Қазақстандағы дербес деректерді қорғау: реттеу механизмі мен қолданылуы

Бұған дейін Factcheck.kz редакциясы дербес деректерді қорғаудың халықаралық стандарттары мен олардың Қазақстанда сақталатын-сақталмайтынын айтқан еді. RDR рейтиңі әдістемесі бойынша зерттеу біршама компаниядағы саясат адам құқықтарын жеткілікті деңгейде басшылыққа алмайтынын көрсетті. Атап айтқанда, дербес деректермен жұмыс істеуде ашықтықтың жоқ екені және талаптардың орындалмайтыны тіркелді. Бұл материалда біз Қазақстанда қандай заңдар дербес деректерге байланысты процестерді реттейтінін, олар іс жүзінде қаншалық қолданылатынын қарастырамыз.

Заңнама актілері

Қазақстан Республикасының Конституциясы азаматтарға жеке өміріне қол сұғылмауына кепілдік береді.

  • Әркімнің жеке өміріне қол сұғылмауына, өзінің және отбасының құпиясы болуына, ар-намысы мен абыройлы атының қорғалуына құқығы бар. 
  • Әркім өзінің жеке салымдары мен жинаған қаражатының, жазысқан хаттарының, телефон арқылы сөйлескен сөздерінің, почта, телеграф арқылы және басқа жолдармен алысқан хабарларының құпиялылығы сақталуына құқығы бар. Бұл құқықты шектеуге заңда тікелей белгіленген реттер мен тәртіп бойынша ғана жол беріледі. 
  • Мемлекеттік органдар, қоғамдық бірлестіктер, лауазымды адамдар және бұқаралық ақпарат құралдары әрбір азаматқа өзінің құқықтары мен мүдделеріне қатысты құжаттармен, шешімдермен және ақпарат көздерімен танысу мүмкіндігін қамтамасыз етуге міндетті.
ҚР Конституциясы, 18-бап

Сондай-ақ Азаматтық кодекстің 126-бабында және Кәсіпкерлік кодексінің 28-бабында да коммерциялық және қызметтік құпияны қорғау туралы ереже бар.

  • Үшiншi жаққа белгiсiз болуына байланысты ақпараттың нақты немесе потенциалды коммерциялық құны болып, онымен заңды негiзде еркiн танысуға болмайтын және ақпаратты иеленушi оның құпиялылығын сақтауға шара қолданатын ретте, қызметтiк немесе коммерциялық құпия ақпарат азаматтық заңдармен қорғалады. 
  • Мұндай ақпаратты заңсыз әдiстермен алған адамдар, сондай-ақ еңбек шартына қарамастан қызметшiлер немесе азаматтық-құқықтық шартқа қарамастан контрагенттер қызметтiк немесе коммерциялық құпияны жария етсе, келтiрiлген залалдың орнын толтыруға мiндеттi.
Азаматтық кодекс, 126-бап

Дербес деректер саласын реттейтін негізгі құқықтық нормативтік акт — «Дербес деректер және оларды қорғау туралы» заң. Бірақ одан бөлек секторлық заңдардың бірталай тізімі де бар:

  •  «Қазақстан Республикасындағы банктер және банк қызметі туралы» Қазақстан Республикасының 1995 жылғы 31 тамыздағы № 2444 Заңы
  • «Сақтандыру қызметі туралы» Қазақстан Республикасының 2000 жылғы 18 желтоқсандағы № 126 Заңы
  • «Онлайн-платформалар және онлайн-жарнама туралы» Қазақстан Республикасының 2023 жылғы 10 шілдедегі № 18-VIII Заңы
  • «Микроқаржы қызметі туралы» Қазақстан Республикасының 2012 жылғы 26 қарашадағы № 56-V Заңы
  • «Халық денсаулығы және денсаулық сақтау жүйесі туралы» 2020 жылғы 7 шілдедегі № 360-VI Кодексі
  • «Байланыс туралы» Қазақстан Республикасының 2004 жылғы 5 шілдедегі № 567 Заңы
  • Қазақстан Республикасының 2015 жылғы 23 қарашадағы № 414-V ҚРЗ Еңбек кодексі
  • «Дактилоскопиялық және геномдық тіркеу туралы» ҚР 2016 жылғы 30 желтоқсандағы Заңы
  • «Жедел-іздестіру қызметі туралы» Қазақстан Республикасының 1994 жылғы 15 қыркүйектегі Заңы
  • «Құқық қорғау қызметі туралы» Қазақстан Республикасының 2011 жылғы 6 қаңтардағы Заңы

Негізгі реттеуші орган — Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігі. Сондықтан бұл салада осы министрліктің бұйрықтары да қолданылады.

Қазақстан Республикасының дербес деректер туралы заңы нені реттейді және кімге қолданылады

«Дербес деректер және оларды қорғау туралы» Заңда дербес деректерге «мәліметтер негізінде айқындалған немесе айқындалатын дербес деректер субъектісіне қатысты, электрондық, қағаз және (немесе) өзге де материалдық жеткізгіште тiркелген cол мәліметтер» деген анықтама берілген. Сонымен қатар биометриялық деректер деген де ұғым бар.

Биометриялық деректер – дербес деректер субъектісінің физиологиялық және биологиялық ерекшелiктерiн сипаттайтын дербес деректер, олардың негізінде осы субъектінің жеке басын анықтауға болады.

«Дербес деректер және оларды қорғау туралы» Заң, 1-бап

Заңның 6-бабына сәйкес, дербес деректер жалпыға бірдей қолжетімді және қолжетімділігі шектеулі болуы мүмкін. Қазақстан заңдарына сәйкес құпиялылықты сақтау талаптары орындалмайтын деректер жалпыға бірдей қолжетімді санатына жатады.

Қол жеткізу шектелген ақпарат – мемлекеттік құпияларға, жеке басының құпиясына, отбасылық, банктік, коммерциялық құпияға, медицина қызметкерінің құпиясына және (немесе) заңмен қорғалатын өзге де құпияларға жатқызылған ақпарат, қолжетімділігі шектеулі дербес деректер, сондай-ақ “Қызмет бабында пайдалану үшін” деген белгісі бар қызметтік ақпарат.

«Ақпаратқа қол жеткізу» туралы Заң, 1-бап, 8-пункт

«Жеке құпия» деген категория көбіне сұрақ туғызады, сондықтан Азаматтық кодекстегі анықтамаға сәйкес, жеке құпияға хат жазысу, телефон арқылы сөйлесу, күнделіктер, естеліктер, жазбалар және т.б. жатады. Аты-жөні, туған жылы мен жері, басқа да осы сияқты деректер «жеке құпияға» жатпайды.

Заңнама актілерінің кешені дербес деректерге қатысты мына әрекеттерге бағытталған:

  • жинау;
  • сақтау;
  • өңдеу;
  • қорландыру;
  • тарату;
  • жою;
  • қолдану;
  • бұғаттау;
  • қорғау.

Көрсетілген субъектілер Қазақстан жерінде дербес деректерді жинап, өңдесе, Заң Қазақстан резиденттеріне де, шетелдік резиденттерге де, заңды тұлғалар, Қазақстанда тіркелген шетелдік заңды тұлғалардың өкілдіктері мен филиалдарына қатысты да қолданылады.

Дербес деректерді жинаудың, өңдеудің және қорғаудың принциптері

Мұның алдындағы жарияланымдарда біз дербес деректерді қорғаудың халықаралық стандарттары туралы, атап айтқанда, деректерді қорғаудың жалпы регламенті GDPR) туралы айтқан едік. Жарлықтың өзін Еуропа Одағы қабылдаған, бірақ ол экстерритория  принципімен жұмыс істейді, яғни, кей сценарилерде ЕО-тан тыс та жұмыс істейді. Бұдан бөлек, бұл азаматтардың дербес деректерін қорғауға бағытталған осыған ұқсас нормативтік ережелердің ішінде басқа мемлекеттерге нұсқаулық және үлгі болып отыр.

Жалпы регламенттің 5-бабында дербес деректермен жұмыс істеудің жеті принципі анықталған:

  • заңдылық, әділдік және ашықтық;  
  • мақсаттардың шектеулігі;
  • деректердің минимал болуы;
  • нақтылық;
  • сақталуды шектеу;
  • тұтастық және құпиялылық;
  • есептілік.

Қазақстан Заңы бес принципті қарастырады және олар жалпылама сипатқа ие. Бұл өз кезегінде субъектілер тарапынан да, меншік иелері мен операторлар тарапынан да оларды түсінуін қиындатуы мүмкін.

Дербес деректердi жинау, өңдеу және қорғау:

  • адамның және азаматтың конституциялық құқықтары мен бостандықтарын сақтау;
  • заңдылық;
  • қолжетімділігі шектеулі дербес деректердің құпиялылығы;
  • субъектілер, меншік иелері және операторлар құқықтарының теңдігі;
  • жеке бастың, қоғамның және мемлекеттің қауіпсіздігін қамтамасыз ету қағидаттарына сәйкес жүзеге асырылады.
«Дербес деректер және оларды қорғау туралы» заң, 5-бап

Көріп отырғанымыздай, белгіленген пункттер GDPR стандарттарынан ерекшеленеді. Атап айтқанда, «есептілік» және «деректерді минимал ету» деген маңызды категориялар жоқ. Заң мәтінінде деректерді жинауды шектеу туралы ереже бар, бірақ бұл пункт құрылымы мен іске асырылуы күмән туғызады.

Дербес деректерді жинақтау меншік иесі және (немесе) оператор, сондай-ақ үшінші тұлға жүзеге асыратын міндеттерді орындау үшін қажет және жеткілікті дербес деректерді жинау арқылы жүргізіледі.

«Дербес деректер және оларды қорғау туралы» заң, 12-бап, 1-пункт

Бұл жерде дербес деректерді жинақтау меншік иесі және (немесе) оператор, сондай-ақ үшінші тұлға жүзеге асыратын міндеттермен» шектелгеніне назар аудару қажет. Ал 2013 жылғы 12 қарашадағы №1214 Үкімет қаулысына сәйкес, міндеттер мен оларды орындау үшін қажетті ақпаратты меншік иесі мен операторлардың өздері анықтайды. Қаулы оларға дербес деректермен қандай әрекеттер жасалатынына және қандай деректер қажет екенін анықтауды міндеттейді. Мұндай жұмыстың жүргізілетіні белгісіз, алайда көбіне операторлар мен меншік иелері минимал ету қағидатын басшылыққа алмайды және тым кең ауқымды ақпаратты сұратады.

Келісім

«Дербес деректер және оларды қорғау» туралы Заңның 7-бабы субъектіден деректерді жинау және өңдеуге келісім алуы қажет екенін көрсетеді. Құжат мазмұны Заңның 8-бабында аталған тізімге сай болуға тиіс.

Дербес деректерді жинауға және өңдеуге келісім мыналарды қамтиды:

  • оператордың атауы (тегі, аты, әкесінің аты (егер ол жеке басты куәландыратын құжатта көрсетілсе), бизнес сәйкестендіру нөмірі (жеке сәйкестендіру нөмірі);
  • субъектінің тегі, аты, әкесінің аты (егер ол жеке басты куәландыратын құжатта көрсетілсе);
  • дербес деректерді жинауға, өңдеуге келісім қолданыста болатын мерзім немесе кезең;
  • оператордың дербес деректерді үшінші тұлғаларға беру мүмкіндігі немесе оның болмауы туралы мәліметтер;
  • дербес деректерді өңдеу процесінде оларды трансшекаралық берудің болуы не болмауы туралы мәліметтер;
  • дербес деректердің жалпыға бірдей қолжетімді көздерде таратылуы туралы мәліметтер;
  • субъектіге байланысты жиналатын деректердің тізбесі;
  • меншік иесі және (немесе) оператор айқындайтын өзге де мәліметтер.
 «Дербес деректер және оларды қорғау туралы» заң, 8-бап, 4-пункт

Бір жағынан, тізім айтарлықтай үлкен, алайда бәрібір GDPR ақпараттылығы туралы талаптарына сай келмейді. GDPR 13-бабының 2-бөлімінде дербес деректерді алу кезінде субъектінің ақпаратқа қол жеткізу, түзету, өшіру, бақылаушы органға шағым беру сияқты құқықтары туралы ақпарат алуы қажет екені айтылған.

Біз бірнеше қазақстандық банк, мобильді оператор мен фитнес-клубтардың ашық дереккөздегі дербес деректерді жинау және өңдеу келісімін қарастырып шығып, операторлар құжатты қайтарып алуға болатынын хабарлайтынын, бірақ GDPR көрсеткен басқа да толық мәлімет назарсыз қалатынын анықтадық.

Жауапкершілік

Дербес деректермен жұмыс кезінде заң бұзушылықтар анықталған жағдайда, Қазақстан заңнамасы кінәлілерді жазалау мүмкіндігін қарастырады. Әкімшілік құқық бұзушылық туралы кодекстің 692-бабына сәйкес, дербес деректерді қорғау саласындағы әкімшілік құқық бұзушылықтар туралы істерді (164, 250, 464, 637-баптың 1, 2, 3, 4, 5, 6, 7, 11, 12, 14, 15-бөліктері және 638-баптың 1-бөлігі) ЦДИАӨМ қарайды. Айыппұлдар мен жазалар Әкімшілік құқық бұзушылық туралы кодекстің 79-бабында және Қылмыстық кодекстің 147-бабында қарастырылған.

Журналист, сценарист. Изучала политическую журналистику.

Factcheck.kz