Latvijā norisinās tautas skaitīšana un anketu iespējams aizpildīt arīdzan internetā. Līdz šim dažādos ziņu portālos biju lasījis atsauksmes a la “neskaitīšos”, “negribu, lai mani saskaita”, “negribu, lai manus datus atdod citiem”. Tādas domas dzirdēju arī privātās sarunās. Tā kā nebiju iedziļinājies, kā tas notiek, tad cerēju, ka viss ir OK, un uzskatīju šos komentārus par tādu kā viduslaiku tumsonības izpausmi. Diemžēl tagad pārliecinos, ka viņiem tomēr bija liela daļa taisnības.
Tātad fakts, ka tautas skaitīšanas vietnē ir iespējams autorizēties ar personas kodu un pases numuru ir vienkārši grandiozs. Kāpēc? Padomājiet paši, kam pēdējā laikā kopš esat saņēmuši pēdējoreiz pasi esat to parādījuši, kam devuši pases kopijas paši un kas Jums ir pasi paņēmis un to nokopējis. Tad nu lūk visas šīs personas potenciāli var apskatīt un vēl trakāk modificēt Jūsu un manu tautas skaitīšanas anketu. Apsveicu!
Atšķirībā, piemēram, no internetbankas autorizācijas, kur parasti katrs cilvēks saprot, ka tā parole un kodu karte nav jāmētā riņķī, vēl vairāk – tas pat ir rakstīts bankas noteikumos -, pases datus un pases kopiju pilnīgi legāli prasa daudz un dažādas gan privātas, gan valsts iestādes. Un nevienam normālam cilvēkam nevar ienākt prātā un viņš negaida, ka pienāks brīdis, kad no pases datiem varēs iegūt krietni vien vairāk informācijas nekā tajā lapiņā, ko prasīja nokopēt.
Tātad šī ir vēstule, ko es nosūtīju Centrālajai statistikas pārvaldei, cc Datu valsts inspekcijai un vēl dažām iestādēm. Iespējams tajā minētie daži juridiskie formulējumi un atsauces uz likuma pantiem nav 100% precīzi, bet neesmu jurists un bija jau vēls :). Bet nu idejiski tas ir vienkārši ārprāts.
Labdien!
Uzzinot to, kā tautas skaitīšanas mājas lapā ir realizēta
autorizācija, esmu šokā. Tātad citēju tautas skaitīšanas mājas lapā
esošās skaitīšanas pamācībā
(http://www.tautasskaitisana.lv/files/pdf/Info.pdf) rakstīto:
“Lai piekļūtu tautas skaitīšanas anketai, var izmantot vienu no trim
autorizācijas veidiem:
– Pases numurs un personas kods”.
Pēc tam, kad ir ievadīti šie divi atribūti, lietotājam (kas kā mēs
tālāk redzēsim ir absolūti iespējama cita persona, nekā personas koda
īpašnieks), tiek attēloti tādi personas dati (saskaņā ar Fizisko
personu datu aizsardzības likumu) kā:
– deklarētā dzīvesvieta
– ģimenes stāvoklis
– valstiskā piederība
– darba vietu
– izglītība
Tai skaitā SENSITĪVI PERSONAS dati, piemēram, tautība.
Vēl vairāk. Pēc tam, kad es esmu aizpildījis anketu un datus par
__visiem saviem ģimenes locekļiem__, tai skaitā bērniem( sic!!!!), šo
informāciju var iegūt jebkurš, kam ir mana pases kopija. Viņš var
iegūt vēl papildus info, ko esmu ievadījis, piemēram, faktisko adresi,
telefona numuru vai e-pasta adresi.
Tālāk informēju, ka mani pases dati ir pieejami šādās iestādēs – darba
vietā, universitātē, bankā, apdrošināšanas sabiedrībā, pašvaldībā
iegūstot dažādus dokumentus, personām, ar kurām esmu slēdzis
pirkšanas/pārdošanas līgumus, tūrisma ceļojumu firmās, daudzās valsts
iestādēs, piemēram, CSDD, VID, VSAA.
Tagad lūdzu atbildi uz šādiem jautājumiem:
1. Ņemot vērā to, ka visas augšminētās personas, kam ir mana pases
kopija, var iegūt (un vēl vairāk – modificēt) datus par mani, kā tas
ir savienojams ar solījumu, ka mani dati būs drošībā?
(Citēju no tautas skaitītāju mājas lapas
http://www.tautasskaitisana.lv/lv/jautajumi-un-atbildes/7/ (Jebkura
informācija, kuru Jūs tautas skaitīšanas procesā sniegsiet Centrālajai
statistikas pārvaldei ar interneta mājas lapas vai tautas skaitītāja
starpniecību, tiek uzskatīta par konfidenciālu un aizsargājamu Valsts
statistikas likuma 18.panta izpratnē, un tā nav pieejama trešajām
personām (arī ne citām valsts pārvaldes iestādēm).)
Diemžēl kā redzams šī informācija pilnībā ir pieejama pietiekami
plašam personu lokam pilnīgi legāli, nemaz neveicot nekādas
prettiesiskas darbības, piemēram, nozogot man pasi.
2. Ņemot vērā augšminēto, kā statistikas pārvalde var būt
pārliecināta, ka datus esmu aizpildījis es, nevis kāds cits?
3. Kā Jūs nodrošināsiet man Fizisko personu datu aizsardzības likuma
9. pantā rakstīto, citēju:
(2) Pēc datu subjekta pieprasījuma pārzinim ir pienākums sniegt arī
šādu informāciju:
1) iespējamie personas datu saņēmēji;
Kā ņemot vērā augšminēto, statistikas pārvalde, nodrošinās man
informāciju par tām PATIESAJĀM PERSONĀM, kas ir ieguvušas manus
personas datus, tai skaitā sensitīvos personas datus?
4. Lūdzu informēt kā, ņemot vērā visu augšminēto, tas atbilst Fizisko
personu datu aizsardzības likuma 10. pantā rakstītajam:
10.pants. (1) Lai aizsargātu datu subjekta intereses, pārzinis nodrošina:
2) personas datu apstrādi tikai atbilstoši paredzētajam mērķim
5. Reāls piemērs – manas darba vietas atbildīgajai personai ir
pieejama mana pases kopija. Viņai šobrīd ir iespēja apskatīt un
modificēt datus par mani un visiem citiem firmas darbiniekiem un arī
viņu ģimenes locekļiem, ja viņi būs bijuši neuzmanīgi un
“saskaitījušies”.
Ar cieņu,
Gints Plivna,
Latvijas valsts pilsonis
Gaidīsim atbildi.
Es, protams, neesmu pirmais, kas raksta par šo lietu. Pirms manis kā minimums to jau darīja laacz un defense.lv, bet neviens neatzīstas, ka būtu uzrakstījis arī vismaz elektronisku vēstuli satraukuma izraisītājiem 🙂
Datubāzes 
Pirmkārt, DVI ignorē e-pasta vēstules, kuras nav parakstītas ar e-parakstu.
Otrkārt, ja nu tev kaut ko atbild, tad painformē 🙂
Hmm, es šodien taisījos paskatīties internetā un pieskaitīties, bet tādu elementāru drošības normu neievērošanu neatbalstu, tāpēc nedarīšu to. Lai skaita mani kā māk – diez vai atradīs.
Nu, bet vai kāds ir pamanījis, ka jau kādu labu laiku neviens Jums nepras bankās u.c firmelē slēdzot līgumus pases kopēšanas?
šitā ierastā lieta ilgi turpinājās bankās, bet pateicoties manai iniciatīvai un neatlaidībai, ši patvaļa ir izbeigta:)
Ja tiešām esi to darījis, tad varu tikai pateikt Paldies, bet diemžēl man vēl relatīvi nesen (mazāk kā pirms gada) pasi kopēja gan bankā, gan pie LMT dīlera pieslēdzot mobilo inetu un paņemot modemu.
pasi bankās u.c. tiešām nekopē (nedrīkst kopēt), bet pases numuru noraksta no oriģināla, tāpat arī pilnvarā, ko iesniedz bankā, jābūt norādītiem pases datiem.
Kur ir noteikts, ka nedrīkst kopēt?!
Jā starp citu nu jau par to vārās visi ziņu portāli ieskaitot Delfus, Tvnet un db.lv. Vakarā par to būs sižets arī panorāmā, kur iespējams varēs redzēt arī manu feisu 🙂
Paga paga, sanāk, ka mani var paņemt ciet, ja es vakar izmēģināju šo iespēju un bišķ palaboju kāda drauga personas skaitāmo informāciju? 😀 ou fak
Nu tā sanāk gan, tā teikt likuma nezināšana (vai zināšana, bet neievērošana) neatbrīvo no atbildības 😉
BTW viss, pasākums uz laiku slēgts
Precizēju – izņemta iespēja autorizēties ar PK + pases numurs. Quod erat demonstrandum (ko arī vajadzēja pierādīt 🙂 )
Tādā gadījumā, kāds sods var draudēt delfi.lv
http://www.delfi.lv/news/national/politics/tautas-skaitisanas-datu-baze-var-nesankcioneti-pieklut-un-labot-personu-privatos-datus.d?id=37131743
jebšu pietiek atvainoties cilvēkam, kura datus tu apskatīji vai laboji? :DDD
Nemāku teikt, iespējams, ka to var klasificēt kā žurnālistikas eksperimentu, ja mums te ir tāds jēdziens.
BTW dzirdēju baumas, ka mēģināts esot ar stabilitātes garanta datiem 😉
Redzējām Gintu LTV, izskatījies labi 😉
Starp citu, Lietuvā arī šobrīd norit tautas skaitīšana, cik saprotams, izskatās, ka viņiem ir bišķīt gudrāka “ielogošanās” sistēmā:
https://esurasymas2011.stat.gov.lt/ (pēdējā poga – pasas)
http://wp.me/pT6vk-27
Mana mamma laukos un viņas kaimiņienes ir ļoti sašutušas, jo nesaprot, kāpēc tik ērta un izziņota iespēja viņām tika atņemta – internetbanka viņām nav un nebūs, bet par šo iespēju gan bija priecīgas.
Piekrītu http://www.pietiek.com/raksti/telenu_cieniga_breka_par_saskaitisanu
un vērtēju, ka šajā konkrētajā situācijā, vērtējot visu kopumā, būtu pieticis:
1) Aizpildīto anketu pēc saglabāšanas vairs nerādīt,
2) Katrā pieslēgšanās reizē parādīt, kad un no kādas IP adreses ir bijis iepriekšējais pieslēgums,
3) No vienas IP adreses ļaut reģistrēt ne vairāk kā 3 pases.
4) Papildus varēja vēl kādas ekstras – kaut vai ļaut piezvanīt un noskaidrot, vai kāds ir aizpildījis par viņu anketu.
Mani lauku radi nesaprot, kāpēc, IESPĒJAMS, dažu negodīgi cilvēku dēļ jācieš tik lielam skaitam godīgu un labu gribošu cilvēku. Lūk, izvērtējot KOPUMĀ – e-pārvaldes reputācija, cilvēku iesaistīšana un konkrētie ne visai svarīgie dati – varēja risinājumu atstāt no sērijas „pēdējo reizi vēl iespējams šādi, nākamreiz jau būs e-ID kartes”.
Informācija par šīm metodēm tika izsūtīta visiem pa pastu jau kādas nedēļas iepriekš – kāpēc tad neviens necēla pretenzijas?
Vēl kas nedod mieru – ja jau DVI u.c. atzīst, ka pieeja pases datiem ir “elementāra”, tad rokas likumsakarīgs jautājums – kāpēc tad vispār tiek uzturētas tādas DVI, ja tās formāli it kā kontrolē, it kā nekontrolē un beigās pati atzīst, ka ārkārtīgi daudziem it kā varētu būt pieeja pasu datiem.
Teiksim tā, kopumā vērtēju, ka šajā gadījumā paranoja radīja nesalīdzināmi lielākus zaudējumus, nekā būtu bijis ieguvums, ļaujot cilvēkiem ar šiem identifikatoriem skaitīties.
Tātad, jautājums paliek aktuāls: kā tagad elektroniski pieskaitīties cilvēkiem, kuriem tālos laukos internetbankas nav, bet kuri gribētu elektroniski?
>jo nesaprot, kāpēc tik ērta un izziņota iespēja viņām tika atņemta
Te nu lūk ir kārtējā analīzes kļūda, protams, ka lietotāji vienmēr ir neapmierināti, ja viņiem kaut kas sākumā ir apsolīts un pēc tam to atņem. Tāpat kā, ja viņiem sākumā apsola meklēt visā DB jebkurā kolonā no viena meklēšanas lauka, tad viņi ir ļoi neapmierināti, kāpēc to pēc uzskata par idiotismu un nogriež nost. Šis ir tas pats gadījums, kad vispirms dara un pēc tam domā. Nebūtu neviens neko izziņojis, neviens ir neiepīkstētos.
>vērtēju, ka šajā konkrētajā situācijā, vērtējot visu kopumā, būtu pieticis
Jā lūk visdrīzāk ar kādiem papildus pasākumiem tas būtu iespējams. Bet kur tad bija analīze pirms tam?
>Mani lauku radi nesaprot, kāpēc, IESPĒJAMS, dažu negodīgi cilvēku dēļ jācieš tik lielam skaitam godīgu un labu gribošu cilvēku
Diemžēl ta tas ir visur. Dažu negodīgu cilvēku dēļ mums ir jaslēdz durvis ar atslēgu, jāuzmanas savs maciņš, jāierīko mašīnās signalizācija, uz tā uzvārās apsardzes firmas, jānodrošina IT tādas un šitādas drošības prasības, kas vispārīgi rada DAUUUDZ lielākus izdevumus kopumā, nekā šitais sviests. That’s hard life. Neviens nesolīja, ka būs viegli.
>Informācija par šīm metodēm tika izsūtīta visiem pa pastu jau kādas nedēļas iepriekš – kāpēc tad neviens necēla pretenzijas?
Par citiem nevaru atbildēt, bet es personīgi tai info izlasīju virsrakstu un pārējo izmetu iekuram gluži tāpat kā pārējos reklāmas materiālus. Es cerēju, ka cilvēki to izstrādājot būs domājuši.
>a jau DVI u.c. atzīst, ka pieeja pases datiem ir “elementāra”
Jā tas lūk tiešām ir labs jautājums, kāpēc, piemēram, tas pats DVI necīnās par to, lai visādām līzinga kompaškām, bankām utt būtu taisni aizliegt kopēt pases u.c. dokumentus. OK es saprotu – paskatīties un pārliecināties, ka īstā persona vajag, bet kāpēc kopēt? Kāpēc DVI nespringst par to, ka tas notiek? Vai varbūt gluži kā nu jau bijušais tiesībsargs ir reāli nespējnieki gan likumiski, gan personiski?
>paranoja radīja nesalīdzināmi lielākus zaudējumus
Paranoja parasti rada zaudējumus. Diemžēl bez zināmas paranojas mēs aizejam uz BIG BROTHER WATCHES YOU un tas man personīgi ir vēl daudz nepieņemāmāk.
>kā tagad elektroniski pieskaitīties cilvēkiem, kuriem tālos laukos internetbankas nav, bet kuri gribētu elektroniski
Nu par to CSP un izstrādātājiem diemžēl vajadzēja domāt pirms tam. Diez vai tur tagad vairs ierobežota laikā ko daudz var līdzēt.
3) punkts no piedāvātajiem risinājumiem ir slidens ar ierobežojumu uz IP adresēm. Padomājam kas notiek laukos ar publiski pieejamajiem biblotēku datoriem? un Dinamiski pieškiramajām IP adresēm, var izveidoties nepatīkami pārsteigumi.
Par tiem 3 latiem uz cilvēku, šajā tautas skaitīšanā varēja izgatavot ID kartes, kas būtu pielīdzināmas pasēm, un katram iedzīvotājam būtu pienākums tādu uzturēt, un tad arī vairāk nebūtu nepieciešamas nekādas tautu skaitīšanas u.t.t. 21. gadsimts takš, kamõn…
Jā, Gint, un tagad vēl vajadzētu vēstuli DVI par CSDD: https://e.csdd.lv/?menuID=6&acc_reg=1
CSDD gadījums attiecas tikai uz neeksistējošiem lietotājiem. Tos kam konts CSDD jau ir šī iespēja vairs neuztrauc.
Rukicc – Nu un tad?
Kā Tu domā, cik % no visiem auto īpašniekiem vai vadītājiem ir tur reģistrējušies?
Visiem pārējiem pastāv iespēja, ka kāds cits piereģistrējas ar viņu dokumenta Nr. un pašiem šī iespēja tiek liegta.
Tā kā vēstule bija atklāta, tad atbildes arī.
No Datu valsts inspekcijas (kas e-pastā bija CC laukā) šodien saņēmu šādu atbildi:
Labdien,
Paldies par informāciju.
Ar cieņu
Datu valsts inspekcija
tālr. 67223131
Cik patīkami, kad tev atbild personiski Datnes Inspekcijas kundze 😀
Jā BTW man ienāca prātā doma, ka šo autorizācijas veidu varēja, piemēram, sākotnēji noklusēti slēgt un atvērt tikai pēc pašas personas pieprasījuma, kad kāds ir pārliecinājies, ka persona ir tā par ko uzdodas un apzinās sekas šim solim. Pārliecināšanās varētu notikt piemēram vietējā pasta nodaļā, kur tāpat jau izmaksā visādas tur pensijas, vai kaut vai ciema bibliotēkā, kur ir tas vienīgais dators, kur saskaitīties internetā.
Mazs A5 formāta papīra gabaliņš ar predefinētu tekstu, vietu, kur ierakstīt PK, vārdu uzvārdu un parakstu būtu pieticis.
Piekārtot katram PK flagu, atļaut autorizēties ar pk un pases numuru vai nē, tehniski galīgi nebūtu nekas sarežģīts. Un arī likums būtu ievērots, jo persona pati būtu atļāvusi savus datus sliktākā gadījumā paskatīties citiem.
Varēja jau deleģēt pastam – ja ierodies ar pasi, izdrukā drošības kodu, bez kura ar pases numuru autorizēties nevar. Nebūtu vairs problēmas. Protams, mūsu valstī tad pastam būtu konkurss jāizsludina, utt…
Nevajadzēja tādu autorizācijas veidu jau sākumā vispār ieviest.!
Ērtāk ir arī neatjaunot programmatūru, nelikt saviem rūteriem un Wi-Fi paroles un tādā garā.
Publicēju CSP atbildi atsevišķā rakstā: