Мазмұны
Кіріспе
Бұл материалда азаматтардың дербес деректерінің тарап кетуі туралы уәкілетті органды хабардар ету рәсімінің реттеушілік әсерін талдау туралы ақпарат қамтылады.
Қазақстан Республикасы Президентігімен цифрландыруды енгізу мәселелері жөніндегі Комиссия отырысының 2021 жылғы 27 қазандағы № 21-01-7.21 Хаттамасының 1.5.5 – тармағына сәйкес Қазақстан Республикасының цифрлық даму, инновациялар және аэроғарыш өнеркәсібі Министрлігі (бұдан әрі-ҚР ЦДИАӨМ) азаматтардың дербес деректерінің тарап кеткені үшін жауапкершілікті күшейту бойынша заңнамалық өзгерістер енгізу бойынша жұмыстар жүргізуде.
«Қазақстан Республикасының кейбір заңнамалық актілеріне ақпараттық қауіпсіздік мәселелері бойынша өзгерістер мен толықтырулар енгізу туралы» Қазақстан Республикасы Заңының жобасында дербес деректерді қорғауды күшейтуге және мемлекеттік органдарды ақпараттандыру объектілерінің ақпараттық қауіпсіздігін қамтамасыз ету кезінде өзара іс-қимылдың жаңа тетіктерін айқындауға бағытталған Қазақстан Республикасының заңдарына, сондай-ақ мемлекет Басшысының 2022 жылғы 13 сәуірдегі № 872 «Mемлекеттік аппараттың қызметін бюрократиясыздандыру жөніндегі шаралар туралы» Жарлығын орындау үшін әзірленген түзетулер енгізілді.
Заң жобасын әзірлеушілер «Дербес деректер және оларды қорғау туралы» 2013 жылғы 21 мамырдағы N 94-V Қазақстан Республикасы Заңының 25-бабының 2-тармағын мынадай мазмұндағы 3-2) жаңа тармақшамен толықтыруды ұсынады :
«дербес деректер қауіпсіздігінің бұзылуы анықталған сәттен бастап бір жұмыс күні ішінде дербес деректерді өңдеуді ұйымдастыруға жауапты адамның байланыс деректерін көрсете отырып, осы бұзушылық туралы уәкілетті органды хабардар ету».
Өз кезегінде, Қазақстан Республикасының Үкіметі заң жобасын қарап, кәсіпкерлік субъектілеріне қатысты уәкілетті органның дербес деректердің тарап кетуі туралы хабарламасы бойынша норма міндетті сипатта болуы тиіс деген қорытынды шығарғанын атап өткен жөн.
Реттеуші құралды онлайн-талқылау
2023 жылғы 5 қаңтарда Eurasian Digital Foundation негізін қалаушы Руслан Дайырбеков және «Digital Paradigm» ҚҚ директоры Елжан Қабышев азаматтардың дербес деректерінің тарап кетуі туралы уәкілетті органды хабардар ету рәсімінің реттеушілік әсерін талдауды онлайн-талқылауға қатысты.
Іс-шараға ҚР ЦДИАӨМ ақпараттық қауіпсіздік комитеті дербес деректерді қорғау Басқармасының басшысы Қабдеш Әділетханның төрағалығымен түрлі мүдделі тараптардың 60-тан астам өкілдері қатысты. Онлайн-талқылауға қатысушылар арасында Атамекен ҰКП, банк және қаржы ұйымдарының, үкіметтік емес ұйымдар мен сарапшылардың өкілдері болды.
Қабдеш Әділетхан қатысушыларға заң жобасы бойынша Үкімет қорытындысының жобасы барлық мүдделі мемлекеттік органдармен келісілгенін және қазіргі уақытта Президент Әкімшілігінің қарауында жатқанын хабарлады. Сонымен қатар, Басқарма басшысы бұл шара (деректердің таралуы туралы хабарлама) дербес деректерді қамтитын базалардың меншік иелерінің және (немесе) операторларының заңсыз іс-әрекетінің өсуін тежеу, сондай-ақ дербес деректерді қорғау жөнінде шаралар қабылдау үшін тиімді шара болатынын атап өтті, өйткені ҚР-да құқық қолдану практикасының тиісті проблемалардың болуын растайтын талдауды куәландыратын саладағы құқықтық реттеудің тиімсіз қолданыстағы үлгісін көрсетеді.
Руслан Дайырбеков оператор тарапынан дербес деректер тарап кеткен жағдайда уәкілетті органды хабардар ету рәсімін заңнамалық бекіту бастамасын тұжырымдамалық түрде қолдады және заң шығарушылардың назарын GDPR (Еуропалық Одақтың дербес деректерін қорғау жөніндегі жалпы регламент) «Дербес деректердің қауіпсіздігін бұзу туралы қадағалау органының хабарламасы» 33-бабына аударды және жеке деректерді өңдеу бойынша меншік иесі мен оператордың талаптарын бекіту қажеттілігі бөлігінде «дербес деректер қауіпсіздігінің кез келген бұзушылықтарын, оның ішінде олардың мән-жайларын, жағдайды түзету үшін қабылданған салдарлар мен шаралар құжаттау».
Онлайн-талқылауға қатысушылар «дербес деректердің қауіпсіздігін бұзу» анықтамасының ұсынылған редакциясына қатысты алаңдаушылық білдірді, өйткені бизнес субъектілері үшін осы тұжырымдаманы кеңінен анықтауға байланысты тәуекелдер бар — оларды жинауды және өңдеуді жүзеге асыратын дербес деректер операторлары оларға ешқандай қатысы жоқ дербес деректердің тарап кеткені үшін жауапқа тартылуы мүмкін.
Елжан Қабышев GDRP де осы ұғымның анықтамасын мысалға келтірді:
(12) «Дербес деректердің қауіпсіздігін бұзу» — жіберілетін, сақталатын немесе өзге де жолмен өңделетін дербес деректердің кездейсоқ немесе заңсыз жойылуына, жоғалуына, өзгеруіне, рұқсатсыз жария етілуіне немесе оларға рұқсатсыз қол жеткізуге әкелетін қауіпсіздікті бұзу».
Жеке GDPR нұсқаулықтары жеке деректер операторы жеке деректердің қауіпсіздігін бұзу туралы хабарлауы керек жағдайларды егжей-тегжейлі сипаттайды, мысалы: Guidelines on Personal data breach notification under Regulation 2016/679. Алайда, өкінішке орай, жеке деректер мен оларды қорғау туралы қазақстандық заңнаманың ерекшеліктерін ескере отырып, ұсынылып отырған толық түсіндіру кәсіпкерлік қызметке кері әсер етуі мүмкін.
Хабарлама-бұл заңнаманы бұзудың салдарын барынша азайтуға, дербес деректер субъектілерін тарап кету туралы тиісті түрде хабардар етуге, сондай-ақ операторларға дербес деректермен ұқыпты жұмыс істеу және оларды сақтау қауіпсіздігі үшін жауапкершілікті меңгеруге мүмкіндік беретін маңызды рәсім.
Дербес деректер субъектілерін дербес деректердің қауіпсіздігін бұзу туралы хабардар ету
Бүгінгі таңда елімізде ОСК, Яндекс.Еда, Қазпошта, "Спортмастер" компаниялары сияқты және т. б. дербес деректерді жинауды және өңдеуді жүзеге асыратын көптеген меншік иелері мен операторлардың дерекқорының тарап кету жағдайлары анықталды.
Деректердің, оның ішінде дербес деректердің үлкен көлемінің жинақталуына байланысты меншік иелерінде және (немесе) операторларда қандай да бір мән-жайлар (танылмаған адамдар тарапынан бұзушылық, адами фактор және т.б.) бойынша олардың тарап кету тәуекелдері туындайды.
Тарап кетудің салдары өте ауыр және шамалы болуы мүмкін. Алайда, жеке деректердің бұзылуы, ең алдымен, осы деректердің субъектісіне тікелей зиян келтіретінін түсіну керек.
«Қазақстан Республикасының кейбір заңнамалық актілеріне ақпараттық қауіпсіздік мәселелері бойынша өзгерістер мен толықтырулар енгізу туралы» Қазақстан Республикасы Заңының жоғарыда көрсетілген жобасымен «Ақпараттандыру туралы» Қазақстан Республикасының 2015 жылғы 24 қарашадағы № 418-V ҚРЗ Заңының 13-бабын мынадай мазмұндағы 13-1) тармақшамен толықтыру көзделеді:
«Дербес деректерді қорғау саласындағы уәкілетті органнан алынған ақпарат негізінде дербес деректер субъектілерін дербес деректердің қауіпсіздігін бұзу туралы бұл жайлы ақпаратты «электрондық үкімет» веб-порталындағы пайдаланушының кабинетіне жіберу арқылы хабардар етуді жүзеге асырады.
«Электрондық үкіметтің» ақпараттық-коммуникациялық инфрақұрылымының операторы – «Ұлттық ақпараттық технологиялар» акционерлік қоғамы – субъектілерді олардың дербес деректерінің тарап кеткені туралы хабардар етуге уәкілетті болады. Осылайша, дербес деректерді қорғау күшейтіледі және мемлекеттік органдарды ақпараттандыру объектілерінің ақпараттық қауіпсіздігін қамтамасыз ету кезінде өзара іс-қимылдың жаңа тетіктері айқындалады.