Registrų centro duomenų vagystės istorija toli gražu nėra baigta – išvadų dar teks palaukti. Vis dėlto iki šiol tebėra neatsakytų klausimų. Apie Teisingumo ministerijos vaidmenį šioje istorijoje – pokalbis „Dienos temoje“ su teisingumo ministre Rita Tamašuniene. Ji sako nemananti, kad jos ministerijos įsitraukimas, sužinojus apie duomenų nutekinimą, buvo per menkas.
– Šitoje duomenų vagystėje figūruoja trys ministerijos: per Migracijos departamentą Vidaus reikalų ministerija, Registrų centras yra pavaldus Ekonomikos ir inovacijų ministerijai, o Teisingumo ministerija yra įvardijama kaip duomenų valdytoja. Kiek jūs čia įžvelgiate savo atsakomybės visame šitame procese? Nes jūsų visiškai nesigirdi.
– Pagal nustatytą įstatymą ir apibrėžtį, duomenų valdytojas yra atsakingas už priemones, už tikslus, t. y. už teisėkūrą, kad registras pradėtų veikti, jame būtų duomenys. Tai mes atsakingi ta apimtimi. Bet kalbant apie saugumą, kibernetinį saugumą, techninius parametrus, funkcionalumą, tai šitie įgaliojimai yra suteikti Registrų centrui.
Dėl to galbūt mūsų figūravimas ne tiek girdimas visos tos sudėtingos situacijos šviesoje. Bet taip, visos tos institucijos yra atsakingos už bendrą Registrų centro veiklą.
– Iš tikrųjų – Registrų centras yra duomenų tvarkytojas, Teisingumo ministerija – duomenų valdytoja. Bent jau taip įrašyta Nekilnojamojo turto registro įstatyme. Ir tada pagal BDAR – Bendrąjį duomenų apsaugos reglamentą – pagrindinė pareiga informuoti žmones apie pažeidimą tenka būtent duomenų valdytojui, t. y. Teisingumo ministerijai. Man regis, 34 BDAR straipsnis. Tai kokių jūs veiksmų ėmėtės, kad žmonės būtų informuoti, jog įvyko vagystė?
– Apie informacijos suteikimą taip pat jau, atrodo, apie 10 metų visus įgaliojimus turi Registrų centras. Šitoje situacijoje Registrų centras balandžio pradžioje pranešė ir Teisingumo ministerijai, kad įvykęs toks incidentas, vėliau pranešė, kad pradėtas ikiteisminis tyrimas. Buvo pasirinkta tokia taktika, nes reikėjo atlikti tam tikrus, matyt, slaptus tyrimo veiksmus. Dėl to, paaiškėjus šio incidento mastui, paaiškėjus, kur buvo padarytos klaidos, iš kokių institucijų, paaiškėjus, kokių veiksmų ėmėsi Registrų centras, kuris įpareigotas visą tą dalį atlikti, nutarta skelbti žmonėms apie tą platų incidentą.
– Ministre, bet man vis tiek ne visai sutampa, nes Registrų centras informavo apie tą vagystę ir Valstybinę duomenų apsaugos inspekciją, ir jus. Tai atsitiko balandžio 10 dieną. Tai po mėnesio Valstybinė duomenų apsaugos inspekcija atsakė į tą laišką įspėdama, kad iki gegužės 27 d. žmonės turi būti informuoti. Tuo metu iš jūsų Registrų centras sako negavęs absoliučiai jokio atsakymo į tą savo informavimą. Ir aš noriu priminti, kad 2020 m. birželio 25 d. yra pasirašytas toks teisingumo ministro įsakymas, kuriuo pabrėžia, kad jis užduoda toną, kaip žmonės turi būti informuojami. Jis sprendžia, kada bus informuojama, ir perduoda Registrų centrui, kaip jis tai turi padaryti, kada jis tą turi padaryti.
– Tas tonas ir duotas – suteikti įgaliojimai Registrų centrui.
– Bet jie sako negavę jokio rašto iš jūsų.
– Jie yra gavę įgaliojimus. Pagal tuos įgaliojimus Registrų centras ir veikia. Ir jie pagal tuos įgaliojimus įpareigoti teikti informaciją arba juridiniams asmenims, arba fiziniams asmenims apie incidentus. Arba tiesiog informaciją, jeigu žmogus kreipiasi ar kreipiasi advokatai, ar tie duomenys buvo apie tą konkretų asmenį renkami. Tai ta informavimo sistema taip pat buvo, mano vertinimu, aiški Registrų centrui. Bet čia ne iki galo Registrų centro atsakomybė, kad mes turėjome nedelsiant paskelbti, bet buvo pasirinkta, kaip minėjau, ikiteisminio tyrimo taktika sukaupti būtinus duomenis ir išsiaiškinti, kur yra spragos. Tai buvo padaryta ir būtent tomis gegužės dienomis paskelbta visuomenei. Buvo pateikta, kokia apimtimi, kiek duomenų yra nutekėjusių.
Registrų centras taip pat sukūrė instrumentą, kas yra labai svarbu, kad žmonės gali pasitikrinti, ar tikrai tie duomenys apie juos buvo nutekinti. Nekilnojamojo turto registre nėra prievolės skelbti žmogaus telefono ar elektroninio pašto. Informuoti kitais būdais Registrų centras ir negalėjo kiekvieno asmens. Dėl to jie, suprasdami, kad turi prievolę informuoti ir nukentėjusiuosius, sukūrė tą instrumentą, kuriuo dabar mes galime pasinaudoti ir pasitikrinti, ar tie duomenys buvo nutekinti.
– Bet iš tikrųjų jie nesijaučia turintys tokią prievolę. Jie sako, kad vis dėlto laukia iš Teisingumo ministerijos.
– Nereikėjo laukti.
– Dauguma teisininkų sako, kad vis dėlto net ir tų funkcijų delegavimas jūsų nuo atsakomybės neatleidžia. Vis tiek informuoti turite jūs. Jūs galite nurodyti Registrų centrui, kada tą daryti, kaip tą daryti, bet vis tiek turite jūs spręsti viską. O jūs nusišalinote.
– Tai niekas nesikrato, gerbiama vedėja, tikrai niekas nesikrato atsakomybės ir atsakomybė yra visų susijusių institucijų. Ir išvis reikia, mano vertinimu, peržiūrėti, kad per daug auklių – vaikas be galvos, nes iš tikrųjų vieni valdytojai, kiti tvarkytojai, tretieji disponuoja prisijungimais ir taip toliau. Tų institucijų – atsakingų ir imančių duomenų iš Registrų centro – yra aibė. Ir valstybės, ir savivaldybės institucijų. Visi tie valstybės tarnautojai, kuriems reikia gauti duomenis ir atlikti tam tikrus veiksmus: tikrinant žmonių pajamas, turtą ir taip toliau. Tai tikrai prisijungimų yra daug ir Registrų centras savo veiklos nuostatose ir įstatuose tikrai žino savo funkcijas.
Neatsitiktinai jie šalia kūrė tą įrankį, nes žinojo – pamatė mastą, kad tai nėra vienetai, kad žmonės negalės būti informuojami. Kaip jie informuos, jeigu nėra jų elektroninių paštų, telefonų ir taip toliau. (Kūrė įrankį – LRT.lt), kad suteiktų galimybę prisijungti ir pasitikrinti. Tai ministerija, žinodama, kad paraleliai vyksta veiksmai, sulaukė, kaip ir visos kitos institucijos, kad vėliau bendrai būtų pranešta ir visuomenei. Ir, be abejo, sprendžiami klausimai, kurie parodė, atskleidė negeroves ir spragas.
– Ministre, bet jeigu jūs pripažįstate, kad ministerija yra duomenų valdytoja ir savo funkcijas irgi kaip ir žinote, tai tada jūs pasakykite, kokios tada lieka jums funkcijos, jeigu jūs šalinatės? Jeigu sakote: „Viską Registrų centras turėjo padaryti.“
– Teisėkūra. Kaip ir nustatyta įstatyme. Mes nustatome tikslus, tvarką ir priemones. (…) Tai yra įstatymas, kuris įpareigoja užregistruoti tam tikrus sprendimus, kurie kyla iš įstatymų, ir kuriami nauji registrai arba tų registrų papildomi funkcionalumai. Mes už tai, kad viskas vyktų teisėtai, nes kiekvienas registras atneša ir pasekmes, padarinius ateityje, tai Teisingumo ministerija atsakinga toje srityje.
Dėl to mes įsijungiame galbūt tik dabar ir tai yra logiška, nes tikrai dalyvaujame, bendradarbiaujame ir norime, kad ateityje Registrų centras veiktų daug sklandžiau ir kad būtų aiškesnė informavimo tvarka – ar žmonių, ar kiekvieno asmens.
Dar mes sulaukime Valstybinės asmens duomenų įstaigos atsakymų, nes jie atlieka tyrimą dėl žalos, dėl galimos žalos kiekvienam asmeniui. Tai iš tų visų tyrimų – ir ikiteisminis tyrimas dar neatsakė į visus klausimus. Tikrai dalyvausime, bendradarbiausime su kitomis institucijomis ir spręsime, kad Registrų centras veiktų ir žmonės pasitikėtų valstybe, jog jų duomenys yra saugomi tinkamai.
– Ir vis dėlto, ministre, aš matau, kad deleguoti galima tik techninį vykdymą, bet pačios valdytojos atsakomybės jūs negalite deleguoti niekaip. Tą kalba teisininkai. Kitaip sakant, žmonių informavimas, rizikos vertinimas, atsakomybė už teisėtą tvarkymą ir pagrindiniai sprendimai yra valdytojo reikalas. O jūs tarsi liekate nuošalyje ir sakote, kad viskas buvo atiduota Registrų centrui.
– 2017 m. įgaliojimas visa tai daryti yra teisingumo ministro perduotas Registrų centrui. Ir iki šiol visa tai veikė, visi suprato savo atsakomybes ir tai, ką turi vykdyti Registrų centras. Be abejo, duomenų apsauga, funkcionalumai, gyventojų informavimas, techninė priežiūra, nuolatinis atnaujinimas – visa tai yra Registrų centro funkcijos ir jis visa tai geba atlikti.
– Tai jūs šiuo atveju savo kažkokio, kaip čia pasakyti, per menko įsikišimo ir dalyvavimo neįžvelgiate?
– Neįžvelgiame. Ir tikrai norime tarnauti pagalba ir patirtimi, nes tikrai norėtume, kad vis dėlto tas skausmingas incidentas ateityje nepasikartotų. Ir dabar kartu bendradarbiaujame su kitomis ministerijomis, pirmiausia Ekonomikos ir inovacijų ministerija, kuri yra Registrų centro savininkė, bet taip pat ir Vidaus reikalų ministerija – kuriose institucijose buvo spragos ir iš kur nutekėjo tie duomenys. Suburta vyriausybinė darbo grupė, tai visi kartu dirbame, kad ateityje incidentai nepasikartotų. Tai turbūt yra svarbiausia.
– Labai trumpai, kaip jūs manote, kiek tokie incidentai pakenkia žmonėms? Ar anksčiau jie negalėjo būti informuoti, jūsų manymu? Ne iki 27 dienos, kaip jau buvo Registrų centrui pasakyta, bet anksčiau? Nes jų duomenys buvo pavogti, bet jie nieko nežinojo.
– Ar tai būtų atnešę kokios papildomos naudos? Nemanau. Mano vertinimu, galbūt tyrimas sukaupė reikalingą informaciją ir tas tyrimas bus efektyvus, mes žinosime, tai yra daug svarbiau. Bet dabar visi supratome, kad per trumpą laiką padarėme tą, ką galėjome padaryti, ir visuomenė buvo informuota. Dabar tikrai gali pasitikrinti, turi galimybę. Tai tas mėnuo laiko buvo skirtas efektyviam tyrimui atlikti, bet visuomenė, be abejo, turi teisę žinoti. Ir kai mes tik galėjome, tas ir buvo padaryta.
– Labai ačiū.
