidžiančią, jog asmens duomenų apsauga yra labai svarbi ES gyventojams: 2/3 respondentų neigiamai vertina visiškos kontrolės savo asmens duomenų atžvilgiu neturėjimą, 7 iš 10 teigia, kad jų sutikimas reikalingas visais atvejais prieš duomenų rinkimą ir valdymą, ir yra susirūpinę, jog asmens duomenys naudojami kitais nei rinkimo metu nurodytais tikslais.

Tuo tarpu Lietuvoje 2014 metų pabaigoje Valstybinės duomenų apsaugos inspekcijos (VDAI) užsakymu atlikta apklausapatvirtino, kad tik pusė gyventojų žino apie jų teises asmens duomenų apsaugos srityje. Aštuoniems iš dešimties apklaustųjų asmens duomenų tvarkymas yra svarbus, o labiausiai rūpi, kokie asmens duomenys, kieno ir kokiais būdais tvarkomi ir saugomi. Lietuvos gyventojai, duomenų apsaugos atžvilgiu, labiausiai pasitiki sveikatos priežiūros įstaigomis o labiausiai nepasitiki greitųjų vartojimo kreditų bendrovėmis.


Kaip tvarkomi asmens duomenys valstybės institucijose?

Valstybės kontrolė 2013 metais Lietuvoje atliko auditą dėl „Automatiniu būdu tvarkomų asmens duomenų apsaugos“, kuriame buvo nustatyta daugybė asmens duomenų apsaugos politikos formavimo, įgyvendinimo ir priežiūros trūkumų. Auditas taip pat atskleidė, jog asmens duomenų tvarkymo organizavimas ir valdymas viešajame sektoriuje yra nepakankamas, nes 84 proc. tikrintų įstaigų nesilaiko asmens duomenų teisinės apsaugos reikalavimų.

VDAI, sureagavusi į tokius audito rezultatus, po metų atliko patikrinimus 49 valstybės institucijose, siekdama nustatyti, ar jose tinkamai įgyvendinamos ir reglamentuojamos duomenų subjekto teisės. Patikrinimų rezultatai tikriausiai pribloškė pačius VDAI pareigūnus: 48 valstybės institucijos, visos Lietuvoje veikiančios ministerijos, Valstybinė darbo inspekcija, Valstybinė ligonių kasa, Valstybinė mokesčių inspekcija ir jos teritoriniai padaliniai, Lietuvos darbo birža, Policijos departamentas, Kalėjimų departamentas ir kt., pažeidė Asmens duomenų teisinės apsaugos įstatymo (ADTAĮ) reikalavimus, ir tik viena institucija – Kultūros vertybių apsaugos departamento Kultūros paveldo centras – tinkamai reglamentavo ir įgyvendino duomenų subjektų teises.

VDAI nustatė, jog 19 valstybės institucijų nepranešė asmenims apie tai, kodėl ir kokiais tikslais ketina tvarkyti jų duomenis, nenurodė, kokius duomenis asmuo privalo pateikti ir kokios numatytos jų nepateikimo pasekmės, ir neinformavo asmenų apie jų teisę susipažinti su savo duomenimis, reikalauti ištaisyti neteisingus, neišsamius ir netikslius asmens duomenis. 24 institucijos netinkamai supažindindavo asmenis su jų duomenimis, juos teikdamos be asmens tapatybę patvirtinančio dokumento pateikimo.

Bene labiausiai stebinantis faktas – net 18 institucijų netinkamai vykdė vaizdo stebėjimą apie tai neiformuodami, nurodė neteisingą kontaktinę informaciją, pasirašytinai nesupažindino savo darbuotojų apie vykdomą stebėjimą darbo vietoje, nenustatė vaizdo duomenų tvarkymo taisyklių, nesudarė galimybių duomenų subjektui gauti savo vaizdo duomenų ir net nebuvo pranešusios VDAI, apie vaizdo duomenų tvarkymą ar nepatikslinę anksčiau pateiktų duomenų.

Sveikatos priežiūros įstaigos bei Vidaus reikalų ministerija ir jai pavaldžios įstaigos tvarko ir valdo ypatingus asmens duomenis, t. y.duomenis apie sveikatą, teistumą ir kt. Šių duomenų tvarkymui keliami didesnės apsaugos standartai, o duomenų tvarkytojas, norėdamas rinkti ir naudotis tokiais duomenimis, visuomet privalo pranešti VDAI, ir dėl to atliekama išankstinė patikra. Vis dėlto Sveikatos apsaugos ministerija, Vidaus reikalų ministerija ir Valstybinė ligonių kasa su savo teritoriniais padaliniais pamiršo apie tokią pareigą ir ypatingus asmens duomenis apie sveikatą ir teistumą ėmėsi tvarkyti be VDAI leidimo.

Asmens duomenų tvarkymas Valstybinėje mokesčių inspekcijoje ir jos padaliniuose

Kiekvienam tenka tiesiogiai ar netiesiogiai susidurti su Valstybine mokesčių inspekcija (VMI) mokant ir deklaruojant mokesčius. VMI administruoja ir surenka beveik visus mokesčius ir atitinkamai valdo didžiulį asmens duomenų ir finansinės informacijos kiekį, tačiau, kaip parodė VDAI patikrinimai, šios informacijos nesugeba tinkamai prižiūrėti – VDAI patikrinimo metu nustatyta net 12 ADTAĮ pažeidimų.

VMI duomenų subjektams teikė ne visą privalomą informaciją apie duomenų tvarkymą ir netinkamai įgyvendino teisę susipažinti su savo duomenimis. Taip pat neįgyvendino tinkamų organizacinių duomenų saugumo priemonių, apsaugant duomenis nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo ar atskleidimo. Vidiniuose institucijos dokumentuose buvo nustatyta kitokia tvarkomų asmens duomenų apimtis nei buvo pranešta VDAI ir viešai (t. y. interneto tinklalapyje ir kt.) skelbta netiksli informacija apie vykdomą asmens duomenų tvarkymą. Taip pat nustatyti įvairūs pažeidimai susiję su vaizdo stebėjimu.

Į šiuos asmens duomenų tvarkymo pažeidimus turėtų būti atkreiptas ypatingas dėmesys, kadangi VMI siekia dar labiau praplėsti tvarkomų asmens duomenų mastą: Seimui yra pateiktas Lietuvos Respublikos mokesčių administravimo įstatymo pakeitimų projektas, kuriuo siūloma numatyti pareigą finansų rinkos dalyviams (bankams, kredito, mokėjimo ir kitoms įstaigoms) pateikti VMI informaciją apie asmenų atidarytas ir uždarytas visų rūšių sąskaitas, jų apyvartas ir likučius, palūkanas, skolinius įsipareigojimus, vertybinius popierius, draudimo įmokas, pensijų draudimo įmokas bei kitą informaciją. Šitokiu būdu VMI pareigūnai be jokių trukdžių galės pasiekti dar daugiau finansinių duomenų apie mokesčių mokėtojus, tačiau kyla pagrįstas klausimas, ar įstaigai, vis dar nesugebančiai užtikrinti tinkamos asmens duomenų apsaugos, pavyks suteiktus naujus asmens duomenis naudoti teisėtai ir nepažeisti asmenų teisės į privataus gyvenimo apsaugą.

Sukauptų ir tvarkomų asmens duomenų apsauga

VDAI kol kas patikrino tik mažą dalį valstybės institucijų, tvarkančių asmens duomenis. Tarp patikrintų įstaigų nebuvo SODROS, kuri taip pat kaip ir VMI valdo daugybę asmens duomenų ir plėtodama „Išmaniąją Sodrą“ ketina įdiegti balso atpažinimo sistemą, identifikuojančią paskambinusį asmenį iš balso. Kyla abejonių, ar toks identifikavimo būdas patikimas, be to galimi dažni balso klastojimo atvejai, todėl privati informacija gali būti suteikta ne tam asmeniui.

Valstybės institucijoms vis dar ne itin rūpi ir sukauptų bei tvarkomų asmens duomenų apsauga nuo neteisėto įsilaužimo į duomenų bazes: VDAI nustatė, jog 44 institucijos tinkamai nereglamentavo duomenų subjekto teisių ir jų įgyvendinimo tvarkos, esant atsitiktiniams ar neteisėtiems asmens duomenų sunaikinimo, pakeitimo, atskleidimo ar kitokio neteisėto tvarkymo atvejams.

Šią vasarą Jungtinių Amerikos Valstijų institucijose įvykusios sukauptų asmens duomenų vagystės, paveikusios daugiau nei 21 milijono žmonių asmens duomenų, patvirtino, jog duomenų bazėms ir kitoms informacinėms sistemoms turi būti taikoma sustiprinta apsauga, o juose sukaupti duomenys šifruojami. Tačiau Lietuvos institucijos vis dar pasuka priešingu keliu ir pačios internete atskleidžia asmens duomenis: Krašto apsaugos ministerija internete paskelbė šaukimo į nuolatinę privalomąją karo tarnybą sąrašą,kuriame be asmenų sutikimo pateikė beveik 38 tūkstančių šauktinių pavardžių, gimimo datų ir registruotų gyvenamųjų vietų savivaldybėse. Tokią tendenciją patvirtina ir visai neseniai atliktas Valstybės kontrolės auditas, nustatęs kad institucijos nepakankamai įgyvendina kibernetinio saugumo organizacines ir technines priemones: per mažai dėmesio skiria mobilių ir kitų technologijų bei prietaisų saugai užtikrinti, saugios konfigūracijos ir tinklo saugumo nelaiko įstaigų prioritetais, taip pat nepakankamai atsakingai žiūri į saugos incidentų valdymą.

Raminta Šulskutė
Šis straipsnis yra Žmogaus teisių stebėjimo instituto rengiamos straipsnių serijos „Skaitmeninės teisės“ dalis.