Ne viena šalies įmonė pastaruoju metu elektroniniu paštu sulaukė pasiūlymo įsigyti „Ūkininkų duomenų katalogą“. Žemdirbių duomenis it pyragą siūloma raikyti kuo įvairiausiais pjūviais: pagal gyvenamąją vietą, veiklos sritį, deklaruojamus plotus ir kitaip. Nors daug kam pasiūlymas gali atrodyti viliojantis, paaiškėjo, kad duomenų platintojai šiai veiklai – asmens duomenims platinti – neturi ūkininkų sutikimo. Tai jau kvepia rimta atsakomybe, kurios neišvengtų ir tokiu pasiūlymu susigundę pirkėjai.
Derybos: neatsakai – kaina perpus
„Pasiūlymų įsigyti įvairių įmonių kontaktus vienoje duomenų bazėje sulaukiame nuolat, tačiau siūlymo pirkti ūkininkų kontaktus dar neteko matyti. Iškart supratome, kad tai nekvepia skaidrumu. Iš smalsumo pasiteiravome, kokia tokių duomenų kaina – 199 eurai. Su tokiais pardavėjais prasidėti nepanorome“, – pasakoja įmonės (pavadinimas redakcijai žinomas – red. past.) atstovas.
Kiek vėliau toks pat pasiūlymas pasiekė ir ŪP redakciją. Duomenis siūloma atsiųsti paruoštame kompiuterinės skaičiuoklės faile, kur asmeniniai duomenys filtruojami, kaip pageidaujama. Tame pačiame laiške iškart nevyniojant į vatą siūloma atsiųsti pavyzdį, kuriame pirkėjas galės įsitikinti, kad duomenys tikri. Nesureagavus į laišką, prekiautojas neatlyžta ir po kelių dienų dar kartą pateikia pasiūlymą. Tik šį kartą kainą sumažinta beveik perpus – už 119 eurų informacija apie ūkius kaip ant delno. Kaip nurodo prekiautojai, remdamiesi ūkininkų asmens duomenimis, jų turimoje sistemoje – 14 100 kontaktų. Nurodomas ūkininko vardas, pavardė, gyvenamoji vieta, mobiliojo telefono numeris, informacija apie deklaruotus pasėlių plotus.
Reikalingi sutikimai
ŪP susisiekus su Valstybine duomenų apsaugos inspekcija (VDAI), Teisės skyriaus patarėja Raminta Sinkevičiūtė-Šečkuvienė pabrėžė, kad asmens duomenų tvarkymas laikomas teisėtu tik tuo atveju, jeigu jis atitinka Bendrojo duomenų apsaugos reglamento (BDAR) 5 straipsnyje įtvirtintus su asmens duomenų tvarkymu susijusius principus ir 6 straipsnyje nustatytas asmens duomenų teisėto tvarkymo sąlygas.
„Siekiant sudaryti minimas duomenų bazes, pirmiausia būtina pasirinkti tinkamą BDAR 6 straipsnyje įtvirtintą teisėto asmens duomenų tvarkymo sąlygą. Manytume, kad šiuo atveju minima duomenų bazė galėtų būti sudaroma tik turint ūkininkų sutikimus ir šios duomenų bazės tolesnis naudojimas taip pat turi atitikti BDAR reikalavimus“, – akcentavo R. Sinkevičiūtė-Šečkuvienė.
Gali pakliūti piktavaliams
Duomenų bazei sudaryti reikalingi ten esančių ūkininkų sutikimai, tad įdomu, ar prekiautojai varginosi teiraudamiesi kiekvieno ūkio šeimininko leidimo. Jiems atsiuntus failą, kuriame beveik 100 ūkininkų kontakų, susisiekus su žemdirbiais jie neslėpė nuostabos, kad yra įtraukti į tokią sistemą. Pasak Kauno r. ūkininkaujančio Andriaus Staliūno, sutikimo įtraukti asmeninius duomenis į duomenų bazę jo niekas asmeniškai neprašė. „Ar esu davęs sutikimą naudoti mano duomenis? Už milijoną, aišku, parduodu. Pirkite, kam reikia, – ironizuoja ūkininkas pažymėjęs, kad šiuo metu sulaukia nemažai žinučių, skambučių iš firmų, kurių nėra anksčiau girdėjęs. – Abejoju, kad jiems esu davęs savo kontaktus. Nežinau, iš kur jie juos gauna.“
Pašnekovas griežtas: minėtoje kontaktų prekyboje jis nesutinka dalyvauti, todėl iš sistemos nori būti pašalintas.
Tokios pat nuomonės laikosi ir dar vienas Kauno r. dirbantis ūkininkas Leonas Rudinskas. Jam pavyko prisiskambinti duomenų bazėje nurodytu mobiliuoju telefonu. Pašnekovas neabejoja, kad sutikimo platinti jo duomenis niekam nedavė. Jis svarsto, kad tokios duomenų bazės gali nesunkiai pakliūti į piktavalių rankas, todėl niekas sąmoningai sutikimo parduoti asmeninę informaciją nesutiktų. „Duomenų apsaugos reglamentas pradės veikti tada, kai kas nors bus rimčiau nubaustas už pažeidimus. Kol niekas nagų nenudegs, reglamentas neveiks, nes kol kas nematau, kad kas nors atsakingai į tai žiūrėtų“, – piktinasi L. Rudinskas.
Sutapo su deklaruojamais duomenimis
Pagal nurodytus kontaktus skambinant dar vienam ūkininkui, į skambutį atsiliepė jo žmona. Prieniškė pašnekovė paaiškino, kad būtent jos, o ne vyro telefono numeris buvo nurodytas pateikiant pasėlių deklaracijų duomenis. „Visi įvardinti duomenys yra tiksliai tokie, kokius nurodau deklaruodama pasėlius. Kadangi pasėlius deklaruoju aš, o ne vyras, mobiliųjų ir el. pašto adresus nurodau savo, dėl to interesantai skambina man, nors vis teiraujasi vyro ūkininko“, – dėsto moteris. ŪP primena, kad ūkininkai pasėlius deklaruoja Valstybės įmonėje Žemės ūkio informacijos ir kaimo verslo centras (toliau – ŽŪIKVC). Įmonė pavaldi Žemės ūkio ministerijai. ŽŪIKVC savo veikla siekia užtikrinti Ministerijos reguliavimo srities registrų ir informacinių sistemų efektyvų veikimą ir dalyvauti paramos žemės ūkiui ir kaimo plėtrai administravimo sistemos kūrimo procesuose.
Moteris ŪP žurnalistei sakė, kad keisti skambučiai jai ne naujiena. „Pastaruoju metu sulaukiu niekur negirdėtų, nematytų įmonių skambučių, žinučių, siūlančių paslaugas, produktus. Net man pačiai kildavo klausimų, iš kur jie gavo mano duomenis, tačiau neišdrįsdavau paklausti.“
Sąraše – Seimo narys
Ūkininkų sąraše yra ir gerai žinoma pavardė – Seimo nario, Kaimo reikalų komiteto pirmininko pavaduotojo Kazio Starkevčiaus. Tiesa, čia analogiška situacija kaip ir su prieniškiais – pavardė vyro, bet prisiskambinome žmonai. Tik šiuo atveju situacija aiški – parlamentaras ūkininkauti negali, todėl visas teises perleido žmonai Rasai. „Atrodo, niekam per daug savo telefono numerio nedaliji, bet rašančių, skambinančių trąšų, pesticidų pardavėjų vis atsiranda. Tokiame sąraše nenorėčiau būti, juolab kad kai ko nors reikia, susirandu pati“, – rėžė R. Starkevičienė.
ŪP susisiekus su Seimo nariu K. Starkevičiumi, jis patikino, kad tokio pobūdžio prekyba – grubus pažeidimas. Jis užtikrino kreipsiąsis į atsakingas tarnybas: „Matyti, kad šie duomenys galėjo būti paimti iš ten, kur yra deklaruojami pasėliai. Kadangi mano ūkis tik registruotas mano vardu ir pavarde, visus įgaliojimus tvarkyti jį turi mano žmona. Pagal tai galima atsekti, iš kur nutekėjo informacija, nes ten nurodomas žmonos, o ne mano telefono numeris. Kaip šie duomenys pateko į prekiautojų duomenimis rankas, turėtų aiškintis teisėsaugos institucijos. Kadangi man artimas žemės ūkis, galiu pasakyti, kad nurodyti duomenys sutampa su deklaruojama informacija. Jokiais būdais nenorėčiau, kad tokiais duomenimis būtų prekiaujama, nes, patekus duomenims į nesąžiningų žmonių rankas, jais galima pradėti manipuliuoti“, – neabejoja K. Starkevičius.
Sistemos nuolat testuojamos
Daugumai bent kiek žemės ūkį pažįstančių žmonių, pasėlių deklaravimas asocijuojasi su Nacionaline mokėjimo agentūra (NMA). Todėl duomenų pardavinėjimo siūlo galų ŪP pradėjo ieškoti ten.
NMA pasiteiravus, ar galėjo taip atsitikti, kad ūkininkų kontaktai nutekėjo iš jų įstaigos (sistemoje pateikiama informacija gali būti filtruojama pagal ūkininkavimo veiklas, plotus, gyvenamąją vietą), Agentūros Komunikacijos skyriaus vyriausioji specialistė Donata Macevičienė nurodė, kad NMA įdiegtos sistemos leidžia užtikrinti ir palaikyti aukštą saugumo lygį. Pasak jos, apsaugos sistemos nuolat testuojamos dėl atsparumo įsilaužimui. NMA yra įgyvendinusi organizacinius ir techninius kibernetinio saugumo reikalavimus.
„Norėtume pabrėžti, kad iš pateiktos informacijos negalime daryti išvados, jog ji yra susijusi su NMA. Atkreipiame dėmesį į tai, jog tiesioginių išmokų paraiškas, kuriose ūkininkai deklaruoja žemės ūkio naudmenas ir pasėlius, renka Žemės ūkio informacijos ir kaimo verslo centras (ŽŪIVKC)“, – kreiptis į valstybinę įmonę pasiūlė NMA. NMA specialistė patvirtino, kad yra sertifikuota pagal ISO 27001:20013 standartą. Per visą NMA veiklos istoriją į NMA duomenų sistemą įsilaužta nebuvo.
Kreipėsi į policiją
Tačiau ŪP nusiuntus analogiškus klausimus ŽŪIVKC direktoriui Sigitui Puodžiukui, šis neskubėjo atsakyti, mat suabejojo korespondentės tapatybe: „Siekiant įsitikinti Jūsų tapatybe, prieš pateikiant atsakymus į Jūsų klausimus, prašome elektroninės formos prašymą pasirašyti elektroniniu parašu, kuriam LR įstatymais ar Europos Sąjungos teisės aktais yra suteikta lygiavertė rašytiniam parašui teisinė galia, arba elektroninį prašymą suformuoti elektroninėmis priemonėmis, kurios leidžia užtikrinti teksto vientisumą ir nepakeičiamumą. Taip pat, vadovaudamiesi LR visuomenės informavimo įstatymo 41 str. 2 d. 6 p. prašome nurodyti savo darbovietę, t. y. visuomenės informavimo priemonę ir (ar) programą, kuriai rengiate straipsnį“, – laiške rašė S. Puodžiukas.
Su įstaigos vadovu susisiekus telefonu, jis į klausimus sutiko atsakyti tik preliminariai, mat ŪP atsiųstų klausimų pagrindu kreiptasi į policiją, pareigūnai pradėjo tyrimą. „Be abejo, prekyba ūkininkų kontaktais yra pažeidimas. Praėjusią savaitę reaguodami į Jūsų laišką kreipėmės į policiją dėl galimai padarytos nusikalstamos veikos. Į šią situaciją reaguojame labai rimtai“, – tikino S. Puodžiukas pridūręs, kad jo pavedimu įstaigoje pradėtas ir vidinis tyrimas.
Ekspertai mato skylių kitur
ŪP kalbinti žemės ūkio ekspertai teigė, kad tokia informacija apie ūkininkus disponuoja daug organizacijų – nuo šakinių asociacijų iki ūkininkų sąjungos, o dėmė metama artimiausioms ūkininkams. Ekspertų nuomone, tiesioginių išmokų duomenų bazėje yra apie 125 tūkst. ūkininkų, kai, tuo tarpu, nelegalūs informacijos prekeiviai siūlo tik apie 14 tūkst, ūkininkų duomenų, tai yra – beveik devynis kartus mažiau.
Be to, ekspertai atkreipė dėmesį, kad iš pateiktų informacijos prekeivių duomenų matosi, kad dauguma jų - didieji ūkininkai, kurių informacija „keliauja“ ir į VMI, ir į SODRĄ, ir į savivaldybių ir kitas duomenų bazes.
Į ŪP klausimus pardavėjai neatsakė
Pasak S. Puodžiuko, kol ŽŪIVKC nemato, kokia parduodama ūkininkų kontaktų struktūra, neaišku, ar duomenys galėjo patekti iš jo vadovaujamos įstaigos, mat Lietuvoje yra per 600 seniūnijų, todėl bet kurioje jų pasėlių deklaracijų duomenys galėjo būti nusavinti. Jis taip pat patikino, kad į įmonės sistemą nebuvo įsilaužta. „Įmonėje dirba apie 200 žmonių, todėl už visus garantuoti 100 proc. negaliu. Tačiau šiandieną galiu drįsti teigti, kad ūkininkų duomenys nutekėjo ne iš mūsų įstaigos“, – teigė S. Puodžiukas.
Kontaktais prekiaujantis asmuo el. laišką rašo iš vieno el. pašto adreso, atsako iš kito, o duomenis atsiunčia iš trečio. Susigaudyti, kokia tai įmonė ar asmuo, užsiimantis tokia veikla, sudėtinga. ŪP susisiekus nurodytais kontaktais – kapų tyla. Kadangi viename iš siuntėjo adresų matyti nurodytas vardas ir pavardė, ŽŪIVKC pasiteiravus, ar įstaigoje nedirbo nurodomas asmuo, S. Puodžiukas užtikrino, kad toks žmogus nedirbo.
Iki 20 mln. eurų bauda
Kokia nuobauda gresia neteisėtai prekiaujant asmens duomenimis? Ar tokia pati bauda taikoma ir įmonėms, perkančioms kontaktus? Anot VDAI Teisės skyriaus patarėjos R. Sinkevičiūtės-Šečkuvienės, jei duomenų valdytojas pažeidžia BDAR, pavyzdžiui, tvarko asmens duomenis neturėdamas teisinio pagrindo, priežiūros institucija – VDAI – atsižvelgia į BDAR 83 straipsnio 2 dalyje nustatytus kriterijus ir priima sprendimą dėl taisomųjų veiksmų. Tuo atveju, jei priežiūros institucija priima sprendimą skirti administracinę baudą, ji turi teisę skirti iki 20 milijonų eurų arba iki 4 proc. ankstesnių finansinių metų bendros metinės pasaulinės apyvartos (įmonei). Baudos dydis pasirenkamas taip, kad bauda būtų veiksminga, proporcinga ir atgrasanti.
BDAR nustato pareigą duomenų valdytojui ne tik laikytis BDAR, bet ir sugebėti įrodyti, kad jo laikosi. Tai reiškia, kad duomenų valdytojas (šiuo atveju – kontaktus įgyjanti organizacija) privalo sugebėti įrodyti, kad jos tvarkomi asmens duomenys surinkti teisėtai ir vėliau tvarkomi taip pat teisėtai. Abejotina, ar kontaktus perkanti organizacija įrodytų, kad asmens duomenys surinkti ir perduoti jai teisėtai (vadovaujantis viena iš BDAR 6 straipsnyje nustatytų teisėtumo sąlygų). Jei duomenų valdytojas negali įrodyti jo tvarkomų asmens duomenų kilmės, jų teisėtų tvarkymo sąlygų, jam gali būti taikomi taisomieji veiksmai, nustatyti BDAR, įskaitant ir administracinę baudą.
Monika KAZLAUSKAITĖŪP korespondentė