Suprasdamas dėl, atrodytų, nesibaigiančios pandemijos išaugusias dažno žmogaus, o ir apskritai – visuomenėje tvyrančias įtampas skubu pažymėti, jog nesiekiu apkaltinti – šio teksto tikslas yra kelti klausimą viešumon – nei vieno vaikų darželio vadovybės, nei vienos savivaldybės Švietimo skyriaus ar aiškių tvarkų neparengusios Švietimo, mokslo ir sporto ministerijos, nesiekiu apkaltinti ir įmonės UAB „Kompiuterizuoti sprendimai“, apie kurios sprendimus norėčiau pakalbėti plačiau.
Kalba eis apie darželius lankančių vaikų bei jų tėvų duomenis, bet, pirma, privalu įvesti šiek tiek konteksto. Iš pastarųjų kelių metų nutikimų net su informacinėmis technologijomis mažiau susipažinusiems žmonėms, esu tikras, yra aišku, jog internetuose talpinamų duomenų saugumas yra sąlyginis, kitaip sakant, klausimas yra ne „ar mano duomenys bus pagrobti?“, o „kada mano duomenys bus pagrobti?“. Vien lietuviškų pavyzdžių, deja, – apstu: e.svekatos sistema, CityBee duomenų vagystė, įsilaužimas į Užsienio reikalų ministerijos serverį (-ius), nutekinti pažinčių, lošimų portalų naudotojų duomenys ir t.t. Iš žiniasklaidoje skelbtų pranešimų taip pat puikiai žinome, jog nuo duomenų vagysčių nėra apsaugotos nei didžiosios pasaulio bendrovės, nei galingiausių šalių vyriausybės. Būtina pabrėžti, jog čia minimi tik viešai žinomi atvejai, apie kuriuos skelbė žiniasklaida. Būtų naivu manyti, jog žinome apie visus įsilaužimo/duomenų nutekinimo atvejus.
O dabar grįžkime prie UAB „Kompiuterizuoti sprendimai“ bei jų pardavinėjamo vaikų darželiams skirto skaitmeninio lankomumo/pažangos sprendimo musudarzelis.lt (toliau – sistema). Apie šios sistemos egzistavimą sužinojau kone atsitiktinai – į vieną iš Kauno darželių pradėjęs vesti atžalą gavau poros puslapių sutartį, kurioje apie musudarzelis.lt naudojimą nė neužsiminta. Kartu su sutartimi pasirašyti gavau ir „Sutikimą dėl duomenų tvarkymo“, kurio turinys, nors ir telpantis į vos vieną A4 formato puslapį, iš nuostabos privertė kilstelėti antakius – tokį pasirašę tėvai iš esmės sutinka savo vaiko duomenis perduoti beveik bet kam ir bet kada. Didesnė dalis minimo sutikimo turinio darželio auklėtinio duomenų tvarkymui – akivaizdžiai perteklinė, susidarė įspūdis, jog vienas ir tas pats sutikimas pasirašyti pakišamas visiems – nuo darželinukų iki gimnazijos abiturientų tėvų. Kaip ir bet kuri mama ar tėtis, siekdamas būti atsakingu, prieš tai telefonu pasikonsultavęs su darželio administracijos darbuotoja man neįtikusius sutikimo punktus išbraukiau ir tik tuomet „pataisytą“ sutikimą atidaviau jo teikėjams. Žinoma, po keletos dienų sulaukiau darželio pavaduotojos ugdymui skambučio, kurio metu man buvo geranoriškai paaiškinta, jog „Sutikimo dėl duomenų tvarkymo“ braukyti negalima, mat dabar mano vaiko auklėtoja negalės žymėti atžalos lankomumo ir pažangos sistemoje „musudarzelis“...
Pasakojimu apie bandymą pavaduotoją iškamantinėti apie naudojamą sistemą, joje pildomus bei saugomus duomenis nebevarginsiu, pakaks paminėti užtikrintu darželio pavaduotojos balsu ištarto sakinio su lyg ir saugumą garantuojančia abreviatūra: „viskas pagal BDAR!“.
BDAR arba Bendrasis duomenų apsaugos reglamentas (dėmesio!) – teisinio duomenų tvarkymo bei apsaugos Europos Sąjungos valstybėse narėse dokumentas. BDAR idėja yra labai gera ir reikalinga, nors taikymas realybėje, kaip aiškėja nuo šio teisės akto įsigaliojimo praėjus trejetui metų, anaiptol nėra be trūkumų. Plačiau teisinės duomenų apsaugos klausimas šiame tekste nagrinėjamas nebus, pakaks žinoti, jog sistemos musudarzelis.lt kūrėjai UAB „Kompiuterizuoti sprendimai“ rūpinimąsi BDAR klausimais patikėjo UAB „Veritas bona“ – tai skelbiama sistemos puslapyje apie privatumo politiką (https://musudarzelis.lt/privatumo_politika).
Metas apie UAB „Kompiuterizuoti sprendimai“ pasidomėti plačiau. Atsivertę daugeliui gerai žinomą viešą įmonių registrą rekvizitai.lt rasime tokią informaciją: įmonė veikia nuo 2014 metų, įstatinis kapitalas – minimalus būtinas uždarajai akcinei bendrovei įsteigti (2500 Eur), įmonei neblogai sekasi viešuosiuose pirkimuose – per praėjusius ir šiuos metus laimėta jau virš 170 konkursų, nepaisant to, jog UAB „Kompiuterizuoti sprendimai“ dirbančiųjų – vos trys.
Peržvelgus viešųjų pirkimų užsakovų sąrašą darytina prielaida, jog UAB „Kompiuterizuoti sprendimai“ konkursus laimi siūlydami sistemą musudarzelis.lt visoje Lietuvoje veikiantiems darželiams. Išeitų, jog musudarzelis.lt sistemoje talpinama daugiau nei dešimties tūkstančių darželinukų bei jų tėvų duomenys.
O kokie gi tie duomenys renkami? Teksto rašymo metu sistemos internetiniame puslapyje konkrečios informacijos nėra, iš vaiko vis dar lankomo darželio pavaduotojos sužinojau, jog ten pildomi ugdytinių bei jų tėvų asmens duomenys, tokie kaip: vardai ir pavardės, gyvenamosios vietos adresas, el. paštas, telefono numeriai, žymimimas vaiko lankomumas, pateikiama ugdymo bei pažangos informacija, komentarai apie vaiką. Internete taip pat pavyko aptikti 2014 metais dar MB „Kompiuterizuoti sprendimai“ rengtą sistemos musudarzelis.lt pristatymą (lietuviunamai.vilnius.lm.lt/index_files/konferencija_pranesimas_rupeikaite.pdf), kuriame matyti, jog be paminėtų duomenų sistemoje taip pat pateikiama mokėjimų už darželį informacija, ugdymo veiklos planai, renkami duomenys apie vaiko maitinimą, šeimos socialinį statusą.
Smalsumo ir nerimo vedinas, pasinaudojęs dažnam informacinių technologijų specialistui žinoma traceroute programėle per keletą sekundžių išsiaiškinau, jog musudarzelis.lt sistema talpinama vienoje iš serverių nuomos paslaugas teikiančių įmonių serveryje, kur serverio nuomos kaina prasideda nuo 3,99 Eur.
Manyčiau, ne man vienam, mintyse perkošus aukščiau pateiktą informaciją kyla panašūs, visiškai pagrįsti klausimai: kokių saugumo standartų laikytąsi kuriant musudarzelis.lt sistemą? Kiek žmonių, iš trijų UAB „Kompiuterizuoti sprendimai“ darbuotojų, prisidėjo prie sistemos programavimo, testavimo? O kiek – prie sistemos saugumo standartų aprašymo bei jų laikymosi kontrolės? Kas nuomojamą serverį, kuriame talpinama sistema su visais surinktais duomenimis, administruoja, prižiūri? Kaip vykdoma įsilaužimų į serverį bei sistemą prevencija? Ar pasitaikė ir kokiomis tvarkomis vadovaujantis reaguojama į įtariamus neteisėtus patekimus į sistemą?
Su techniniu duomenų saugumu susijusių klausimų kiltų ir daugiau, bet jau ir šių trims darbuotojams – per akis. O kur dar rūpinimąsis kasdieniais įmonės reikalais, pardavimais, dokumentų viešiesiems pirkimams rengimu...
Į tokius ir panašius klausimus atsakytų nepriklausomas auditas. Skambutis į Kauno miesto savivaldybės Švietimo skyrių. Atsakymas: ne, audito nebuvo, bet viskas pagal BDAR.
„Pagal BDAR“, nujaučiu, yra ir mokyklose bei gimnazijose naudojami skaitmeniniai dienynai, „pagal BDAR“, labai panašu, ir visos Lietuvos nuo COVID-19 skiepijamų žmonių (taigi, jau daugiau nei 1,7 milijono) registracijos skiepijimui sistema, kurią administruojančios įmonės atlyginimų mediana siekia 450 Eur, o veiklos sritis – mokymai.
Jau matau, kaip internete nardyti prakutęs taria: „o koks gi skirtumas tie jūsų duomenys, kam jūs įdomūs?“. Trumpas atsakymas – nežinia, fantazijos reikalas. Virtualiosios erdvės kūrėjų galvose egzistuoja naivumo nepaisanti taisyklė – rink visus ir bet kuriuos duomenis, kokius tik gali. Tikriausiai dauguma yra girdėję apie, pavyzdžiui, Facebook naudojamą vartotojų (net neužsiregistravusių ir niekada ten nesilankančių) profiliavimą (t.y. skirstymą į kategorijas įvairiais juos dominančiais pjūviais – ši informacija vėliau parduodama). O ką, jeigu jūsų ar jūsų vaikų duomenys jau profiliuojami kur nors Kinijoje ar Rusijoje? Istorijoje būta ir liūdnesnių tokio žmonių skirstymo pavyzdžių, bet nesiplėskime – skaitmeninėje Lietuvoje ir taip niūroka.
Siekdamas būti atsakingu tėvu, nenorėdamas užsitraukti gėdos prieš vaiką ateityje neišbraukyto „Sutikimo dėl duomenų tvarkymo“, esant tokioms aplinkybėms, pasirašyti jokiu būdu negaliu. Net jeigu tai gresia vaiko išbraukimu iš darželio ugdytinių sąrašo. Ūgtelėjusiam vaikui daug lengviau bus paaiškinti, kodėl jis nelankė darželio, nei atsakyti į neišvengiamą klausimą: o ką tu padarei, kad Lietuva išbristų iš skaitmeninių viduramžių?