Statistikas pārvaldes atbilde

Nesen rakstīju atklātu vēstuli statistikas pārvaldei par nu jau ļoti plašu rezonansi izsaukušo iespēju saskaitīties ar personas kodu un pases numuru.

Šeit ir CSP atbilde vārds vārdā:

Labdien!
Atbildot uz Jūsu 2011.gada 1.marta elektroniskā pasta sūtījumu tautasskaitisana@csb.gov.lv (Subject: “Datu pieejamība tautas skaitīšanas mājas lapā”), Centrālā statistikas pārvalde (turpmāk- CSP) paskaidro sekojošo.
2011.gada tautas skaitīšana Latvijā ir uzsākta, pamatojoties uz Eiropas Parlamenta un Padomes regulu (EK) Nr.763/2008 par iedzīvotāju un mājokļu skaitīšanu, un tiek veikta saskaņā ar Tautas skaitīšanas likumu un Valsts statistikas likumu.
Tautas skaitīšanas internetā mērķis bija sniegt iedzīvotājiem iespējami ērtāko un vienkāršāko veidu piedalīties tautas skaitīšanas procesā, kā arī  aptaujāt pēc iespējas plašāku respondentu skaitu.
Ņemot vērā iepriekš minēto CSP sākotnējais lēmums izmantot vienkāršu un vienīgo- visplašāk valstī pieejamo- autorizācijas metodi bija pareizs, jo, lietojot tieši šo metodi, jau pirmajā tautas skaitīšanas dienā reģistrējās liels iedzīvotāju skaits.
Datu aizsardzības apsvērumu dēļ, CSP 2011.gada 2.marta rītā pieņēma lēmumu slēgt iedzīvotājiem atkārtotu pieeju pie aizpildītām anketām, bet pēcpusdienā pilnīgi slēdza iespēju autorizēties ar personas datiem.
CSP ir pieņēmusi zināšanai Jūsu elektroniskā pasta sūtījumā sniegto informāciju par to, ka Jūsu pases dati ir pieejami vairākām institūcijām un personām. Tomēr CSP nepiekrīt Jūsu apgalvojumam, ka autorizācija interneta vietnē, izmantojot svešas personas datus, pat ja tie ir iegūti tiesiskā ceļā, ir „legāla” rīcība. Institūcijas un personas, kuras ir ieguvušas Jūsu personas datus tiesiski, drīkst tos apstrādāt tikai to mērķu sasniegšanai, kuru dēļ personas dati tika iegūti, pretējā gadījumā, tas ir Fizisko personu datu aizsardzības likuma pārkāpums.
Atbildot uz Jūsu jautājumu par to, kā CSP var pārliecināties, ka datus tautas skaitīšanas interneta vietnē ievadījāt tieši Jūs, nevis cita persona, CSP paskaidro, ka tās rīcībā nav šādu līdzekļu.
Par Jūsu elektroniskā pasta ziņojumā minēto Fizisko personu datu aizsardzības likuma 9.panta pirmajā un otrajā daļā noteikto tiesību nodrošināšanu, CSP paskaidro, ka saskaņā ar Fizisko personu datu aizsardzības likuma 9.panta trešās daļas 2.punktu tautas skaitīšanā apkopotā informācija ir uzskatāma par statistiskiem pētījumiem iegūtiem datiem. Tādējādi Jūsu elektroniskā pasta sūtījumā minētais likuma nosacījums nav saistošs CSP.   Tomēr, ja Jūs esat piedalījies 2011.gada tautas skaitīšanā internetā, CSP saskaņā ar Tautas skaitīšanas likuma 14.panta nosacījumiem, piedāvā Jums iespēju ierasties CSP, līdzi ņemot personu apliecinošu dokumentu, un pārliecināties par to, vai Jūsu anketā apkopotā informācija ir pareiza un nesagrozīta.
CSP, ievērojot Fizisko personu datu aizsardzības likuma 10.panta prasības, nodrošināja godprātīgu un likumīgu personas datu apstrādi tautas skaitīšanas interneta vietnē. CSP paskaidro, ka tā neuzņemas atbildību par iespējamiem personas datu aizsardzības pārkāpumiem valstī- pat, ja tādi būtu notikuši, personām prettiesiski autorizējoties CSP pārziņā esošā informācijas sistēmā.
Ņemot vērā iepriekš minēto, CSP aicina Jūs būt piesardzīgākam un rūpīgākam, izvēloties to personu loku, kam Jūs uzticat savus personas datus un cik lielā mērā tos atklājat- it sevišķi attiecībā uz pases kopiju iesniegšanu.

Ar cieņu,
Centrālā statistikas pārvalde

Es domāju, ka man nav nevienam jāstāsta, kas no tā visa sanāca, visi masu mediji par to ziņoja rītā un vakarā. Gribu izteikt tikai dažus komentārus par saņemto atbildi.

CSP vēl joprojām nesaprot un tā arī nav sapratuši, kur patiesībā bija problēma. Esmu gatavs ticēt, ka mērķis (“aptaujāt pēc iespējas plašāku respondentu skaitu“) bija labs un jauks, bet izvēlētais līdzeklis diemžēl nebija pieņemams. Un attaisnojums, ka “lietojot tieši šo metodi, jau pirmajā tautas skaitīšanas dienā reģistrējās liels iedzīvotāju skaits” ir nekam nederīgs, jo lietojot autorizāciju, kur persona iesit savu vārdu un uzvārdu, pilnīgi noteikti, ka būtu ieguvusi vēl lielāku atsaucību. Latvijas iedzīvotājiem mērķis ir dzīvot labu un normāli pārtikušu dzīvi. Es esmu gatavs derēt, ka, ja mums būtu kāds super apgaismotais ideālais monarhs, kurš vienmēr nekļūdītos, pieņemtu izsvērtāko lēmumu un visos amatos saliktu ierēdņus nevis pēc partijas piederības, bet labāko iespējamo profesionāli, tad šāds risinājums būtu labāks par mūsu nosacīto demokrātiju. BET. Šāds līdzeklis nav pieņemams arī laba un jauka mērķa sasniegšanai. Tieši tāpat ir ar autorizāciju ar personas kodu un pases numuru.

Otra lieta, kas ir kopīga CSP ar valdības ierēdņiem ir totāla reālās situācijas ignorēšana, ja tā neatbilst likumdošanai. Tātad “Institūcijas un personas, kuras ir ieguvušas Jūsu personas datus tiesiski, drīkst tos apstrādāt tikai to mērķu sasniegšanai, kuru dēļ personas dati tika iegūti, pretējā gadījumā, tas ir Fizisko personu datu aizsardzības likuma pārkāpums“. Tas man atgādina valdības risinājumus ieņēmumu palielināšanai. Ja mums ar 10% nodokli tiek iegūta summa X, tad ar 20% nodokli tiks iegūta summa 2*X. Ja likumā ir teikts, ka mājas apzagt nedrīkst, bet pie durvīm mētājas zemē atslēdziņa, tad neviens šo māju neapzags. Nu atvainojiet, kur mēs dzīvojam? Kaut kādā Kampanellas vai Nezinīša Saules pilsētā?

Trešā lieta ir privāto datu aizsardzības ignorance. Jā iedzīvotājiem, tai skaitā arī man, nebūtu jādod pases kopijas pirmajam pieprasītājam. Arī līzinga kompānijām, arī telefonu dīleriem. BET, es nelasu likumus katru dienu. Mums ir Datu valsts inspekcija, kam par to būtu jārūpējas, ir plaši zināms, ka pases kopijas prasa tur un šur, kāpēc gan DVI nevarētu uzrīkot kādu reidu un sodīt šādu praksi? Jo, protams, viena lieta ir iedzīvotājam pašam par to rūpēties, es to noteikti turpmāk darīšu krietni uzmanīgāk, bet vai to darīs visi? Vai vismaz lielākā daļa? Vai vismaz tie, kuriem tas būs svarīgi? Vai mums vismaz teorētiski ir paredzēts kāds administratīvais sods par šādu praksi? Ja godīgi es nezinu. Bet šāda attieksme galīgi neveicina uzticību valsts iestādēm, galīgi nerada ticību, ka dati, kurus es varbūt nevēlos darīt zināmus publiski, tādi nebūs. Un man neinteresē arguments, ka draugos vai facebookā par kādu var dabūt zināt N reizes vairāk. Ja kāds tur vēlas izklāties kā uz delnas visai pasaulei un salikt savas pikantās fotogrāfijas, privātās dzīves detaļas un sazin vēl ko – OK, tā ir viņa darīšana. Bet tikai šīs konkrētās personas darīšana un to nekādā, atkārtoju NEKĀDĀ merā nedrīkst vispārināt un attiecināt uz visiem cilvēkiem.

Ņemot vērā šo vēstuli, man nav nekādas drošības sajūtas, ka kāds CSP darbonis nepaņems visus tautas skaitīšanas datus, neierakstīs DVD un nenosūtīs tos ar kurjeru kādai citai iestādei. Līdzīgi, kā to kāds pamanījās izdarīt Lielbritānijā. Jo galu galā kurjeram taču dati ir jānogādā galā! Un tas, ka viņš pa ceļam tos aizlaidīs pa kanti, taču ir fizisko personas datu aizsardzības likuma pārkāpums!

Kurā vēlēšanu iecirknī balsot?

Uzmanību – raksts tika rakstīts pirms pašvaldību un eiroparlamenta vēlēšanām, bet atgādinu, ka Saeimas vēlēšanās ir vienalga, kurā iecirknī Jūs balsojat, galvenais paņemt līdzi pasi. Iecirkņu sarakstu un darba laikus var iegūt centrālās vēlēšanu komisijas lapā.

Tuvojoties nākošajām pašvaldību un eiroparlamenta vēlēšanām dzīve Latvijas vēlētājiem – interneta lietotājiem – ir kļuvusi mazliet vieglāka. Ja esat apzinīgs Latvijas pilsonis (vai ES valsts pilsonis) un neesat saņēmis vēstuli ar informāciju, kurā vēlēšanu iecirknī esat reģistrēts, vai arī veiksmīgi esat to pakāsis, un Jūs nomoka mūžīgais jautājums “KUR BALSOT?“, tad viss vēl nav zaudēts, jo savu vēlēšanu iecirkni var uzzināt ļoti vienkārši pat nemaksājot ne santīma zvanam uz CVK informatīvo tālruni. Vienkārši ir jauns e-pakalpojums “Vēlēšanu iecirkņa noskaidrošana”, (Nav, nav vairs– nespiediet uz šīs saites, kā var būt katram kāds vēlēšanu iecirknis, ja katrs iet vēlēt kur grib!) kurā katram atliek ievadīt personas kodu, uzvārdu un vārdu un Jums taps skaidrs, kādā iecirknī esat vai neesat reģistrēts. Tātad informācija no valsts nozīmes datubāzes – Vēlētāju reģistra – ir kļuvusi parastiem mirstīgajiem mazliet pieejamāka.

Atgādinu arī, ka e-pakalpojumi (vai vismaz lietas, kas par tādām ir nosauktas) ir pieejami arī:

• Portālā latvija.lv – šī nu, protams, ir visslavenākā vietne no visiem e-pakalpojumu sniedzējiem 😉 Patīkami, ka pašlaik autentificēties var arī ar internetbankas kontu – tātad nav nepieciešams tikai Latvijas pasta e-paraksts.
• Rīgas pašvaldības portālā – piemēram, kura vieta kurā bērnudārzā ir Jūsu sīkajam, kam autorizācija nav nepieciešama un visādas citādas lietas ar nepieciešamu autentifikāciju. Arī šeit var izmantot internetbankas kontus.
• CSDD – uzzini savus soda punktus, mašīnas, kas Jums pieder, dabūt vienas dienas atļauju utml. Pietiek ar to, ka Jums ir e-pasts un vadītāja apliecība.

Protams, ir vēl milzums vietnes, kurās šis tas ir elektroniski pieejams, taču tajās dotā informācija ir saistoša mazākam cilvēku skaitam.

Kas glabā datus par mani?

Jaunajā gadā iesāksim citās noskaņās kā bijis līdz šim. Mazliet paskatīsimies uz dažām datubāzēm nevis no tehniskā, bet no juridiskā un satura viedokļa.

Ikvienam Latvijas iedzīvotājam 😉 un vēl jo vairāk datubāzu izstrādātājiem būtu vērts zināt, kādu tad informāciju valsts par mums krāj un kas mums jāievēro, ja nu gadījumā sanāk kādu valsts nozīmes informācijas sistēmu (VIS) vai datubāzi veidot.
Izejas punkts šai gadījumā ir Valsts informācijas sistēmu likums. Likumā, protams, šīs valsts nozīmes informācijas sistēmas uzskaitītas nav. Tam ir paredzēti speciāli Ministru kabineta noteikumi Nr. 572 “Valsts informācijas sistēmu reģistrācijas noteikumi“, kas precizē uzskaites kārtību un ir pat izveidota speciāla vietne Valsts informācijas sistēmu reģistrs, kurā vismaz daļa šo reģistru ir uzskaitīti. Pavisam pašlaik ir reģistrēti 79 valsts nozīmes reģistri.

Pāris komentāru par Valsts informācijas sistēmu reģistru saraksta saturu. Acīmredzot informāciju par katru reģistru sniedz Sistēmas pārzinis, kā jau tas likumā noteikts. Paskatoties dažas no šīm sadaļām rodas tādas dīvainas sajūtas – sistēmu reģistrā ir paredzēts ievadīt tādu info kā “VIS no kurām saņem datus” un “VIS uz kurām sūta datus”, kas īsti likumā prasīts nav. Līdz ar to arī izskatās, ka neviens Sistēmas pārzinis neapgrūtina sevi ar papildus informācijas ievadi un parastam cilvēkam liekas, ka visas informācijas sistēmas Latvijā darbojas kā jau tas pierasts – katra pati par sevi, nevienam datus NEDOD un no neviena cita arī NEŅEM 🙂
Otra lieta, kas bija nepatīkami pamanāma, ir lauka “Mājas lapas adrese” saturs. Acīmredzot tur ir domāts ievadīt hipersaiti, pie tam pilnu ar visu protokolu. Gala rezultātā ir radušās tādas dīvainas saites kā, piemēram, Ārstniecības personu reģistram, kur acīmredzami ir pietrūcis http:// saite ir šāda un Iedzīvotāju reģistram, kur tā izskatās šādi Reģistrs nav publiski pieejams.

Izrādās, ka šai vietnē ir iespējams arī meklēt, piemēram, pēc pazīmes vai “VIS satur personu datus”. Tad nu katrs var pārliecināties un padomāt, kurā no šīm sistēmām Jūs jau esat 🙂

Vēsturiski šāds Valsts nozīmes datubāzu saraksts ir kā minimums jau trešais. Iepriekšējā versija uz rakstīšanas brīdi vēl darbojas šeit Informācijas sistēmu reģistrs, bet megasistēmas ietvaros izstrādātais reģistru reģistrs kā izskatās jau ir miris kopā ar visu megasistēmu. Kāds tas izskatījās toreiz var mēģināt apskatīt izmantojot interneta arhīvu jeb “laika mašīnu” – šeit ir megasistēmas versijas, bet šeit reģistru saraksts.

Nākošais likums, kas katram šai valstī būtu jāievēro, ja datubāzēs vēlas reģistrēt personu datus, ir Fizisko personu datu aizsardzības likums. Atbilstoši šim likumam jebkuru informācijas sistēmu, kas glabā personas datus (atbilstoši 21. pantam kurā uzskaitīti arī izņēmumi), ir jāreģistrē Datu valsts inspekcijā. Protams, interesantākā lieta atkal ir – kādas tad sistēmas tur ir reģistrētas?
To var apskatīt Datu valsts inspekcijas mājaslapā Personas datu apstrādes sistēmu reģistrā. Meklēšana notiek pēc sistēmas pārziņa nosaukuma vai tā daļas. Nezinu cik kopā šādas sistēmas tur ir sareģistrētas, bet šķiet, ka to ir diezgan daudz, piemēram, meklējot pēc 3 burtiem pil iegūstam 1328 ierakstus sākot ar Iedzīvotāju reģistru un beidzot ar neskaitāmu pašvaldību un uzņēmumu sistēmām.

To, ka savus datus nevajag metāt pa labi un pa kreisi, vairums cilvēku ir sapratuši ar proporcinālu atkarību starp sava e-pasta publicēšanu publiskajā internetā (forumos, mājaslapās utt) un mēstuļu daudzumu e-pasta kastītē. Attiecībā uz saviem personas datiem vajadzētu pieiet vismaz ar tikpat lielu rūpību un vismaz reizi mūžā izlasīt visiem cilvēkiem (ne tikai juristiem) saprotamu pārstāstu par savām tiesībām attiecība uz saviem personas datiem un to elektronisku saglabāšanu.

Nevajadzētu gan dzīvot ilūzijās, ka augšminētās ir vienīgās informācijas sistēmas, kur Jūsu datus var sastapt 🙂 Vēl vismaz ir tādas lietas kā noziedzīgi nodarījumi, sodāmības, tiesas, kā arī likumā Par valsts noslēpumu minētā informācija, kas uzskaitīta MK 26.10.2004. noteikumos Nr.887 “Valsts noslēpuma objektu saraksts“. No otras puses jācer, ka vairumam cilvēku šāda veida uzskaite ies secen.

Izstrādājot datubāzes, kas pretendē uz Valsts informācijas sistēmu statusu, vai arī tādas, kas satur personas datus, jāatceras, ka pamatojoties uz augšminētajiem Valsts informācijas sistēmu likumu un Fizisko personu datu aizsardzības likumu ir izstrādāts bariņš ar MK noteikumiem, no kuriem svarīgākie varētu būt:

• MK 30.01.2001. noteikumi Nr.40 “Personas datu apstrādes sistēmas aizsardzības obligātās tehniskās un organizatoriskās prasības“
• MK 11.10.2005. noteikumi Nr.764 “Valsts informācijas sistēmu vispārējās tehniskās prasības“
• MK 11.10.2005. noteikumi Nr.765 “Valsts informācijas sistēmu vispārējās drošības prasības“