Дербес деректердің тарап кетуі: әлемдік және қазақстандық аспектілер

Дербес деректердің тарап кету мәселесі

Қазақстанда дербес деректердің таралуы кезінде заңнамада жедел ден қою жөніндегі шаралардың болмауы мәселесі өткір тұр. Бұл шаралар азаматтар үшін зиянның салдарын азайту үшін, сондай-ақ жеке деректердің тарап кетуіне жол берген компаниялардың жауапкершілігін анықтау үшін өте қажет.

Тақырыптың өзектілігіне байланысты 2022 жылғы 27 қазанда АҚШ-тың халықаралық даму агенттігі (USAID) қаржыландыратын «Орталық Азиядағы әлеуметтік инновациялар» бағдарламасы шеңберінде Еуразия Қорының қолдауымен Еуразиялық цифрлық қор ұйымдастырған «Дербес деректердің тарап кетуі: әлемдік және қазақстандық аспектілер» онлайн-талқылауы өткізілді.

Талқылауға «Қазақстандағы дербес деректерді қорғау институтын дамыту» жобасының сарапшылары жүргізген еуропалық GDPR және Грузия заңнамасымен қазақстандық заңнаманы салыстырмалы-құқықтық талдаудың тұсаукесері негіз болды.

Медиа менеджер және продюсер Ержан Сүлейменовтың модераторлығымен өткізілген іс шараға қатысқандар:

  • Екатерина Смышляева, депутат және ҚР Парламенті Мәжілісінің Экономикалық реформа және өңірлік даму комитетінің мүшесі.
  • Асқар Көшкінбаев, «Орталық Азиядағы әлеуметтік инновациялар» (SICA) бағдарламасының зерттеу және адвокаттық сарапшысы, Еуразия Қоры.
  • Руслан Әбдіқалықов, ҚР ЦДИАӨМ ақпараттық қауіпсіздік комитетінің төрағасы.
  • Саркис Дарбинян, киберадвокат, Digital Rights Center заң фирмасының басқарушы серіктесі, Роскомсвобода негізін қалаушы.
  • Данила Бектұрғанов, «Aзаматтық сараптама» ҚҚ директоры.
  • Руслан Дайырбеков, «Eurasian Digital Foundation» ҚҚ негізін қалаушы, «Қазақстандағы дербес деректерді қорғау институтын дамыту» жобасының сарапшысы.
  • Елжан Қабышев, «Digital Paradigm» ҚҚ директоры, «Қазақстандағы дербес деректерді қорғау институтын дамыту» жобасының сарапшысы.

Асқар Көшкімбаев Еуразия Қоры атынан онлайн-пікірталасқа қатысушылар мен көрермендерді құттықтады. Көшкімбаев Дербес деректер қауіпсіздігінің маңыздылығын атап өтті, сондай-ақ салыстырмалы-құқықтық талдау түріндегі зерттеу нәтижелері белгілі бір шешімдерді жоғары деңгейде қабылдаған кезде пайдалы болады деген үмітін білдірді.

Қысқа да нұсқа

Пікірталас спикерлері Қазақстанда және әлемде дербес деректерді қорғау саласында қандай проблемалар бар екендігі туралы маңызды және өзекті ақпарат берді.

Депутаттың дербес деректер туралы айтуы

Екатерина Смышляева деректер қауіпсіздігі саласында жаңа реттеуші саясат құрылып жатқанын және бұл қазіргі уақытта цифрлық технологияларды тарату және қоғамды қарқынды цифрландыру процесінде өзекті болып отырғанын хабарлады.

Ақпараттық қауіпсіздік комитетінің (АҚК) мемлекеттік бақылау функциясы, сондай-ақ осы функционалды кеңейту біртіндеп енгізілуде, өйткені АҚК ақпараттық-коммуникациялық инфрақұрылымның маңызды объектілерін қоса алғанда (АКИМО), 30 000 ақпараттандыру объектілерін мониторингілеу өте қиын.

Депутат сонымен қатар деректердің иесізденуін және бірнеше әмбебап, қауіпсіз нұсқаларды әзірлеу керек екенін атап өтті . Жеке деректерді қорғау ісінде ақпараттық мәдениет пен гигиена үлкен маңызға ие.

АҚК жоспарлары және 2022 жылғы сандар

Руслан Әбдіқалықов дербес деректерді қорғау жөніндегі уәкілетті органның жоспарланған жұмыстарымен бөлісті:

  1. дербес деректерді қорғау саласындағы бұзушылық үшін жауапкершілікті күшейту заңнамасы;
  2. азаматтарды олардың дербес деректерінің тарап кеткені туралы хабардар ету;
  3. дербес деректерді қорғау саласында мемлекеттік бақылауды енгізу;
  4. дербес деректерді қорғау мәселелерінде халықтың сауаттылығын арттыру.

Сондай ақ 2022 жылғы АҚК қызметі бойынша қызықты сандар келтірілді:

  • 12 жоспардан тыс тексеру жүргізілді;
  • 6 әкімшілік іс қаралды;
  • 4 лауазымды тұлға жауапкершілікке тартылды;
  • 9 заңды тұлға жауапкершілікке тартылды;
  • 3 жеке тұлға жауапкершілікке тартылды.

Тарап кетудің ресейлік аспектісі

Саркис Дарбинян Ресейдегі жеке деректердің тарап кету жағдайлары туралы бөлісті. Оның айтуынша, дербес деректер саласындағы заңнаманы өзгертіп қана қоймай, дербес деректері тарап кеткен адамның пайдасына өтемақы өндіріп алуға қатысты сот практикасын да өзгерту керек.

Яндекс.Еда сайтынан тарап кетуде тұтынушының аты-жөні, телефон нөмірлері, жеткізу мекенжайлары және түсініктемелері бар толық деректер болды. Жүктеуге 19.06.2021-04.02.2022 аралығында жасалған тапсырыстар түсті. Мұрағатта барлығы 49 441 507 жол болды. Бірегей нөмірлерді санау келесі нәтижелерді көрсетті: Ресейден (барлық өңірлерден) және Қазақстаннан 6 882 230 телефон нөмірі, Беларусьтен 206 725 нөмір.

Биометрия

Данила Бектұрғанов Қазақстандағы цифрлық биометриялық сәйкестендірудің Ұлттық платформасында биометриялық деректердің тарап кетуінен қорғау шаралары туралы ақпарат берді. Сарапшы күшті және әлсіз жақтарын, сондай-ақ мүмкіндіктер мен қауіптерді атап өтті.

Салыстырмалы-құқықтық талдау

Жауапкершілік және бастамалар

Елжан Қабышев Қазақстан Республикасының Дербес деректер саласындағы заңнамасындағы жауапкершілік туралы салыстырмалы-құқықтық талдаудың бір бөлігін және Грузия заңнамасымен салыстырғанын ұсынды.

Қазақстан Республикасында дербес деректер және оларды қорғау туралы заңнаманы бұзғаны үшін әкімшілік және қылмыстық жауапкершілік көзделген. Қазақстан Республикасының Әкімшілік құқық бұзушылық туралы Кодексінің 79-бабы «Қазақстан Республикасының Дербес деректер және оларды қорғау туралы заңнамасын бұзу», 2013 жылғы 21 мамырдағы N 94-V «Дербес деректер және оларды қорғау туралы» Қазақстан Республикасының Заңын бұзған адамдар тартылуы тиіс жауаптылықты көздейді.

Еуропалық GDPR бойынша айыппұл мөлшері айтарлықтай жоғары. Мәселен, GDPR 84-бабының 4-тармағын бұзғаны үшін айыппұл мөлшері (ақпараттық қауіпсіздік, Risk assessment, Data Breach notification және т.б. онша ауыр емес бұзушылықтар) 10 млн еуроны немесе өткен қаржы жылындағы жоғарлығына байланысты жалпы жылдық әлемдік айналымның 2% - на дейін болуы мүмкін. Осы баптың 5-тармағын бұзғаны үшін айыппұл (өңдеу принциптерін, субъектінің құқықтарын, трансшекаралық беруді бұзу және т.б. елеулі бұзушылықтар) 20 млн еуроға немесе жалпы жылдық әлемдік айналымның 4% - на дейін жетуі мүмкін.

Сондай-ақ, грузин және қазақстандық заңнамалық бастамалардың арасында дербес деректердің таралуы бойынша негізгі айырмашылықтар ұсынылды.

🇬🇪 Грузия заң шығару бастамасында жоспар бойынша:

1. Реттеушіні 72 сағат ішінде хабардар ету;

2. Реттеушіге хабарлама келесіні қамтуы тиіс:

  • оқиғаның мән-жайы, түрі және уақыты;
  • дербес деректердің санаттары мен көлемі, дербес деректер субъектілерінің саны;
  • болжалды залал, қабылданған шаралар;
  • субъектілерді хабардар ету жөніндегі жоспар;
  • байланыс деректері.

3. Дербес деректер субъектілерін хабардар ету

🇰🇿 Өз кезегінде қазақстандық заңнамалық бастамада:

1. Реттеушіні екі жұмыс күні ішінде хабардар ету;

2. Хабарламада мыналар болуы керек:

  • дербес деректердің тарап кету фактісі;
  • дербес деректерді өңдеуді ұйымдастыруға жауапты адамның байланыс деректері.

3. Заң жобасында Дербес деректер субъектілерін хабардар ету болған жоқ.

Қорытынды бөлім

Руслан Дайырбеков өз презентациясында Қазақстандағы дербес деректер институтына және оны қорғаудың халықаралық қағидаттарына тоқталды, сондай-ақ 2020-2022 жылдар аралығында ұлттық заңнамада қандай өзгерістер мен толықтырулар енгізілгеніне қысқаша назар аударды.

2020 жылғы 7 шілдеде «Халық денсаулығы және денсаулық сақтау жүйесі туралы» Кодекс күшіне енді, онда алғаш рет «дербес медициналық деректер» ұғымы қолданылды - бұл электрондық, қағаз немесе өзге де материалдық жеткізгіштерде тіркелген жеке тұлғаның денсаулығы және оған көрсетілген медициналық қызметтер туралы мәліметтерді қамтитын дербес деректер.

«Қазақстан Республикасының кейбір заңнамалық актілеріне цифрлық технологияларды реттеу мәселелері бойынша өзгерістер мен толықтырулар енгізу туралы» Қазақстан Республикасының 2020 жылғы 25 маусымдағы № 347-VI Заңының қабылдануымен ҚРЗ дербес деректерді қорғау саласындағы жаңа уәкілетті мемлекеттік орган-Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігімен ақпараттық қауіпсіздік комитетінің құрамына кіретін дербес деректерді қорғау басқармасы құрылды. Басқарма, аты айтып тұрғандай, дербес деректер субъектілерінің құқықтарын қорғау мәселелерімен айналысады.

Сондай-ақ, жоба сарапшылары құпиялылық саласындағы шақырылған сарапшылар ретінде бірнеше жұмыс кездесулеріне қатысты. 2022 жылғы 22 және 28 сәуірде Парламент Мәжілісінің депутаты Е.В. Смышляеваның төрағалығымен «Қазақстан Республикасының кейбір заңнамалық актілеріне инновацияларды ынталандыру, цифрландыру мен ақпараттық қауіпсіздікті дамыту мәселелері бойынша өзгерістер мен толықтырулар енгізу туралы» заң жобасы бойынша жұмыс тобының отырыстары өтті.

Іс-шара соңында Дайырбеков салыстырмалы-құқықтық талдауда көрсетілген бес ұсынымды және олардың негіздемелерін ұсынды:

№1 ұсыныс. Дербес деректер және оларды қорғау туралы заңнаманың сақталуын мемлекеттік бақылауға өкілеттік беру.

Негіздеме. Дербес деректерді қорғау жөніндегі уәкілетті органның дербес деректерді жинау мен өңдеудің заңдылығы тұрғысынан тексеруге бастамашылық жасау мүмкіндігі жоқ.

№2 ұсыныс. «Дербес деректер және оларды қорғау туралы» заңда «дербес деректердің тарап кетуі»ұғымын айқындау және көздеу.

Негіздеме. Заңнамада көзделген «дербес деректердің тарап кетуі» ұғымы келесі мақсаттар үшін қажет:

  • оператор және (немесе) меншік иесі тарапынан дербес деректердің ағып кетуіне жол берген жағдайда ӘҚБтК және ҚК нормаларын дұрыс қолдану;
  • Дербес деректер субъектісінің дербес деректер тарап кеткен жағдайда материалдық немесе моральдық зиянды өтеуге құқығын іске асыру.

№3 ұсыныс. Дербес деректер тарап кеткен жағдайда заңда реттеушіні хабардар ету тәртібі мен рәсімін көздеу.

Негіздеме. Келесі мақсаттар үшін қажет:

  • дербес деректер субъектілерінің зиянын барынша азайту;
  • реттеуші тарапынан дербес деректер субъектілерін қорғау жөнінде жедел шаралар қабылдау.

№4 ұсыныс. Дербес деректер тарап кеткен жағдайда меншік иелерінің және (немесе) операторлардың реттеушіні хабардар ету жөніндегі міндетін көздеу.

Негіздеме. «Дербес деректер және оларды қорғау туралы» Заңның 25-бабында көзделген оператордың және (немесе) меншік иесінің дербес деректер ағып кеткен жағдайда реттеушіні хабардар ету жөніндегі міндеттемесі. Міндеттемені бұзу заңнамада көзделген жауапкершілікті қамтуға тиіс.

№5 ұсыныс. ​Деректері заңсыз таратылған Дербес деректер субъектілерін хабардар ету тәртібі мен рәсімін заңда көздеу деректері заңсыз таратылған. Дербес деректер субъектілерін хабардар ету туралы меншік иелерінің және (немесе) операторлардың міндетін көздеу.

Негіздеме. «Дербес деректер және оларды қорғау туралы» Заңның 25-бабында көзделген оператордың және (немесе) меншік иесінің дербес деректер субъектілерін хабардар ету жөніндегі міндеттемесі. Міндеттемені бұзу заңнамада көзделген жауапкершілікті қамтуға тиіс.

PDF форматындағы талдау

Дербес деректердің тарап кету кезінде жедел ден қою жөніндегі ұлттық және шетелдік заңнаманың салыстырмалы-құқықтық талдауымен қазақ және орыс тілдеріндегі тіркелген құжаттарда төменнен толық танысуға болады.

Елжан Қабышев

Жоба жетекшісі, заңгер, "Internet Freedom" жобасының құқық қорғаушысы, цифрлық құқықтар жөніндегі Сарапшылар тобының мүшесі, Data Privacy Professional (GDPR DPP)