04/06/2019
“DigitalRights@KZ: Адам құқығы және цифрлы трансформация” конференциясының бағдарламасы
17/05/2019
Цифрлық Қазақстан: бұғаттау
07/06/2019

Қазақстандағы дербес мәліметтерді қорғау мәселесі: заң қауқарсыз, неге? GDPR-ға бір қадам

21 мамыр күні Алматыда DigitalRights@KZ: Адам құқығы және цифрлық трансформация тақырыбында конференция өтті.

Осыдан бір жыл бұрын Еуропалық Одақ алаңында Дербес мәліметтерді қорғау жөніндегі бас регламент (GDPR)  өз күшіне енді.

GDPR – Еуродақ қаулысы, бірінші кезекте азаматтардың өзінің дербес мәліметтерін жеке бақылауына мүмкіндік беруді көздейді әрі ЕО шеңберінде басқару тетіктерін бір ізге салу арқылы халықаралық экономикалық қарым-қатынастың діңгегі болып табылатын нормативтік базаны оңтайландыруды мақсат тұтады.

GDPR-дің негізгі қағидалары:

  • Заңды, әділ және ашық болуы – мәліметтерді жинауға, пайдалануға GDPR шеңберінде заңды негіздемесі болуы тиіс, дербес мәліметтерді қолдануда бастан аяқ ашық, әділ болу, заңға қайшы әрекеттерді мүлдем болдырмау;
  • Айқын мақсат – құпиялық қағидасында нақты міндеттер бекітілуі тиіс және қатаң сақталуы тиіс;
  • Мәліметтерді пайдалануды мейлінше азайту – деректерді нақты бір мақсаттың орындалуына септігі тиетін жағдайда шектеулі көлемде қолдану;
  • Нақтылық – дербес мәліметтер нақты болуы тиіс және бұрыс жерлерін дұрыстау арқылы шатастырмауы қажет;
  • Мәліметтерді сақтауды шектеу – мәліметтерді ұзақ сақтау дұрыс емес, белгілі бір мерзім өткеннен кейін деректерді тексеріп, пайдаға жарамайтынын өшіріп отыру қажет;
  • Мәліметтердің толықтығы және құпиялығы/қауіпсіздік – деректерді қауіпсіз жерде сақтаған жөн және оның сақталуына тиісті деңгейде көңіл бөлген дұрыс;
  • Есептілік – дербес мәліметтерді сұрыптаудағы және GDPR-дың барлық қағидаттарын орындаудағы, соның ішінде құпиялық жөніндегі жазбасы, деректерді қорғау, қолдану, тексеру; мәліметтерді қорғау жөнінде лауазымды тұлға тағайындаудағы (англ.DPO, data protection officer) жауапкершілік.  (дереккөз – Уикипедия)

*********************

300 беттік құжаттың ерекшелігі оның трансшекаралық іс-әрекетінде жатыр. Басқаша айтқанда, егер қазақстандық компаниялар еуропалық тұтынушылармен жұмыс істеуді қалайтын болса, бұл регламентті қатаң сақтау – міндетті талап. Оның үстіне, бұл артықшылықты бүгінде АХҚО құзыреті аясында пайдалануға болады.

21 мамыр күні Алматыда өткен «DigitalRights@KZ: Адам құқығы және цифрлық трансформация» атты конференция қатысушылары GDPR-дың қазақстандық нұсқасы республика көлемінде ғана емес, бүткіл Еуразиялық одақ шеңберінде қаншалықты қажеттігін талқыға салды. Қатысушылардың ешбірі аталмыш көлемді регламентті соңына дейін еңсермеген болып шықты, десе де, араға алты жыл салып, дербес мәліметтер жөніндегі ұлттық заңның өз күшіне енуінің өзі болашақтан үлкен үміт күттіретінге ұқсады.

«Ұмытшақ» желілер

ОpenRightsGroup (Ұлыбритания) атқарушы директоры Джим Киллок GDPR туралы пікірін айтқанда, сарапшы-мамандардың басым бөлігі аталмыш еуропалық стандарттың көптеген қағидаларымен таныс екенін еске салды. Бұл құжаттың негізгі қағидаттарының бірі әрі бірегейі – есептілік, мұнсыз оның басқа компоненттерін жүзеге асыру бекер. Оның үстіне, GDPR-дың арқасында азаматтар тұңғыш рет «ұмыттыру құқығына» ие болды.

«Бұл дегеніміз – кез келген азамат өзінің дербес мәліметтерін қайтарып ала алады», – деп түсіндірді Киллок. Халықаралық сарапшы мұндай мүмкіндік адамның жеке өмірінің құпиялығын қамтамасыз етіп қана қоймай, азаматтардың өзі үшін тиімді болатын экономикалық шешімдерін қабылдауына септесетінін тілге тиек етті.

«Ұмыттыру құқығы» туралы өзге де сарапшылардың пікірталқысы барысында да бірнеше мәрте аталып өтілді. Қазақстандағы Internews өкілі Ержан Сүлейменов отандық әртүрлі меморгандардың бұл ұғымды әрқалай түсіндіруіне назар аудартты, мәселен, біреулер мұны тек техникалық құқық ретінде қабылдаса, енді біреулері белгілі бір шенеуіктің аты мен затына нұқсан келтіретін ақпараттардың ғаламтор желісінен жою мүмкіндігін көреді екен.

«Ұмыттыру құқығы» саясаткерлердің өз қалауынша (қажет мәліметті қалдырып, керек емесін жойып жіберу арқылы)  жеке «биографиясын» жасауына мүмкіндік бермеуі тиіс. Алайда, шенеуіктер бұл құқығын осы аталған мақсатта пайдалануы бек мүмкін, мүмкіндік берген болсақ, мұндай қауіп жоқ емес. Сондықтан, нақты тәртіп, жан-жақты зерттеліп, бекітілген құқықты ережелер болуы тиіс. Бұл, әсіресе, қаржылық ақпараттардың, келісімшарттар мен құқықбұзушылық туралы мәліметтердің жариялығын меңзейді», – деп атап өтті Ұлыбританиядан келген сарапшы.

Орта Азиядағы стратегиялық зерттеулер институтының директоры Анна Гусарова біздің жағдайда мұндай тәртіптердің жасаумен әрі жүзеге асырумен «барлық тараптардың мүддесін ескеретін тәуелсіз құрылым айналысуы тиіс» дегенді алға тартты. Қазіргі уақытта дербес мәліметтер мен оның қорғалуы жөніндегі заңның бақылануына прокуратура жауапты.

Заң қауқарсыз, неге? (жағдай қашан өзгереді?)

Медиа заңгерлердің халықаралық ассоциациясының (IMLA) мүшесі Руслан Дайырбеков біздің республикада дербес мәліметтер субъектілерінің құқығын қорғаумен айналысатын тәуелсіз өкілетті органның жоқтығына баса назар аударды. Бас прокуратура бақылау қызметін атқарады десек те, «Дербес мәліметтерді қорғау туралы» заң аясында құқықтық жаза тарту, я болмаса, сот орындау тәжірибесі қалыптаса қоймаған. Заңгер бұған қоса заңға тәуелді басқару тетіктерінің жетілмегенін айтты, сондай- ақ «басқарушы тарапынан меморгандарға нақты іс-шаралар тізбегін бекітіп, ал бизнес өкілдері үшін құқықтық айқындығын анықтап беретін түсіндіру жұмыстарының» жоқтығы да тілге тиек етілді. «Бүгінгі таңда қандай да бір бірыңғай ақпараттық кодекс ауқымында дербес мәліметтерді реттеуші нормативтік тәртіптерді жүйелеу, тіпті кодтау аса маңызды», – дейді Дайырбеков.

Бір қызығы, еліміздің Цифрлық даму, қорғаныс және аэроғарыш өнеркәсібі министрлігіне қарасты Ақпараттық қауіпсіздік жөніндегі комитет төрағасының орынбасары Руслан Әбдіхалықов өзі қатысқан сессиядағы сарапшылардың пікірімен толыққанды келісіп отырды.

«Біздің елде белгілі бір заңның өкілетті органы болмаса, ол құжаттың барынан жоғы деген түсінік қалыптасқан. Ол жұмыс істемейді. Неге? Өйткені ІІМ заң даярлау барысында таңдаған үлгіге сәйкес, әрбір меморган өз саласындағы мұндай қарым-қатынасты реттеп отырады. Мәселен, емханаға немесе ондағы дербес мәліметтерге қатысты мәселе туындай қалса, Денсаулық сақтау министрлігінен сұрай аласыз. «Күнделікке» байланысты қиындық туса, Білім және ғылым министрлігіне сұрау саласыз. Ал еgov жүйесінде қандай да бір проблема бола қалса, біздің министрлікке шыға аласыз. Осылайша, қарапайым азаматтар бұл іске нақты кім жауапты, мәселе туындай қалған жағдайда кімге шағымдана алатынын біле алмай дал болады. Бұл – бір. Екіншіден, қандай да бір ақпарат жайылып кеткен жағдайдың өзінде, осы аталған меморгандардың ешбірінде жазаға тарту құқығы жоқ», – деді шенеунік.

Бұл тәжірибені өзгерту үшін ведомство өз құрылымында dataprotectionagency үлгісін құруға кезекті рет талпынып көрмек. Бұл орайда, агенттіктің бірінші кезеңдегі негізгі міндетіне не кіретінін түсіндіріп берді: «Заңнамалық база бар, әйтсе де, ол біздің жағдайда бір мүдде аясына бірікпеген, әрі заңдағы тетіктерді жүзеге асыруға мүмкіндік беретін заңға қосымша актілер жетіспейді».

Сақтауға да, өзге біреуге беруге де болмайды

Qazkom-ға қатысты болған жағдайды еске сала отырып, «Жоғарыда аталған кейстер біздің мемлекетте дербес мәліметтерді қорғау мен осыған жауапты болуда үлкен проблема бар екенін көрсетіп отыр», – деп атап өтті Орта Азиядағы стратегиялық зерттеулер институтының басшысы. Бұдан өзге, банктер мен ондағы клиенттердің қаржылық ақпары киберқылмыскерлердің ойыншығына айналғанын айтты Гусарова.  Осы орайда, сарапшы дербес мәліметтерді қорғаудың ұлттық жүйесі шеңберінде құрылатын кез келген жұмыс мекемесінің құрамында бизнестің болуы міндетті екенін алға тартады. «Заңға сәйкес, дербес мәліметтерді қорғауға мемлекет жауапты. Ал егер мемлекеттік емес институт хакерлік шабуыл, ақпараттың жайылып кетуі сынды проблемамен бетпе-бет келетін болса, бұған кім жауапты болмақ? Осы тұсы белгісіз», – дейді сарапшы.

Цифрлық даму, қорғаныс және аэроғарыш өнеркәсібі министрлігінің өкілі бұл тұста оның ведомствосы дербес мәліметтерді өңдейтін операторларды заң негізінде дербес мәліметтер субъектілеріне ақпараттың жайылып кетуін туралы хабар беруге міндеттейтінін айтты. Оның айтуынша, бұдан өзге, жеке ақпараттардың сақталуы үшін мәліметтерді үшінші тұлғаларға жіберу процесін автоматтандыру аса маңызды.

Бүгінде мәліметтерді тарату процесі тек жеке операторларға қатысты реттелмей отырған жоқ – мемлекет те субъектілерге хабарламай, олардың жеке мәліметтерін таратуға құқылы. «Қазіргі таңда азаматтардың жеке мәліметтері бір мемлекеттік ақпараттық жүйеден екіншісіне оның рұқсатынсыз таратылмайтынына мемлекет кепілдік бере алмайды», – деп атап өткен Дайырбеков мұны халықаралық нормаларға қайшы келетін «қылмыстық интеграция» деп атады.

Еуразиялық GDPR

Дайырбеков осыдан жиырма жыл бұрын ТМД көлемінде дербес мәліметтер жөнінде үлгі ретінде заң қабылданғанын еске салды. «Өкінішке қарай, бұл құжат дербес мәліметтермен жұмыс істеудің халықаралық қағидаларын толыққанды қамти алмады», – дейді заңгер. Оның ойынша, қазіргі уақытта GDPR Қазақстан үшін осы саладағы еуропалық стандарттардың жарқын үлгісі бола алады және ұлттық заңнаманың үйлесім табуына өз септігін тигізеді.

Гусарова GDPR стандарттарын біздің мемлекетте енгізу, сыртқы саяси имидж тұрғысынан да, әрі ішкі саяси жағдайды реформалау үшін аса қажет екеніне күмән келтірмейді. «Біз көбіне Ресейдің тәжірибесіне сүйеніп жатамыз, десек те, олар да экономикалық тұрғыда мен тауар айналымы бойынша еуропа мемлекеттеріне тәуелді болғандықтан, [GDPR стандарттарымен] санасуға мәжбүр», – дейді сарапшы.

Әбдіхалықов өз кезегінде, Қазақстан қанша жерден қаласа да GDPR стандарттарын қаз қалпында көшіре алмайтынын атап өтті: «Біз өз елімізде жүзеге асыра алатын, яғни орындауға қауқарымыз жетеді, дайынбыз дейтін нормаларды ғана алуымыз қажет, аталмыш құжатты шығармашылық тұрғыда өзімізге бейімдеуге тиіспіз».

Еуразиялық одақ щеңберінде сөз етілген дербес мәліметтерді қорғау жөніндегі бастамаларға күмәнмен қараған тағы бір сарапшы – «Интернет саясат азаматтық бастамасы» ҚҚ (Қырғызстан) директоры Татту Мамбеталиева. Ол Еуразиялық экономикалық комиссияның соңғы отырысында трансшекаралық мәліметтер алмасу бойынша ортақ регламент қабылдауға қарсы шыққан жалғыз делегация – Қазақстаннан келген өкілдер екенін айтты.

Цифрлық даму, қорғаныс және аэроғарыш өнеркәсібі министрлігі мемлекеттер одағы аясында өзара маңызды әрі құнды мәлімет (онсыз серіктестіктің экономикалық мақсаты жойылады) алмасуға мүмкіндік туатынын жоққа шығармайды. «Негізінен алдымен өз елімізде реттеліп, содан соң өзге мемлекеттерге мәлімет таратуымыз керектігін түсінеміз <…> Аталмыш мәселеде асығыстық жасағымыз келмейді. Бұл іске баппен, байыппен келеміз», – деген ресми ұстанымын көрсетті Әбдіхалықов.

Қоғамның қолынан келеді

Конференцияның өзегі сарапшылар үндеуі болды, олар қарапайым қолданушыларды дербес мәліметтер мәселесінде белсенділік танытуға шақырды. «Біз Қырғызстандағы мемлекеттік органдардың нормативтік-құқықтық база құрып, оны жүзеге асыруын күтіп отырмадық. Біз бірден сотқа бердік, өйткені Конститутция бар, онда жеке өмірді қорғау туралы анық жазылған. Осындай жағдай туындата беру керек, сонда ғана ережелер автоматты түрде жылдам жұмыс істейтін болады», – деді Мамбеталиева.

Киберқұқық саласындағы адвокат және «Роскомсвобода» жобасының негізін салушылардың бірі Саркис Дарбинян да осы пікірде. Аталмыш шарада ол Ресейдің тиімді-тиімсіз талпыныстары туралы – контентті онлайн таратуды бақылау тақырыбында баяндама оқыды. Бір сағаттық баяндамадан кейін қатысушылар сарапшыны сұрақтың астына алды, қазақстандықтар әлеуметтік желілер мен интернет ресурстарды бұғаттауды болдырмаудың жолын сұрады. «Негізінен тұтынушы қоғам бұл жағдайда тұтынушылардың мүддесін қорғау үшін ұйымдасқан түрде байланыс операторларына шағым түсіруі тиіс еді <…> Операторлармен сұраным жіберу арқылы кері байланыс [сауалдарыңызға жауап алу] орнату мүмкін емес болғандықтан, тығырықтан шығатын жол – сотқа арызданып, құжаттарды беруін талап ету», – деген кеңес берді Дарбинян.

Дейтұрғанмен ол сотта «бұл жағдайдың тиімді болуы екіталай» екенін жоққа шығармайды, алайда стратегиялық тұрғыда бұғаттау мәселесінің үнемі назарда болуы ең ақырында қоғамның пайдасына жұмыс істейтін болады. Адвокат қазақстандықтардың тіпті болмаған жағдайда БҰҰ-на шағымдануға мүмкіндігі бар екенін еске салды.

«Алайда БҰҰ-на шағымдану үшін бірқатар ұлттық сатыдан өту қажет, әйтпесе, ол жаққа қандай дерек-дәйекпен барасыз?»,– дейді Дарбинян. Ресейлік заңгер негізсіз бұғаттаулармен күресуде кез келген  заңды тәсілдер тиімді жұмыс істейтініне сендірді.