Мазмұны
Кіріспе
Қазақстанда дербес деректерді жинау, сақтау, өңдеу және беру жөніндегі құқықтық қатынастардың проблематикасы өзекті бола түсуде. Дербес деректер туралы заңнама бірқатар бейіндік заңдардан, ведомстволық бұйрықтар массасынан және өзге де нормативтік құқықтық актілерден тұрады.
Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігі (ЦДИАӨМ) жыл сайын дерлік жауапкершілікті қатаңдатуға, сондай-ақ дербес деректермен жұмыс істеу кезінде азаматтық сектор және бизнес құрылымдар өкілдерінің міндеттерінің көлемін едәуір арттыруға арналған заңнамалық бастамалармен сөз сөйлейді.
Дербес деректер туралы заңнаманы бұзғаны үшін жауапкершілік
Дербес деректер туралы заңнаманы бұзғаны үшін азаматтық заңнама шеңберінде материалдық және моральдық залалды өтеу туралы айтпағанда, әкімшілік, ал кейбір жағдайларда қылмыстық жауапкершілік көзделген.
Әкімшілік және қылмыстық жауапкершілік негізінен айыппұлдармен байланысты, олар кейбір жағдайларда коммерциялық емес ұйымдар мен шағын бизнес өкілдері үшін мүлдем бұзылатын жағдай қатарларында болады.
Қазақстан Республикасының әкімшілік құқық бұзушылық туралы Кодексінің 79-бабы (дербес деректер және оларды қорғау туралы заңнаманы бұзу) бұзушылық дәрежесіне байланысты айыппұл түріндегі санкцияны және одан кейінгі салдарларды 20-дан 500 айлық есептік көрсеткішке дейін көздейді, бұл тиісінше 69 000 теңгені немесе 1 725 000 теңгені құрайды.
Өз кезегінде Қазақстан Республикасының Қылмыстық кодексінде 3 000-ға дейін немесе 5 000 айлық есептік көрсеткішке дейін, сондай-ақ 3 жылға дейінгі мерзімде шектеу немесе тіпті бас бостандығынан айыру түріндегі аса әсерлі айыппұлды көздейтін 147-бап (жеке өмірге қол сұғылмаушылықты және Қазақстан Республикасының дербес деректер және оларды қорғау туралы заңнамасын бұзу) қамтылған. Цифрлық түрде айыппұл тиісінше 10 350 000 теңге және 17 250 000 теңгеге сәйкес келеді.
Жалпы, мемлекет мемлекеттік емес акторлар жүргізетін дербес деректермен жұмысты бақылауға ниетті. Мемлекеттің өзі азаматтардың дербес деректерінің бірінші және ең белсенді (жинау саны мен жиілігі тұрғысынан) операторы екенін түсіну маңызды.
Тәжірибе көрсеткендей, кейбір мемлекеттік органдар азаматтардың жеке деректерімен манипуляцияның барлық спектріне қатысты заңнамалық реттелген процедураларға үстірт қарайды.
Сайлау учаскелерімен дербес деректерді жинау
Елдегі сайлау циклдары кезінде Орталық сайлау комиссиясы басқаратын сайлау комиссияларының иерархиясының толық көлемінде таратылатын құқық қолдану практикасы бұған айқын мысал бола алады.
2022 жылғы 20 қарашада өткен Қазақстан Республикасы Президентінің кезектен тыс сайлауы кезеңінде «Еркіндік қанаты» ҚҚ байқаушылары учаскелік сайлау комиссияларының аумағында болып жатқан мынадай мән-жайларға назар аударды:
- тіркеу кезінде бақылаушылардан «Қазақстан Республикасындағы Сайлау туралы» Конституциялық заңның 20-1-бабының 1-тармағында тікелей бекітілген бақылаушы куәлігінен басқа, қандай да бір заңнамалық регламенттелген себепсіз немесе бақылаушылардың алдын ала келісімінсіз учаскелік сайлау комиссияларының өкілдері көшірген не сканерлеген жеке куәліктер де сұралды;
- «Еркіндік қанаты» ҚҚ байқаушыларының кейбір байқаушылары мен үйлестірушілерінің жеке куәліктері сайлау комиссиялары мен байқаушылардың кейбір чаттары бойынша мессенджерлердегі бірқатар басқа ұйымдардан берілді.
Бұл Қазақстан Республикасының бүкіл аумағындағы барлық сайлау учаскелерінде болды. Осындай жағдай 2023 жылғы 19 наурызда өткен Қазақстан Республикасы Парламенті Мәжілісі мен мәслихаттары депутаттарының кезектен тыс сайлауында орын алды.
Өз кезегінде, бақылаушының жеке басын растаудың заңнамалық шеңбері және соңғысының дербес деректерімен танысу «Қазақстан Республикасындағы сайлау туралы» Қазақстан Республикасы Конституциялық Заңының (бұдан әрі – сайлау туралы Заң) 20-1-бабының 1-тармағында регламенттелген және теорияда мынадай болуға тиіс.
«Байқаушының өкілеттігі оның тегі, аты, әкесінің аты көрсетіле отырып, жазбаша нысанда куәландырылуға тиіс... Бұл құжат байқаушыны жіберген ұйымның мөрімен куәландырылады және байқаушының жеке басын куәландыратын құжатты көрсеткен кезде жарамды болады. Құжаттар сайлау комиссиясының төрағасына не оны алмастыратын адамға ол туралы деректерді есепке алу журналына енгізу жолымен байқаушыны тіркеу үшін ұсынылады».
Құжаттар (оның ішінде жеке куәлік) журналға деректерді енгізу үшін ұсынылатынына және ксерокөшірме/сканерлеуге байланысты манипуляциялар жасау үшін берілмейтініне ерекше назар аудару керек.
Осылайша, жеке куәліктерді ксерокөшіру/сканерлеу түріндегі бақылаушылардың дербес деректері сайлау туралы Заңда белгіленіп көзделген рәсімнен тыс жиналды.
Бұл ретте «Дербес деректер және оларды қорғау туралы» Қазақстан Республикасы Заңының (бұдан әрі – Заң) 8-бабының 1-тармағы Дербес деректер субъектісі (нақты жағдайда бақылаушы) дербес деректерді жинауға, өңдеуге жазбаша түрде не келісімді алғанын растауға мүмкіндік беретін өзге де тәсілмен келісім береді (кері қайтарып алады) деп болжайды.
Бұл жағдайда учаскелік сайлау комиссиялары тарапынан бақылаушылардан жазбаша да, келісімнің өзге де нысаны да жиналмады. Соған қарамастан, Заңның 9-бабы субъектінің келісімінсіз дербес деректерді жинау, өңдеу жағдайларын реттейді.
Алайда, жоғарыда аталған бапты мұқият зерделеген кезде Орталық сайлау комиссиясының не өзге сайлау комиссияларының дербес деректерді жинауды, өңдеуді жүзеге асыруға құқығы бар екендігі туралы ақпарат қамтылмайды.
Сонымен қатар, Президенттің 1996 жылғы 11 қарашадағы № 3205 Жарлығымен бекітілген Орталық сайлау комиссиясы туралы ережеде (бұдан әрі – Ереже) бақылаушылардың дербес деректерін жинау және өңдеу қажеттілігі туралы, тұтастай алғанда да, соңғысының келісімінсіз де ешқандай нұсқаулар жоқ.
Орталық сайлау комиссиясының ресми сайты әзірленген құпиялылық саясаты туралы ақпаратты немесе азаматтардың дербес деректерімен жұмысты тікелей немесе жанама реттейтін өзге де құжаттарды қамтымайды.
Өз кезегінде, ереже Орталық сайлау комиссиясының ұлттық деңгейдегі сайлауды ұйымдастыру және дайындау, сондай-ақ құқық қолдану практикасының заңдылығы мен біркелкілігін сақтауды қамтамасыз ету жауапкершілігін реттейді.
Жоғарыда айтылғандардың барлығын ескере отырып, келесі қорытындылар жасауға болады:
- учаскелік сайлау комиссияларының бақылаушылардың дербес деректерін жинау және өңдеу рәсіміне Орталық сайлау комиссиясы санкция берді;
- Қазақстандықтардың жүздеген, мүмкін мыңдаған ксерокөшірмелері/сканерленген жеке куәліктері, олар мақсатсыз пайдаланылуы мүмкін, сақталуы және қандай да бір бақылаусыз немесе шектеусіз үшінші тұлғаларға берілуі мүмкін.
ОСК-мен байланыс
2023 жылғы 4 сәуірде «Еркіндік қанаты» ҚҚ елдегі сайлауды бақылаушылардың дербес деректерін жинауға, сақтауға, өңдеуге және беруге байланысты жағдайды түсіндіру үшін Орталық сайлау комиссиясына жүгінді:
- Учаскелік сайлау комиссияларының өкілдері тарапынан бақылаушылардың қандай мақсатта деректерді және/немесе жеке куәліктердің көшірмелерін жинайтынын көрсетіңіз?
- ҚР ОСК тарапынан ҚР АСК-не немесе ҚР жекелеген ҚАК-не сәйкес келетін сайлау процесіне қатысушылардың, оның ішінде сайлауды бақылаушылардың дербес деректерін жинауға, өңдеуге және сақтауға байланысты нұсқаулықтар, қағидалар немесе өзге де құжаттар әзірленді ме?
- ҚР ОСК, ҚР АСК немесе ҚР жекелеген ҚАК тарапынан сайлау процесіне қатысушылардың, оның ішінде сайлауды бақылаушылардың дербес деректерін жинау, өңдеу және сақтау процесі қалай жүзеге асырылады?
- ҚР ОСК, ҚР АСК немесе ҚР жекелеген ҚАК тарапынан сайлауды бақылаушыларды қоса алғанда, сайлау процесіне қатысушылардың бұрын алынған дербес деректерін жою процесі қалай жүзеге асырылады?
- ҚР ОСК, ҚР тиісті АСК немесе ҚР жекелеген ҚАК сайлау процесіне қатысушылардың, оның ішінде сайлауды бақылаушылардың үшінші тұлғалардан жиналған дербес деректерін беруге және/немесе пайдалануға жол бермеуге кепілдіктерді қалай қамтамасыз етеді?
- ҚР ОСК-да дербес деректерді жинау сақтау, өңдеу және беру бойынша әзірленген саясат бар ма?
Бұған Орталық сайлау комиссиясы қойылған сұрақтарға мәні бойынша жауап бермейтін, бірақ мынадай тезистерді қамтитын 2023 жылғы 11 сәуірдегі № СТ-2023-00556297 жауап дайындады:
- «Дербес деректер және оларды қорғау туралы» Қазақстан Республикасы Заңының 24-бабының 2-тармағына сәйкес субъект беруге міндетті (бірақ одан әрі көшіру және сақтау үшін ұсынбауға және бермеуге, автордың еск.) Қазақстан Республикасының заңдарында белгіленген жағдайларда өзінің дербес деректері;
- Орталық сайлау комиссиясы жүзеге асырылатын міндеттерді орындау үшін қажетті және жеткілікті дербес деректердің тізбесін (2014 жылғы 7 сәуірдегі № 7/230 Қаулы) (бұдан әрі – тізбе) бекітті;
- Орталық сайлау комиссиясының 2014 жылғы 14 шілдедегі № 11/236 қаулысымен бекітілген сайлау құжаттарын сақтау қағидаларының 5-тармағына сәйкес бақылаушыларды тіркеу журналы белгіленген мерзім өткеннен кейін сақтауға жатпайтын құжат ретінде жойылады.
Орталық сайлау комиссиясының жауабын ескере отырып, келесі қорытындылар жасауға болады:
- шынында да, Заңының 25-бабының 2-тармағының 1-тармақшасына сәйкес.«Меншік иесі және (немесе) оператор: егер Қазақстан Республикасының заңдарында өзгеше көзделмесе, олар жүзеге асыратын міндеттерді орындау үшін қажетті және жеткілікті дербес деректердің тізбесін бекітуге міндетті». Бұл жағдай 17 дербес деректердің тізбесін белгілейтін Қаулыда көрсетілген (оған жеке басты куәландыратын деректер де кіреді, бірақ жеке куәліктің өзі емес. автор еск.) өз міндеттерін орындау үшін жеткілікті;
- Қағидалардың 5-тармағында «Белгіленген мерзім өткеннен кейін сақтауға жатпайтын құжаттар осы Қағидаларға қосымшаға сәйкес нысан бойынша жойылады» делінген. Өз кезегінде, Ережелерде жеке куәліктерді сақтау қажеттілігі туралы ақпарат жоқ.
Сонымен қатар, қаулының өзі «Меншік иесінің және (немесе) оператордың өздері жүзеге асыратын міндеттерді орындау үшін қажетті және жеткілікті дербес деректер тізбесін айқындау қағидаларын бекіту туралы» Қазақстан Республикасы үкіметінің 2013 жылғы 12 қарашадағы қаулысына қайшы келеді.
2013 жылғы осы қаулы дербес деректер базасының меншік иесі немесе операторы жүзеге асырылатын міндеттерді орындау үшін қажетті және жеткілікті, мынадай элементтерден тұратын дербес деректер тізбесін бекітуге тиіс екенін белгілейді:
- нөмірі;
- міндеттердің, оның ішінде функциялардың, өкілеттіктердің, міндеттердің атауы;
- жүзеге асырылатын міндет шеңберінде жинау және өңдеу мақсаттары;
- белгілі бір мақсат үшін дербес деректердің атауы;
- меншік иесі және (немесе) оператор жүзеге асыратын міндеттерге тікелей нұсқаулары бар құжаттарға немесе нормативтік құқықтық актілерге нұсқау.
Өз кезегінде, 2014 жылғы № 11/236 Қаулыда қандай да бір нақтылықсыз дербес деректердің атауын анықтауға байланысты бір бөлігі ғана бар, бұл, әрине, Орталық сайлау комиссиясы тарапынан жіберіп алу болып табылады және көріп отырғанымыздай, сайлау учаскелерінде байқаушылардың дербес деректерін ерікті түрде жинауға және одан әрі пайдалануға әкеледі.
Оператор өз жұмысына қажетті дербес деректердің тізбесін бекітуге міндетті болғанына қарамастан, Заңның 25-бабы 2-тармағының 3 пен 1-1 тармақшасы оператордың дербес деректерді жинауға, өңдеуге және қорғауға қатысты саясатын айқындайтын құжаттарды бекітуге, сондай-ақ Қазақстан Республикасының дербес деректер және оларды қорғау туралы заңнамасын сақтауға операторды міндеттейді.
Қорытынды
Жоғарыда айтылғандардың бәріне сүйене отырып, дауыс беру күні жеке бақылаушыларды жинауға байланысты сайлау учаскелеріндегі жағдай келесі формуладан туындауы керек еді:
Осы тізбекте жеке басын куәландыратын құжаттарды сканерлеуді қолданбай:
Осылайша:
- Орталық сайлау комиссиясы да, төмен тұрған комиссиялар да субъектінің келісімінсіз дербес деректерді жинай алатын мемлекеттік органдар арасынан операторлар тізбесіне кірмейді;
- ксерокөшіру/сканерлеу процедурасы арқылы бақылаушылардың жеке куәліктерін жинау заңсыз болып табылады.
Қорытындылай келе, дербес деректер туралы заңнаманың сақталуына жауапты уәкілетті мемлекеттік органдар жоғарыда айтылған жағдайға назар аударуы керек, ал Орталық сайлау комиссиясы өзінің нормативтік құқықтық актілерін де, құқық қолдану тәжіребиесін де дербес деректер туралы заңнамаға толық сәйкес келтіріп, бақылаушылардың дербес деректерін заңсыз жинауға жол бермеуі керек.