Қазақстан заңнамасының соңғы өзгерістеріндегі деректерді басқару

Деректерді басқару туралы

2022 жылғы 14 шілдеде «Қазақстан Республикасының кейбір заңнамалық актілеріне инновацияларды ынталандыру, цифрландыруды, ақпараттық қауіпсіздікті және білім беруді дамыту мәселелері бойынша өзгерістер мен толықтырулар енгізу туралы» Қазақстан Республикасының № 141-VII ҚРЗ Заңы қабылданды. Сонымен қатар, жоғарыда аталған заң мемлекеттік органдардың мемлекеттік ақпараттық ресурстардың деректеріне қол жеткізуін оңайлату саласындағы құқықтық қатынастарды реттеуге, сондай-ақ деректерді басқару саласындағы уәкілетті органды енгізуге бағытталған.

ҚР цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрі Бағдат Мусин Бірінші несиелік бюро (БНБ) өткізген конференцияда сөйлеген сөзінде деректер тақырыбы Қазақстан үшін, әсіресе цифрлық экономиканың даму дәуірінде маңызды екенін атап өтті.

«Цифрлық даму министрлігі ретінде уәкілетті орган ретінде біз бүгін деректерді басқару, дербес деректерді қорғау және т. б. мәселесіне басымдық бердік. Біз осы саладағы реттеу деректерін басқарудың маңыздылығын түсінеміз. Біздің міндетіміз-деректерді басқару процесін түсінікті, ашық және тиімді ету», – деді министр.
Фото: Бірінші Несиелік Бюро, 2022 жылғы 2 қыркүйек, дереккөз el.kz

Бұдан басқа, деректерді басқару процесі Қазақстан Республикасы Үкіметінің 2021 жылғы 30 желтоқсандағы № 961 қаулысымен бекітілген «Ақпараттық коммуникациялық технологиялар мен цифрлық саланы дамыту тұжырымдамасында» бекітілген, онда басқалармен қатар аталғаны: «Қазіргі уақытта мемлекеттік органдар деректердің орасан зор массивтерін жинақтады. Бұл ретте ел экономикасы үшін маңызды салаларда өзекті ақпаратты үздіксіз есепке алу әлі жолға қойылған жоқ. Деректерді басқарудың дамыған орталықтандырылған жүйесінің болмауына байланысты МО-ның жедел және стратегиялық шешімдерін сапалы қабылдау үшін бытыраңқылық немесе қажетті ақпараттың болмауы тәуекелдері туындайды. Мемлекеттік органдар өздерінің өмірлік циклі бойына өз деректерін қалай басқаруы керек, яғни оларды қалай жинау, сақтау, өңдеу, жаңарту және қорғау туралы нақты анықталған саясат жоқ. Сондай-ақ мемлекеттік органдарда нақты анықталған деректер иелері және олардың деректердің сапасы мен қорғалуын қамтамасыз ету жөніндегі міндеттері жоқ».

Деректерді тиімді және заңды басқарудың шекараларын заңнамалық тұрғыдан бекіту-бұл мемлекеттік және жеке секторлардың құқықтары мен заңды мүдделеріне әсер ететін күрделі мәселе. Қазақстан Республикасының деректерді басқару және реттеу туралы заңнамасын дамыту елдің цифрлық трансформациясы процесінде маңызды кезең болып табылатынын атап өткен жөн.

Алайда цифрлық экономиканы дамыту және мемлекеттік аппаратты цифрландыру, тіпті барлық жақсы мақсаттарда да адам құқықтары мен бостандықтарын қорғаудан бас тартуға әкеп соқтырмауға тиіс. Қазіргі уақытта жүргізіліп жатқан және ұсынылып отырған кез келген бизнес – және мемлекеттік тәжірибелер саясат пен технологиялардың жеке өмірге қол сұғылмаушылық мәселесінде тәуекелдерді жеңілдетуді қалай қамтамасыз ететіні туралы ақпаратты қарау және ұсыну мүмкіндігі болуы үшін олардың жеке өмірге қол сұғылмаушылық үшін салдарына бағалау жүргізуді көздеуге тиіс.

Заң не дейді

«Қазақстан Республикасының кейбір заңнамалық актілеріне инновацияларды ынталандыру, цифрландыруды, ақпараттық қауіпсіздік пен білім беруді дамыту мәселелері бойынша өзгерістер мен толықтырулар енгізу туралы» Қазақстан Республикасының № 141-VII ҚРЗ заңын талдай отырып, біріншіден, деректерді басқару саласындағы жаңа ұғымдардың заңнамалық бекітілуін атап өткен жөн.

Мәселен, Қазақстан Республикасының 2015 жылғы 29 қазандағы Кәсіпкерлік Кодексі мынадай мазмұндағы терминдермен толықтырылды:

  • деректер – өңдеуге жарамды ресімделген түрдегі ақпарат;
  • деректерді басқару жөніндегі уәкілетті орган – деректерді басқару жөніндегі басшылықты және салааралық үйлестіруді жүзеге асыратын орталық атқарушы орган;
  • цифрлық трансформация – цифрлық технологияларды енгізуді, реинжинирингті және деректерді пайдалануды қамтитын іс-шаралар кешені;
  • деректерді басқару – деректерді анықтау, құру, жинау, жинақтау, сақтау, тарату, жою, қолдау, сондай-ақ олардың аналитикасын, сапасын, қол жетімділігін, қорғалуын қамтамасыз ету процесі.

Бұйрықпен «Қазақстан Республикасының кейбір заңнамалық актілеріне инновацияларды ынталандыру, цифрландыруды дамыту, ақпараттық қауіпсіздік және білім беру мәселелері бойынша өзгерістер мен толықтырулар енгізу туралы» 2022 жылғы 14 шілдедегі Қазақстан Республикасының Заңын іске асыру шеңберінде Қазақстан Республикасы Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 2022 жылғы 14 қазандағы № 385/НҚ бұйрығымен Деректерді басқаруға қойылатын талаптар бекітілді.

Жоғарыда көрсетілген талаптар Қазақстан Республикасының Ұлттық Банкі мен оның құрылымына кіретін ұйымдарды қоспағанда, мемлекеттік органдар мен мемлекеттік заңды тұлғалардың өздері жинайтын және өңдейтін барлық деректерге қатысты қолдануы үшін міндетті. Сондай-ақ Қазақстан Республикасының заңнамасымен деректердің жекелеген санаттарын басқаруға уәкілетті тұлғалар.

Деректерді басқару талаптарына сәйкес деректер келесі түрлерге бөлінеді:

Мазмұны бойынша:

1. Метадеректер – деректердің құрылымы мен сипаттамаларын сипаттайтын деректер. Олар өз кезегінде келесі түрлерге бөлінеді:

  • функционалдық метадеректер: деректер сапасын қамтамасыз етуде пайдаланылатын мәліметтерді қоса алғанда, ұйым қызметінің ерекшелігіне тікелей қатысы бар деректердің мазмұны мен жай-күйін сипаттайды.
  • техникалық метадеректер: деректер мен оларды сақтау жүйелерінің техникалық сипаттамаларын сипаттайды.
  • операциялық метадеректер: деректерді өңдеу және оларға қол жеткізуді басқару процестерін сипаттайды (деректер қауіпсіздігін қамтамасыз етуде қолданылатын мәліметтер).

2. Анықтамалық деректер – анықтамалықтардан, халықаралық, ұлттық және салалық жіктеуіштерден алынған деректер, статистикалық деректер;

3. Шебер-деректер – негізгі деректер;

4. Транзакциялық деректер – болашақта өзгермейтін, белгіленген уақыт сәтіне қатысты деректердің өзгеру нәтижесін көрсететін мәліметтер.

Деректерді ұйымдастыру сипаты бойынша:

1. Құрылымдалмаған деректер – бейресми, күрделі немесе өңдеуге жарамсыз деректер;

2. Құрылымдық деректер – өңдеуге жарамды реттелген деректер.

Талаптарға сәйкес құпия ақпаратқа жатқызылған деректерді талдау оларды иесіздендіру шартымен жүзеге асырылатынын ерекше атап өткен жөн.

Деректерді иесіздендіру

Қазіргі уақытта Қазақстан Республикасында дербес деректерді иесіздендіру ақпараттық қауіпсіздікті қамтамасыз етумен қатар, олардың дербес деректері шыққан жағдайда Азаматтарға зиян келтіру тәуекелдерін барынша азайтуға бағытталған ұйымдастырушылық және техникалық сипаттағы шаралардың бірі болып табылады.

Заңнамадағы қаралатын өзгерістерге қайта орала отырып, соңғы уақытқа дейін дербес деректерді иесіздендіруді «электрондық үкіметтің» ақпараттық-коммуникациялық инфрақұрылымының операторы мемлекеттік органдардың функцияларды іске асыру мақсатында деректерді талдауды жүзеге асыру үшін электрондық ақпараттық ресурстарды жинау, өңдеу, сақтау, беру жөніндегі қағидаларға сәйкес жүзеге асырғанын атап өткен жөн. Өзгерістер енгізілгеннен кейін «Дербес деректер және оларды қорғау туралы» 2013 жылғы 21 мамырдағы Қазақстан Республикасы Заңының 17-бабының 2-тармағы деректерді иесіздендіру кезінде деректерді басқару жөніндегі уәкілетті орган бекіткен деректерді басқару жөніндегі талаптарды басшылыққа алуды талап етеді.

Әрі қарай не болмақ

Деректерді басқару жөніндегі жоғарыда көрсетілген талаптармен қорғау мақсатында мемлекеттік органдар Қазақстан Республикасы Үкіметінің 2016 жылғы 20 желтоқсандағы № 832 қаулысымен бекітілген ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптардың және Қазақстан Республикасының заңнамасында белгіленген талаптардың сақталуын қамтамасыз етуге міндетті.

Бұдан басқа, деректерді басқару жөніндегі талаптарға сәйкес ұйымдар деректердің тарап кетуі (жария етілуі), бұрмалануы, жойылуы (жоғалуы) кезінде тәуекелдерді бағалауды және тәуекелдерді өңдеу жөніндегі шараларды жоспарлауды қамтамасыз етуге міндетті. Бұл тарихи норма, өйткені заң шығарушы алғаш рет жеке өмірге қол сұғылмаушылыққа әсерді бағалауды қолдану міндетін бекітті. Құпиялылыққа әсерді бағалау мемлекеттік және коммерциялық ұйымдардағы деректерді басқару үшін қолданылатын «жобаланған құпиялылық» тұжырымдамасының бөлігі болып табылады. Жеке өмірге қол сұғылмаушылыққа әсер етуді бағалау рәсімі ықтимал тәуекелдерді анықтау және осы тәуекелдерді жұмсарту және басқару стратегияларын әзірлеу арқылы жеке өмірге қол сұғылмаушылықтың құқықтық және реттеуші нормаларына сәйкестігін қамтамасыз етеді.

Дербес деректерді қорғау туралы Еуропалық құқыққа ұқсас отандық заң шығарушылар дербес деректерді қорғау жөніндегі Бас регламенттің (General Data Protection Regulation) (GDPR) тәуекелдерді бағалаудың құқықтық тетігін (Data Protection Impact Assessment) (DPIA) енгізу мүмкіндігін де қарастыруы тиіс. Айта кету керек, DPI тәуекелдерін бағалау процедурасы әрдайым қолданылмайды, тек деректерді өңдеу азаматтардың құқықтары мен заңды мүдделерін бұзу қаупі жоғары болған жағдайда ғана қолданылады.

Заңнамаға жоғарыда көрсетілген оң түзетулерге қарамастан, деректерді адал және тиімді басқару үшін қоғамда адамның жеке өміріне қол сұғылмаушылық және дербес деректердің құпиялылығы құқығының сақталуын тәуелсіз бақылаудың заманауи және тиімді құқықтық құралдары болуға тиіс.

Data-Driven Government тұжырымдамасы барлық қатысушыларға түсінікті және ашық болуы керек. Деректерді бұзу, иесіздендірілген деректерді анонимизациялау немесе саяси мақсатта теріс пайдалану фактілері болған жағдайда компаниялар мен мемлекеттік органдар беделге нұқсан келтіру, қадағалау органдарынан айыппұлдар және азаматтардың мүліктік талаптары түрінде үлкен шығындарға ұшырауы мүмкін.

Руслан Дайырбеков

Eurasian Digital Foundation негізін қалаушы, Digital Rights Center Kazakhstan директоры, Data Privacy Professional (GDPR DPP) цифрлық құқықтар жөніндегі Сарапшылар тобының мүшесі