Дербес деректерді қорғау мәселелерінің түзетулері бойынша қоғамдық талқылау нәтижелері

Кіріспе

2021 жылғы 30 желтоқсанда ҚР Президенті «Қазақстан Республикасының кейбір заңнамалық актілеріне сауда қызметі, биржалық сауданы дамыту және дербес деректерді қорғау мәселелері бойынша өзгерістер мен толықтырулар енгізу туралы» № 96-VII ҚРЗ Заңына қол қойды.

Аталған материал Қазақстан Республикасының цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігі Ақпараттық қауіпсіздік комитетінің цифрлық құқықтар жөніндегі сараптама тобы мен дербес деректерді қорғау басқармасы (ҚР ЦДИАӨМ АҚК) қатысушыларының дербес деректерді қорғау мәселелері бойынша жоғарыда көрсетілген түзетулердің (01.07.2021 ж. жағдай бойынша) жалпы талдауы мен қоғамдық талқылау нәтижелерінен тұрады. Бұл жұмыс цифрлық құқықтар жөніндегі сараптама тобы қатысушыларының объективті бағалары мен кәсіби ұсынымдарына сілтеме жасайды, сондай-ақ «Еуразиялық цифрлық Қор» (Eurasian Digital Foundation) қоғамдық қорының заң жобасының жекелеген құқықтық нормалары мен рәсімдері жөніндегі ресми ұстанымын көрсетеді. Бұдан басқа, жұмыс Eurasian Digital Foundation-тың Қазақстандағы Дербес деректер институтын одан әрі дамыту жөніндегі ұсынымдарын қамтиды.

Заң жобасын қоғамдық талқылау нәтижелері

Төменде көрсетілген құқықтық рәсімдер мен нормалар алынып тасталынды:

  • Рұқсаттар және хабарламалар туралы заңнамада белгіленген тәртіппен дербес деректерді жинау және өңдеу фактісі, басталуы немесе тоқтатылуы туралы хабарлама жасау тәртібі;
  • Дербес деректер операторларының тізілімін жүргізу;
  • Дербес деректерді қамтитын база операторларының дербес деректерге қол жеткізуді бақылаудың мемлекеттік сервисін міндетті түрде интеграциялауы және пайдалануы;
  • БАҚ қызметін дербес деректер келісімсіз жиналатын және өңделетін жағдайлар тізбесінен алып тастайтын норма.

Келесі құқықтық рәсімдер мен нормалар қабылданды:

  • Дербес деректерге қолжетімділікті бақылаудың мемлекеттік емес сервисі;
  • Лауазымды тұлғалардың әрекеттерін тіркеу арқылы «Дербес деректерге қолжетімділікті бақылау сервисі» функционалын кеңейту;
  • Өтпелі ережелер (кейінге қалдыру нормасы).

Бұдан әрі-жоғарыда аталған өзгерістердің қалай талқыланғаны және қабылданғаны туралы толығырақ айтатын боламыз.

Заң жобасы қандай түзетулерді ұсынды?

2021 жылғы 19 наурызда электрондық үкімет порталының «Ашық НҚА» бөлімінде жария талқылау үшін дербес деректерді қорғау мәселелері бойынша ҚР заңнамалық актілеріне өзгерістер енгізу бойынша заң жобасының бірінші редакциясы орналастырылды.

Түзетулердің әзірлеушісі — ҚР ЦДИАӨМ АҚК. Ұсынылған негіздемелерге сәйкес, түзетулер дербес деректерді жинау және өңдеу рәсімдері мен шарттарының заңдылығын, сонымен қатар ашықтығын қамтамасыз етуде, сондай-ақ дербес деректер субъектілерінің құқықтарын қорғауда қолданыстағы заңнаманың тиімділігін арттыруға бағытталған.

Заң жобасында, басқалармен қатар, түзетулер ұсынылды:

  • дербес деректерді қорғау саласындағы уәкілетті органға дербес деректерді жинау және өңдеу процесіне тартылған барлық субъектілерге қатысты тексерулер және профилактикалық бақылау жүргізу жөніндегі функцияларды беру;
  • операторлар, олар өңдейтін дербес деректер және дербес деректерді жинау және өңдеу шарттары туралы мәліметтерді қамтитын электрондық ақпараттық ресурс «операторлар тізілімін» айқындау;
  • «дербес деректерді жалпыға қолжетімді көздерде таратуға, сондай-ақ дербес деректерді жалпыға қолжетімді көздерден жинауға, өңдеуге және таратуға субъектінің немесе оның заңды өкілінің келісімі болған кезде жол беріледі» деген талап бекітілген;
  • «дербес деректерді жинауды, өңдеуді меншік иесі және (немесе) оператор, сондай-ақ уәкілетті органды хабардар еткен жағдайда үшінші тұлға жүзеге асырады» деген талап бекітілген;
  • «оператор дербес деректерді жинау, өңдеу (жинауды, өңдеуді жүзеге асыру кезінде) басталғанға дейін, сондай-ақ дербес деректерді жинау және өңдеу тоқтатылған кезде уәкілетті органды хабардар етеді» деген талапты бекіткен жағдайда, бұл ретте «меншік иесі және (немесе) оператор дербес деректерді жинау және өңдеу фактісі, басталуы немесе тоқтатылуы туралы хабарламаны рұқсаттар және хабарламалар туралы заңнамада белгіленген тәртіппен уәкілетті органға береді»;
  • дербес деректердің қауіпсіздігін қамтамасыз ету қызметінің толық жұмыс істеуі, атап айтқанда:
  1. субъектінің немесе оның заңды өкілінің дербес деректерді жинауға және (немесе) өңдеуге келісім (бас тарту) беруі;
  2. субъектінің немесе оның заңды өкілінің дербес деректерді жинауға және (немесе) өңдеуге келісімді кері қайтарып алуы;
  3. дербес деректерді жинау және өңдеу фактісі, басталуы немесе тоқтатылуы туралы хабарламаларды қабылдауы;
  4. Дербес деректер операторларының тізілімін жүргізуі;
  5. субъектілердің құқықтарын іске асыру кезінде субъектілердің уәкілетті органға операторлардың әрекеттеріне (әрекетсіздігіне) шағым беруі;
  6. субъектіге оның дербес деректерімен жасалатын іс-әрекеттер туралы ақпарат беру.
  • меншік иесінің және (немесе) оператордың дербес деректермен жасалатын барлық іс-әрекеттерді тіркеу және олардың есебін жүргізу жөніндегі міндетін бекіту;
  • меншік иесінің және (немесе) оператордың «оператордың дербес деректерді жинауға, өңдеуге және қорғауға қатысты саясатын айқындайтын құжаттарды, сондай-ақ осы заңда көзделген міндеттемелердің сақталуын растайтын жергілікті актілерді бекіту» міндетін белгілеу. Уәкілетті органға сұрау салу бойынша меншік иесінің және (немесе) оператордың осы заңның талаптарын сақтауын растау үшін қажетті ақпаратты беру»;
  • ҚР ЦДИАӨМ-не электрондық ақпараттық ресурстарда қамтылған дербес деректерді жинау, өңдеу және қорғау саласында мемлекеттік бақылауды жүзеге асыру бойынша өкілеттік беру, атап айтқанда:
  1. дербес деректер және оларды қорғау туралы ҚР заңнамасының сақталуына мемлекеттік бақылауды жүзеге асыру;
  2. Қазақстан Республикасының дербес деректер және оларды қорғау туралы заңнамасының талаптарын бұзушылықтар анықталған кезде нұсқаманы орындау үшін жолдау;
  3. меншік иелерінен және (немесе) операторлардан дербес деректерді жинау және өңдеу фактісі, басталуы немесе тоқтатылуы туралы хабарламаларды қабылдауды жүзеге асыру, сондай-ақ «рұқсаттар және хабарламалар туралы» ҚР Заңына сәйкес Рұқсаттар мен хабарламалардың мемлекеттік электрондық тізілімін жүргізу;
  4. операторлар тізілімін жүргізу;
  5. дербес деректер және оларды қорғау мәселелері жөніндегі консультативтік кеңес құру, сондай-ақ оны қалыптастыру тәртібі мен қызметін айқындау;
  6. дербес деректерді қорғауды қамтамасыз ету Сервисінің жұмыс істеу және пайдалану қағидаларын бекіту.
  • дербес деректерді қорғау саласындағы уәкілетті органға дербес деректерді жинау және өңдеу процесіне тартылған барлық субъектілерге қатысты тексерулер және профилактикалық бақылау жүргізу функциясын беру, атап айтқанда «Қазақстан Республикасының Дербес деректер және оларды қорғау туралы заңнамасының сақталуын мемлекеттік бақылау Қазақстан Республикасының Кәсіпкерлік кодексіне сәйкес тексерулер және профилактикалық бақылау нысанында жүзеге асырылады»;

Әкімшілік рәсімдер мен іс жүргізу әрекеттерінің түрлері

Түзетулердің бірінші нұсқаларын қарастыра отырып, тәуелсіз сарапшылар, басқалармен қатар, түзетулердің бизнес субъектілеріне реттеушілік әсерінің үлкен көлемін атап өтті. Eurasian Digital Foundation сарапшылары осы жобада белгіленген әкімшілік рәсімдер мен іс жүргізу әрекеттерінің түрлерін талдады (инфографика 1 және 2). Осы құқық қолдану рәсімдерін орындау көптеген жеке деректер операторлары үшін проблема болар еді, өйткені бұл айтарлықтай қаржылық, техникалық және ұйымдастырушылық ресурстарды қажет етеді.

Тәуелсіз қоғамдық сараптама жүргізу

Атқарушы билік органдары әзірлеген нормативтік құқықтық актілердің жобаларына тәуелсіз қоғамдық сараптама жүргізу үшін нақты мүмкіндіктерді қамтамасыз ету құқықтық реттеудің сапасын қамтамасыз етудің маңызды шарты болып табылады. ЦДИАӨМ дербес деректерді қорғау мәселелері бойынша ҚР заңнамалық актілеріне өзгерістер енгізу жөніндегі заң жобасын қоғамдық талқылау шеңберінде өз норма шығармашылық қызметінде Eurasian Digital Foundation өкілі кіретін тәуелсіз сарапшылардың, цифрлық құқықтар жөніндегі сарапшылар тобы мүшелерінің объективті бағалары мен кәсіби ұсынымдарын ескергеніне назар аудару қажет.

2021 жылғы 1 шілдеде ЦДИАӨМ сайтында дербес деректерді қорғау мәселелері бойынша ҚР заңнамалық актілеріне өзгерістер енгізу туралы заң жобасының 4 нұсқасы жарияланды. Түзетулердің төртінші редакциясы азаматтық қоғаммен жария талқылау шеңберінде заң жобасының мәтіні қанша рет өзгергенін көрнекі көрсетті.

Түзетулердің төртінші редакциясы келесі талаптарды қамтымады:

  • «дербес деректерді жинауды, өңдеуді меншік иесі және (немесе) оператор, сондай-ақ уәкілетті органды хабардар еткен жағдайда үшінші тұлға жүзеге асырады»;
  • «оператор дербес деректерді жинау, өңдеу (жинауды, өңдеуді жүзеге асыру кезінде) басталғанға дейін, сондай-ақ дербес деректерді жинау және өңдеу тоқтатылған кезде уәкілетті органды хабардар етеді».

Бұдан басқа, дербес деректер операторларының тізілімін жүргізуді көздейтін норма алынып тасталынды. Сонымен, заң жобасының төртінші редакциясында дербес деректерге қол жеткізуді бақылаудың мемлекеттік сервисін міндетті түрде интеграциялау және пайдалану туралы ереже жоқ, тек өңделетін дербес деректер мемлекеттік органдардың ақпараттандыру объектілерінде болатын жағдайларды қоспағанда. Осыған байланысты, заң жобасында бекітілген дербес деректер субъектілерінің дербес деректерге қол жеткізуді бақылаудың «мемлекеттік емес» сервисі арқылы дербес деректерді жинауға, өңдеуге келісім беру және кері қайтарып алу мүмкіндігін атап өту маңызды.

Сондай-ақ, түзетулерді қоғамдық талқылауға арналған кезекті іс-шарада мамандар уәкілетті органның лауазымды тұлғалардың әрекеттерін тіркеу арқылы «Дербес деректерге қолжетімділікті бақылау қызметінің» функционалдығын толықтыру туралы бастамасын қолдады. 09.04.2021 жылғы редакциясында әзірлеуші дербес деректерге қолжетімділікті бақылау сервисі арқылы«электрондық үкіметтің» ақпараттандыру объектілеріндегі оның дербес деректеріне қол жеткізуге (жинау және өңдеуге) сұрау салулардың бастамашылары туралы субъектіні хабардар ету міндетін қосты.

Eurasian Digital Foundation ұсынған «өтпелі ережелер» туралы норманың қосылуын құптаған жөн. «Кейінге қалдыру»нормасы Еуропалық Одақтың практикасына ұқсас, атап айтқанда General Protection Regulation (GDPR) жеке деректерді қорғаудың жалпы ережесі бойынша қарастырылған. Түзетулердің іске асырылуы уақытты талап ететін ұйымдар үшін біршама ауыртпалықты міндеттемелерді қамтығанын ескере отырып, әзірлеуші дербес деректерді жинау және өңдеу процестеріне тартылған меншікті ақпараттық жүйелердің мемлекеттік сервиспен интеграциялануын осы түзетулер қолданысқа енгізілген күннен бастап бір жыл ішінде дербес деректердің меншік иелері және (немесе) операторлары қамтамасыз ететіндігі туралы түзетулер нормасын көздеді.

Сондай-ақ, түзетулердің алғашқы үш редакциясы Қазақстан Республикасы Азаматтық Кодексінің 145-бабын келесі мазмұндағы жаңа редакцияда қабылдауды ұсынды:

«Басқа адамның бейнесін (оның ішінде оның фотосуретін, сондай — ақ бейнежазбасын немесе бейнелеу өнері туындысын) пайдалануға және таратуға-осы адамның келісімімен, ал егер қайтыс болған жағдайда балаларының және көзі тірі жұбайының, ал олар болмаған кезде ата-аналарының келісімімен жол беріледі. Мұндай келісім талап етілмейді, егер:

1) адамның бейнесі, мұндай сурет пайдаланудың негізгі объектісі болып табылатын жағдайларды қоспағанда, еркін болу үшін ашық орындарда немесе жария іс-шараларда (жиналыстарда, съездерде, конференцияларда, концерттерде, көрсетілімдерде, спорттық жарыстарда және осыған ұқсас іс-шараларда) өткізілетін түсірілім кезінде алынғанда;

2) адам ақы үшін суретке түскен уақытта;

3) бұл заңнамалық актілермен бекітілген кезде.»

Цифрлық құқықтар жөніндегі сарапшылар тобының мүшелерімен ұзақ келіссөздерден кейін (соның ішінде көпшілік алдында) салыстыру кестесінде өз бейнесін пайдалану құқығына қатысты түзету жақсы тұжырымдалған. Өкінішке орай, түзетулердің соңғы нұсқасында бұл норма жоғалып кетті. Ол қазақстандықтарға, тек журналистерге ғана емес келісімінсіз оның фотосуретін пайдалануға болатынын, егер ол а) қоғамдық орында болса; б) қызметтік міндеттерін орындау кезінде мемлекеттік қызметші болса; және в) кез келген адам, егер ол құқық бұзушылық жасайды деген күдік болған жағдай туралы меңзеді.

Цифрлық құқықтар жөніндегі сарапшылар тобының ЦДИАӨМ құрылымында өз алаңында құқық қорғаушылар мен бірқатар министрліктердің өкілдерін біріктіретін ведомствоаралық кеңес құру қажеттілігі туралы ұсынысын бөлек атап өткен жөн.

Қаралып отырған түзетулер азаматтық қоғаммен дербес деректерді қорғау мәселелерін талқылау тетігін заңнамалық тұрғыдан бекітті. Уәкілетті органның құзыретіне «Дербес деректер және оларды қорғау мәселелері жөніндегі консультативтік кеңес құру, сондай-ақ оны қалыптастыру және оның қызметі тәртібін айқындау» функциясы енгізілген.

Әрине, жүргізілген жұмыс заң жобасын әзірлеудің сапасы мен тиімділігін арттырды және жеке деректерді қорғау мәселесін шешуде мемлекеттік құрылымдардың азаматтық қоғам институттарымен, БАҚ-пен, академиялық және басқа ұйымдармен тиімді серіктестігін қалыптастырды.

Цифрлық құқықтар жөніндегі сарапшылар тобының жұмысы әзірлеушімен заң жобасынан мынадай құқықтық рәсімдер мен нормаларды алып тастау қажеттілігі туралы ортақ ұстанымды қалыптастыруға мүмкіндік берді:

  • хабарлама жасау тәртібін («дербес деректерді жинауды, өңдеуді меншік иесі және (немесе) оператор, сондай-ақ уәкілетті органды хабардар еткен жағдайда үшінші тұлға жүзеге асырады», бұл ретте «дербес деректерді жинау және өңдеу фактісі, басталуы немесе тоқтатылуы туралы хабарламаны меншік иесі және (немесе) оператор рұқсаттар және хабарламалар туралы заңнамада белгіленген тәртіппен береді»);
  • дербес деректер операторларының тізілімі («операторлар, олар өңдейтін дербес деректер және дербес деректерді жинау және өңдеу шарттары туралы мәліметтерді қамтитын электрондық ақпараттық ресурс»);
  • дербес деректерге қолжетімділікті бақылаудың мемлекеттік сервисін міндетті түрде интеграциялау және пайдалану;
  • дербес деректерге қолжетімділікті бақылаудың жалғыз сервисі (дербес деректерге қолжетімділікті бақылаудың мемлекеттік емес сервисін пайдалану мүмкіндігі енгізілген («Дербес деректерге қолжетімділікті бақылаудың мемлекеттік емес сервисі — мемлекеттік емес ақпараттандыру объектілерінде қамтылған дербес деректерге қол жеткізу кезінде меншік иелерінің және (немесе) операторлардың, үшінші тұлғалардың субъектімен ақпараттық өзара іс-қимылын қамтамасыз ететін қызмет»);
  • БАҚ қызметін дербес деректер келісімсіз жиналатын және өңделетін жағдайлар тізбесінен алып тастайтын норма;
  • келісім алған кезде дербес деректер субъектісінің жеке басын сәйкестендіру жөніндегі талап («интеграция кезінде дербес деректерді қорғауды қамтамасыз ету сервисінің толыққанды жұмыс істеуі үшін қажетті мәліметтерге, оның ішінде дербес деректерге қол жеткізуге (жинауға және өңдеуге) сұрау салулардың бастамашылары туралы мәліметтерге қол жеткізу қамтамасыз етіледі»).

ҚР Үкіметі дербес деректерді қорғау жөніндегі уәкілетті органға дербес деректерді жинау, өңдеу және қорғау саласындағы мемлекеттік бақылауды жүзеге асыру бойынша мемлекеттік-билік өкілеттіктерін беру бастамасын қолдамады және мәтіннен тиісті нормалар мен ережелерді алып тастады.

2021 жылғы 23-25 қарашада Парламент Мәжілісінің «Қазақстан Республикасының кейбір заңнамалық актілеріне сауда қызметі және биржалық сауданы дамыту, дербес деректерді қорғау мәселелері бойынша өзгерістер мен толықтырулар енгізу туралы» заң жобасын қарау жөніндегі жұмыс тобының отырыстары өтті.

Депутаттар мен сарапшылардың дербес деректерді қорғауы
2021 жылы 23-25 қарашада онлайн режимде дербес деректер туралы заң жобасын қарау бойынша Парламент Мәжілісінің жұмыс тобының жиналыстары өтті.

Депутаттардан басқа, жоғарыда аталған жұмыс тобының жұмысына сарапшылар ретінде «Еуразиялық цифрлық қор» қоғамдық қорының директоры және осы мақаланың авторы Руслан Дайырбеков, «Digital Paradigm» ҚҚ директоры Елжан Қабышев, «Құқықтық Медиа-орталық» ҚҚ директоры Диана Окремова, «Цифрлық Қазақстан Қауымдастығы» ЗТБ, сондай-ақ орталық мемлекеттік органдардың өкілдері мен басқа да сарапшылар қатысты.

Жиналыс жұмыс тобының жетекшісі, Мәжіліс депутаты, Экономикалық реформа және Өңірлік даму комитетінің мүшесі Екатерина Смышляеваның төрағалығымен өтті.

2021 жылғы 30 желтоқсанда ҚР Президенті «Қазақстан Республикасының кейбір заңнамалық актілеріне сауда қызметі, биржалық сауданы дамыту және дербес деректерді қорғау мәселелері бойынша өзгерістер мен толықтырулар енгізу туралы» № 96-VII ҚРЗ Заңына қол қойды.

Түзетулермен дербес деректер субъектісінен дербес деректерді жинауға, өңдеуге немесе оларды үшінші тұлғаларға беруге келісім алуды қоса алғанда, мемлекеттік органдардың ақпараттандыру объектілеріндегі дербес деректерге қол жеткізу кезінде меншік иелері мен операторлардың, үшінші тұлғалардың дербес деректер субъектісімен және уәкілетті органмен ақпараттық өзара іс-қимылын қамтамасыз ететін дербес деректерге қол жеткізуді бақылаудың мемлекеттік сервисінің жұмысы регламенттеледі.

Субъектіні мемлекеттік органдардың ақпараттандыру объектілеріндегі оның дербес деректерімен жасалатын іс-әрекеттер туралы хабардар ету және субъектіге дербес деректерге қолжетімділікті бақылаудың мемлекеттік сервисі арқылы оның дербес деректерін жинауға және өңдеуге келісімі бар меншік иелері мен операторлар туралы мәліметтерді ұсыну туралы заңның новеллалары революциялық болып табылады.

Заңнамалық шешімдер қабылдау кезінде әзірлеушінің азаматтық қоғам өкілдері айтқан пікірлер мен ұсыныстарды есепке алуы дербес деректерді қорғау жөніндегі уәкілетті органның қызметіне қоғамның сенімін және қолдауын нығайтуға тиіс.

Ұсынымдар

Дербес деректерді қорғау мәселелері жөніндегі заңнамадағы жоғарыда көрсетілген оң өзгерістерге қарамастан, цифрлық технологияларды адал және тиімді пайдалану үшін қоғам адамның жеке өміріне қол сұғылмаушылық және дербес деректердің құпиялылығына құқығын мемлекеттің және бизнестің тәуелсіз бақылауының осы заманғы және тиімді құқықтық құралдарына ие болуға тиіс.

  • Data Protection Impact Assessment (DPIA) дербес деректерін өңдеу кезінде тәуекелдерді бағалаудың құқықтық тетігін енгізу

Цифрлық экономиканың дамуы, оның барлық жақсы мақсаттарымен бірге, адамның құқықтары мен бостандықтарын қорғаудан бас тартудың салдары болмауы керек. Қазіргі уақытта жүргізіліп жатқан және ұсынылып отырған кез келген бизнес практика саясат пен технологиялар жеке өмірге қол сұғылмаушылық үшін тәуекелдерді жұмсартуды қалай қамтамасыз ететіні туралы ақпаратты қарау және ұсыну үшін мүмкіндік болуы үшін оның жеке өмірге қол сұғылмаушылық үшін салдарларына бағалау жүргізуді көздеуі тиіс. Жеке деректерді қорғау туралы Еуропалық құқыққа ұқсас, отандық заң шығарушылар GDPR (General Data Protection Regulation) жеке деректерді қорғау жөніндегі бас Регламенттің Data Protection Impact Assessment (DPIA) тәуекелдерін бағалаудың құқықтық тетігін енгізу мүмкіндігін қарастыруы керек. Айта кету керек, DPI тәуекелдерін бағалау процедурасы әрдайым қолданылмайды, тек деректерді өңдеу азаматтардың құқықтары мен заңды мүдделерін бұзудың жоғары қаупімен байланысты болған жағдайда ғана қолданылады.

Жеке өмірге әсер етуді бағалау мемлекеттік және коммерциялық ұйымдарда деректерді басқару үшін қолданылатын «жобаланған құпиялылық» тұжырымдамасының бөлігі болып табылады. DPI жүргізу рәсімі әлеуетті тәуекелдерді анықтау және осы тәуекелдерді жұмсарту және оларды басқару стратегияларын әзірлеу арқылы жеке өмірге қол сұғылмаушылықтың құқықтық және реттеушілік нормаларына сәйкестікті қамтамасыз етеді. Адам құқықтары әртүрлі технологияларға қатынасты айқындау кезінде «біріктіруші мақсатты перспектива» ("unifying purposive perspective") бола алады, бұл оларды қадір-қасиет, жеке өмір, теңдік, еркіндік сияқты негізгі адам құқықтарына сәйкес келеді немесе сәйкес келмейді деген талдауды көздейді.

  • Бизнес және мемлекеттік органдар үшін иесіздендірілген деректермен жұмыс істеу жөнінде ұсынымдар әзірлеу

Құрылған уәкілетті органға жүгіне отырып, оған GDPR «алтын» стандарты негізінде Еуропалық реттеушілердің прогрессивті құқықтық шешімдерін пайдалана отырып, иесіздендірілген деректермен жұмыс істеу үшін бизнес пен мемлекеттік органдарға ұсынымдар әзірлеуді ұсынған жөн.

Деректердің бірнеше бөліктері арасында корреляцияны орнату арқылы жеке тұлғаны анықтау мүмкін болған кезде, бұл әдістің тиімділігі күмән тудырады. Жеке деректер мәселелері жөніндегі Еуропалық жұмыс тобы егер анонимді деректер қайтымды болса, яғни бастапқы күйіне қайтарылуы мүмкін болса, онда олар адамды жанама түрде анықтай алатын ақпарат санатына жатады, сондықтан жеке деректер болып табылады деген қорытындыға келді. Деректерді анонимизациялаудың қандай әдісі қолданылғаны маңызды емес. Кез-келген идентификатор немесе тұлғаның бірегей сапасы туралы кез-келген ақпарат (мысалы, сүйікті мейрамханаларға бару туралы ақпарат) әр түрлі мәліметтер базасында осы адамды «тануға» негіз бола алады. Деанонимизация (иесіздендіру) тәуекелі едәуір дәрежеде әлеуметтік желілердің және адамдар өздері туралы айтарлықтай ақпарат қалдыратын өзге де веб-сайттардың пайда болуымен байланысты өсті (online сәйкестендіргіштерге e-mail, IP және MAC мекенжайларын және т.б. жатқызуға болады). Сонымен қатар, әртүрлі есептеу қуаттарымен қамтамасыз етілген осындай деректерді иісіздендірудің технологиялық мүмкіндіктері де алаңдаушылық тудырады.

Азаматтардың құпиялылығын қорғау үшін қосымша техникалық және құқықтық талаптарсыз деректерді иесіздендіру бұдан былай дербес деректерді қорғаудың тиімді құралы функциясын орындай алмайды және тұтастай алғанда жеке өмірге қол сұғылмаушылықтың кепілі бола алмайды.

  • Дербес деректерге қол жеткізуді бақылаудың мемлекеттік сервисінің технологиялық архитектурасын құрудың орталықтандырылмаған моделін заңнамалық тұрғыдан көздеу

«Дербес деректерге қол жеткізуді бақылаудың мемлекеттік сервисі» технологиялық архитектурасының орталықсыздандырылған моделін құру бойынша қазіргі заманғы технологияларды пайдаланудың арқасында азаматтардың дербес деректері санкцияланбаған қол жеткізуден неғұрлым тиімді қорғалатын болады, ал сенімді резервке қою олардың жоғалуының алдын алады.

Руслан Дайырбеков

Eurasian Digital Foundation негізін қалаушы, Digital Rights Center Kazakhstan директоры, Data Privacy Professional (GDPR DPP) цифрлы құқықтар жөніндегі Сарапшылар тобының мүшесі