31 Kauno vietą stebėti turinčios kiniškos „Hikvision“ kameros dar neveikia, tačiau jau prijungtos prie maitinimo šaltinių. Su vienu Valstybinės duomenų apsaugos inspekcijos (VDAI) pastebėjimu nesutinkanti Kauno policija reguliariai išmėgina kameras ir tikina, kad nekaupia duomenų, o dėl to bus atsisakoma fiksuoti kai kuriuos kelių eismo taisyklių (KET) pažeidimus. Kol kas dar neaiški tiksli data, kada kameros imtų fiksuoti vaizdus.
Įsijungė raudonos švieselės
2019 metų rudenį BNS skelbė, kad Kaune bus įrengta ne mažiau kaip 234 kameros 31 miesto vietoje: bus stebimi mieste esantys tiltai, judrių gatvių sankryžos, kelios automagistralės A1 atkarpos, Kauno parkų ir paplūdimių viešosios erdvės. Įjungti kameras svajota 2020 metų vasarį, tačiau jų naudoti vis dar negalima, mat sprendžiami duomenų apsaugos aspektai.
Lapkritį kauniečiams į akis krito prie kamerų sužibusios raudonos lemputės. Į LRT.lt kreipęsis kaunietis Andrius (vardas pakeistas, tikrasis redakcijai žinomas) sakė, kad vieną tokią kamerą su raudonomis švieselėmis pamatė prie Panemunės tilto. Vyras svarstė – gal kameros pradėjo veikti ir filmuoti miesto erdves? Bet Kauno miesto savivaldybės administracijos E. paslaugų ir informacinių technologijų skyriaus vedėjas Vytautas Augonis LRT.lt teigė, kad duomenys dar nefiksuojami.
„Raudonos švieselės rodo, kad vaizdo fiksavimo įrenginiai yra prijungti prie maitinimo šaltinių ir paruošti naudoti, tačiau duomenys dar nefiksuojami. Iš techninės pusės sistema visiškai paruošta, o veikimo pradžia priklauso nuo policijos, kuri derasi su Valstybine duomenų apsaugos inspekcija (VDAI)“, – komentavo V. Augonis.
Jo teigimu, viso projekto kaina siekia apie 840 tūkst. eurų. Į šią sumą įskaičiuotas vaizdo priemonių įsigijimas, montavimas, išlaikymas ir nuolatinė priežiūra.
Raudonos švieselės rodo, kad vaizdo fiksavimo įrenginiai yra prijungti prie maitinimo šaltinių ir paruošti naudoti, tačiau duomenys dar nefiksuojami.
V. Augonis
Ką tiksliai fiksuotų?
Pasak Kauno miesto savivaldybės administracijos duomenų apsaugos pareigūnės Rūtos Dubosaitės, kameros turi būti sureguliuotos taip, kad stebėtų tik miesto viešąsias erdves, į jų akiratį nepatektų privatūs sklypai ar teritorijos.
„Kelių šimtų kamerų įrengimas ir tinkamas asmens duomenų tvarkymas – sudėtingas ir didelės apimties procesas, todėl pasirengimas jam trunka ilgai. Vadinasi, jos turi būti preciziškai sumontuotos, privalu užtikrinti atitinkamą vaizdo ribojimą: jeigu į stebėjimo plotą patenka privačios valdos dalis, ją privaloma užtušuoti“, – LRT.lt aiškino R. Dubosaitė.
Kokius duomenis fiksuotų kameros? R. Dubosaitės teigimu, gatvėse ir sankryžose įrengtos kameros skirtos eismo srautams stebėti, kelių eismo taisyklių pažeidimams fiksuoti: gali būti fiksuojami automobiliai be techninės apžiūros registracijos ar neturintys privalomojo civilinio draudimo, taip pat transporto priemonės, kurios įtrauktos į ieškomų ar pavogtų sąrašus.
Ji taip pat minėjo, kad vaizdo kameros įrengtos Kauno apskrities vyriausiojo policijos komisariato (VPK) prašymu, o jų techninė priežiūra patikėta savivaldybei. Stebėjimo priemonės, kaip teigė Kauno miesto savivaldybės atstovė, taip pat padės pareigūnams išsiaiškinti kitas nusikalstamas veikas ar galimai nusikaltusių asmenų judėjimo trajektorijas.
„Planuojama rinkti vaizdo duomenis ir valstybinius transporto priemonių numerius. Juos Kauno apskrities VPK numato saugoti iki 30 parų, vadovaujantis Civiliniu kodeksu, kitais teisės aktais, apibrėžiančiais teisėsaugai taikomas procedūras dėl ikiteisminių tyrimų pradėjimo terminų ir t. t. Jeigu pareigūnai užfiksuos pažeidimą, nusikaltimą, duomenys galės būti saugomi iki 24 mėnesių, kol bus atliekamas tyrimas“, – aiškino R. Dubosaitė.
Policija nenori atskleisti punkto, kuriam nepritariama
Kauno apskrities VPK Komunikacijos poskyrio vedėja Odeta Vaitkevičienė LRT.lt teigė, kad data, kada pradės veikti miesto stebėjimo kamerų sistema, nėra nustatyta.
„Spalio mėnesio pabaigoje sulaukėme rašto iš VDAI, todėl šiuo metu dar sprendžiamas klausimas dėl vieno punkto, kuriam nepritariama. Vėliau bus derinami kiti reikalingi dokumentai su Nacionaliniu kibernetinio saugumo centru“, – sakė O. Vaitkevičienė.
Paklausta, dėl kokio punkto nepritariama, ji atsakė, kad šitos informacijos negalima atskleisti.
Tačiau, anot O. Vaitkevičienės, kameros bandomos reguliariai, kad išryškėtų galimi nesklandumai. Pasak jos, VDAI leidimo reikia duomenims tvarkyti, naudoti ir kaupti, o išmėginant techniškai duomenys nenaudojami ir nekaupiami.
„Kaip pavyzdį galime pateikti, kad žiūrima, ar visais atvejais atskiriama O nuo 0. Pastebėjus nesklandumų, jau atsisakyta fiksuoti ir saugoti duomenis apie KET pažeidimus, tokius kaip ištisinės linijos kirtimas, judėjimo krypties keitimas iš netinkamos eismo juostos, įvažiavimas į sankryžą degant raudonam šviesoforo signalui“, – komentavo O. Vaitkevičienė.
Vaizdui stebėti, pasak jos, buvo pasirenkamos tos vietos, kuriose vyrauja aukšta rizika, gali kilti potenciali grėsmė.
„Mūsų tikslas buvo ne tik greitesnis nusikalstamų veikų ištyrimas, bet ir sunkių nusikaltimų prevencija“, – pridūrė Kauno apskrities VPK Komunikacijos poskyrio vedėja O. Vaitkevičienė.
Kaip pavyzdį galime pateikti, kad žiūrima, ar visais atvejais atskiriama O nuo 0.
O. Vaitkevičienė
Inspekcija nežino, ar Kaune tinkamai testuojamos kameros
Valstybinė duomenų apsaugos inspekcija (VDAI) LRT.lt pateiktame komentare nurodė, kad Bendrasis duomenų apsaugos reglamentas (BDAR) taikomas ir valstybės informacinių sistemų kūrimo bei testavimo aplinkoms, todėl tvarkant asmens duomenis tokioje aplinkoje turi būti užtikrinti visi BDAR 5 straipsnyje įtvirtinti su asmens duomenų tvarkymu susiję principai. Be to, testuojant turi būti vengiama naudoti tikrus asmens duomenis, kai testavimo tikslus galima pasiekti be asmens duomenų tvarkymo.
„Vis dėlto gali pasitaikyti atvejų, kai valstybės informacinių sistemų testavimas nėra įmanomas be asmens duomenų. Tokiais atvejais duomenų valdytojas turi nustatyti specialias testavimo metu naudojamas asmens duomenų apsaugos užtikrinimo procedūras“, – teigė VDAI.
Ar Kaune atliekamas testavimas atitinka įtvirtintus reikalavimus, galima atsakyti tik įvertinus duomenų valdytojo – Kauno policijos ar Kauno miesto savivaldybės – informacinių išteklių keitimų valdymo politiką ar kitą dokumentą, reglamentuojantį minėtos informacinės sistemos testavimą. Inspekcijai nėra žinoma, ar minėtos įstaigos yra tokius dokumentus parengusios. O jei yra – kaip testavimas juose reglamentuotas ir ar yra pagrįstas.
„VDAI leidimas šiuo atveju nėra būtinas, tačiau verta pažymėti, kad valstybės informacinės sistemos, kurią naudojant siekiama tvarkyti vaizdo duomenis, veikimas su VDAI nėra baigtas derinti. Valstybės informacinės sistemos testavimo teisėtumas priklauso nuo jos testavimo aplinkos funkcionalumo ir nuo to, kaip konkrečiai toks testavimas atliekamas, pavyzdžiui, nuo jo apimties“, – teigiama LRT.lt pateiktame inspekcijos atsakyme.
Įstaiga pridūrė, kad testavimo laikotarpis priklauso nuo konkretaus testavimo tikslo, apimtiems, procedūrų ir testavimo aplinkos funkcionalumo. Tačiau tais atvejais, kai siekiama testuoti valstybės informacinę sistemą ar jos dalis, vadovaujantis Valstybės informacinių sistemų gyvavimo ciklo valdymo metodika, toks testavimas atliekamas tik suderinus tokios sistemos nuostatus ir jos duomenų saugos nuostatus.
Ko reikia, kad kameros veiktų?
VDAI pabrėžė, kad BDAR nedraudžia tvarkyti asmens duomenų, pavyzdžiui, stebėti vaizdo, tačiau nustato reikalavimus, kurie keliami tam, kad siekiamas vykdyti vaizdo stebėjimas būtų teisėtas.
Vienas tokių reikalavimų – atlikti poveikio duomenų apsaugai vertinimą (PDAV). Kaune esančių kamerų atveju, anot inspekcijos, tokį vertinimą atlikti reikia, nes siekiama vykdyti sistemingą viešųjų vietų stebėjimą dideliu mastu.
Inspekcija pažymėjo: jeigu atlikus poveikio duomenų apsaugai vertinimą nustatoma, kad tvarkant duomenis kiltų didelis pavojus ir duomenų valdytojas nesiimtų priemonių pavojui sumažinti, duomenų valdytojas privalo kreiptis į VDAI dėl išankstinių konsultacijų suteikimo. Kauno policija ir Kauno valdžia atliko tokį vertinimą ir pernai balandį kreipėsi į inspekciją dėl konsultacijų. Įvertinusi pateiktą informaciją, VDAI nustatė, kad Kaune siekiamas vazdo stebėjimas neatitiktų BDAR nustatytų reikalavimų, ir apie tai informavo Kauno policiją ir savivaldybę.
„Turi būti užtikrinta, kad vaizdo stebėjimas būtų vykdomas tose vietose, kur vyrauja aukšta rizika, kad gali būti sukeltas pavojus fizinių asmenų gyvybei, sveikatai ar turtui, kitoms jų teisėms bei laisvėms“, – nurodoma VDAI komentare.
Taip pat priduriama, kad gali kilti pavojus juridinių asmenų turtiniams interesams, o sumažėjus rizikos lygiui vaizdo stebėjimas turi būti nutrauktas. Be to, turi būti užtikrinama, kad pravažiuojančių transporto priemonių valstybiniai numeriai būtų saugomi tik proporcingą laikotarpį ir tik tų, kuriomis, pavyzdžiui, buvo padaryta KET pažeidimų, kurios yra ieškomos ir pan.
VDAI taip pat pabrėžė, kad, siekiant vykdyti vaizdo stebėjimą aptariamu atveju, turėtų būti inicijuotas naujos valstybės informacinės sistemos steigimas arba esamos valstybės informacinės sistemos modernizavimas. Todėl, kaip teigiama inspekcijos atsakyme, siekiamas asmens duomenų tvarkymas galės būti vykdomas tik kai išankstinės konsultacijos metu nustatyti trūkumai bus pašalinti.
„Paminėtina, kad šiemet balandį duomenų valdytojai (Kauno policija ir Kauno miesto savivaldybė, – LRT.lt) pateikė VDAI papildomų argumentų dėl asmens duomenų saugojimo terminų ir apimties, taip pat pateikė Vaizdo stebėjimo viešose vietose informacinės sistemos nuostatus. VDAI, įvertinusi pateiktą informaciją, nustatė, kad dalis išankstinės konsultacijos metu nustatytų trūkumų – dėl asmens duomenų saugojimo terminų ir apimties – nėra pašalinti, taip pat nustatė kitų trūkumų, susijusių su asmens duomenų tvarkymo tikslais ir duomenų subjektų teisių ribojimais“, – apie situaciją dėl vaizdo stebėjimo kamerų Kaune teigė VDAI.
Pasak jos, Kauno policija ir Kauno miesto savivaldybė, atsižvelgdamos į VDAI pateiktas pastabas, rugsėjo ir spalio mėnesiais pateikė atnaujintus Vaizdo stebėjimo viešose vietose informacinės sistemos nuostatus.
„VDAI, įvertinusi juos, atkreipė dėmesį į likusį paskutinį, bet esminį siekiamo asmens duomenų tvarkymo trūkumą, susijusį su asmens duomenų teikimu į kitą valstybės informacinę sistemą – teikimo būtinumu, proporcingumu, teisėtumu. Taigi, siekiamas asmens duomenų tvarkymas su VDAI nėra suderintas, todėl neturėtų būti pradėtas vykdyti“, – teigia inspekcija.
Dalis išankstinės konsultacijos metu nustatytų trūkumų – dėl asmens duomenų saugojimo terminų ir apimties – nėra pašalinti.
Valstybinė duomenų apsaugos inspekcija
Tikina, kad kameros bus saugios
Ar šios kameros Kaune būtų saugios? Dar 2020 metų sausį LRT Tyrimų skyrius paskelbė, kad Lietuvoje šios kameros naudojamos Vadovybės apsaugos, Migracijos, Policijos departamentuose, taip pat Valstybės sienos apsaugos ir Viešojo saugumo tarnybose bei valstybės įmonėje „Oro navigacija“.
Tačiau JAV sostinėje Vašingtone įsikūrusios idėjų kalvės „The Heritage Foundation“ technologijų politikos vadovas Klonas Kitchenas LRT anuomet sakė, kad JAV „Hikvision“ ir „Dahua“ kamerų atsisakė dėl kibernetinio saugumo spragų ir dėl to, kad jomis gali pasinaudoti Kinijos žvalgyba.
Kaip LRT.lt teigė Kauno miesto savivaldybės administracijos E. paslaugų ir informacinių technologijų skyriaus vedėjas Vytautas Augonis, gyventojai neturėtų baimintis dėl duomenų saugumo – vaizdo kameros sujungtos į uždarą tinklą, todėl prie jo prisijungti iš išorės ir taip perimti duomenis nėra galimybės.
VDAI teigimu, duomenų valdytojai, prieš pasirinkdami konkrečias technines priemones asmens duomenims tvarkyti, turi atlikti šių priemonių vertinimą, susipažinti su šių priemonių techninėmis specifikacijomis, privatumo politika, kitais susijusiais būtinaisiais dokumentais, atlikti šių rizikų vertinimą, kitus būtinus veiksmus.
„Tai yra duomenų valdytojų pareiga, kylanti iš BDAR 5 straipsnio 2 dalies. Inspekcija negali konstatuoti, ar konkrečiomis vaizdo fiksavimo priemonėmis tinkamai užtikrinamas asmens duomenų saugumas. Tai gali būti įvertinta tik išsamaus tyrimo metu“, – nurodoma inspekcijos atsakyme.
