Factcheck.kz редакциясы бұған дейін жеке деректердің тарау кейстерін талдап, мұның салдары қандай болуы мүмкін екенін жазды. Бұл алдымен жеке дерек иелерінің құпиялық құқықтарын бұзып, оның банктік ақпараттарына қауіп төндіреді — адамдар алаяқтық схеманың құрбаны болуы мүмкін. Сонымен қатар мұндай жағдай деректің тарауына себепші болған компанияларға да заң тұрғысынан айтарлықтай мәселе тудырады (1, 2).
Бұл материалда біз жеке деректерді қорғауға қатысты халықаралық стандарттарды талдап, оның қандай талаптары мен ерекшеліктері барын айтып береміз.
Халықаралық құжаттар мен акттер
Бүгінде цифрлық құқық пен жеке деректерді қорғау адамдардың фундаментал құқықтарының бөлігіне айналды. 2013 жылы БҰҰ Бас Ассамблеясы барлық елді осы құқықты бұзатын әрекеттерді тоқтату үшін әрекет етуге шақырып, жеке өмірге қол сұқпау құқығын қолдайтын консенсус резолюциясын қабылдады. Құжатта алғаш рет адамдардың шынайы өмірдегі құқықтары қалай қорғалса, желіде де дәл солай қорғалуы керек екені айтылған.
Еуропа Кеңесінің жеке деректерді автоматты түрде өңдеуге қатысты жеке тұлғаларды қорғау туралы конвенциясы
1981 жылы 28 қаңтарында, Страсбургте жеке деректерді қорғауға бағытталған алғашқы міндетті халықаралық шарт – Жеке деректерді автоматты түрде өңдеуге қатысты жеке тұлғаларды қорғау туралы Еуропа Кеңесінің Конвенциясы қол қоюға дайын болды.
Конвенцияны ратификациялаған мемлекеттер ел заңнамасында деректерді қорғаудың негізгі қағидаттарын орындалуын қамтамасыз ету үшін қажетті шараларды қабылдауа міндеттеледі. Конвенция “жеке деректер”, “автоматтандырылған деректер базасы”, “автоматтандырылған өңдеу” секілді түсініктерді енгізіп, жеке тұлғалардың деректерін қорғауға бағытталған-ды. Конвенцияның 5-бабында сақтайтын деректердің сапасы туралы талаптар жазылса (мысалы, жеке деректер адекватты, қажетті іске ғана қатысты әрі шамадан тыс емес), 6-бапта егер елдің заңнамасы тиісті кепілдіктер бермесе, нәсілге, саяси көзқарастарға я болмаса діни не басқа нанымдарға қатысты, сондай-ақ денсаулыққа немесе секс өмірі туралы жеке деректер автоматты өңделмеуге тиіс деген талаптар бар. Конвенцияға қосылған мемлекеттер жеке деректердің қауіпсіздігін қамтамасыз етіп, тарап кетуінің алдын алу үшін тиісті шаралар қабылдауы керек.
Қызығы, әрбір тұлғаның автоматтандырылған дербес деректер базасының бар екенін, оның негізгі мақсаттарын, сондай-ақ дерекқор контроллерінің атауы мен орналасқан жерін білу құқығы осы 43 жыл бұрынғы құжатта жазылған.
Конвенцияға тек Еуропа Кеңесінің мүшелері ғана емес, басқа елдер де қосыла алады. 2021 жылғы дерекке сай, оған төрт континенттен 55 мемлекет қатысады және оның жұмысына тағы 20 мемлекет араласады. Конвенция Еуропалық Одақтың деректерді қорғау жөніндегі бірінші директивасына мұрындық болды.
Деректерді қорғаудың жалпы ережесі (GDPR)
Жеке деректерді өңдеудің құпиялылығы қағидатын белгілейтін Конвенцияның ережелері дами келе, 1995 жылы Еуропа парламенті мен Еуропа кеңесінің директивасы қабылданады. Ол құпиялылық пен деректер қауіпсіздігінің ең төменгі стандарттарын белгіледі, әрбір мүше мемлекеттің заңы осы директиваға қарап бой түзейтін. Бірақ бұл келісім 2018 жылы күшін жойып, оның орнын Деректерді қорғаудың жалпы ережесі (GDPR) басты.
GDPR — 2018 жылы 25 мамырда күшіне енген құпиялылыққа қатысты әлемдегі ең қатаң қауіпсіздік заңы. Оны Еуроодақ әзірлеп, қабылдаса да, ол ЕО-дағы адамдарға қатысты деректерді жинайтын кез келген елдегі ұйымға міндеттеледі.
GDPR-дың негізгі мақсаты — ЕО азаматтары мен тұрғындарына тиесілі деректерді қорғау. Сондықтан заң мұндай деректерді өңдейтін ұйымдарға, олар ЕО аумағында орналаспаса да қолданылады, яғни «экстратерриториялық әсер» негізінде ықпал етеді. GDPR-дың 3-бабында келесі мәтінді оқуға болады:
1. Бұл Қағида дербес деректер Одақ аумағында өңделсе де, өңделмесе де, Одақтағы бақылаушы немесе өңдеуші ұйымның қызметі аясында қолданылады.
Яғни, қазақстандық компанияның Еуроодақтан клиенттері болса, ол GDPR талаптарын орындауы керек. Я болмаса қазақстандық компания cookie файлдарын не ЕО аумағынан сайтқа кіретін адамдардың IP мекенжайларын қадағалауға мүмкіндік беретін уеб-құралдар пайдаланса — GDPR талаптарына бағынуы қажет. Дегенмен іс жүзінде бұл ереженің қаншалықты қатаң қолданылатыны белгісіз.
GDPR талаптарын орындамаған компанияға қомақты айыппұл салынады. Қызығы, ережеде талаптарды бұзу ауырлығы жағынан екіге бөліп қарастырылады: айтарлықтай ауыр және айтарлықтай жеңіл.
Ережені жеңіл бұзуға деректерді жинайтын және бақылайтын ұйымдардың деректерді дұрыс қорғамауы; ұйымдарды сертификаттауға жауапты аккредиттелген органдардың бағалауы бейтарап болмауы; уәкілетті органдар шағымдар мен заң бұзушылықтар туралы мәлімдемелерді бейтарап және тәуелсіз қарастырмау жатады.
Жеңіл бұзулар болған жағдайда 10 миллион еуроға дейін не жылдық дүниежүзілік кірісінің 2%-і мөлшерінде айыппұл салынады (қайсысы сома көп болса сол салынады).
Айтарлықтай ауыр ереже бұзу деп, деректерлі өңдеудің негізгі принциптерін бұзуды; келісім талаптарын бұзуды; жеке тұлғаларға олардың қандай деректері жиналып жатқаны айтылмауы; жеке деректер үшінші бір елге не халықаралық ұйымдарға берілер алдында ол жеткілікті деңгейде қорғалуын тексермеу кіреді.
Бұл түрдегі бұзушылықтар үшін 20 миллион еуроға дейін айыппұл не фирманың жаһандық жылдық кірісінің 4% мөлшерінде айыппұл салынады (қайсысы сома көп болса сол салынады).
Ranking Digital Rights (RDR) стандарттары
Жоғарыда жазған заңды күші бар талаптардан бөлек, халықаралық стандарттарды дамытуға атсалысып жүрген үкіметтік емес ұйымдар да бар. Мысалы, Ranking Digital Rights (RDR) халықаралық және жергілікті компанияларға стандарттар мен жеке деректерді қорғауға қатысты ұсыныс береді. Бұдан бөлек, RDR компаниялар арасында рейтиң жариялап отырады. Бұл үшін RDR командасы үш негізгі категорияны 58 индикатор бойынша бағалайды. Негізгі категория ретінде басқару, ой мен ақпарат еркіндігі және құпиялық саясаты таңдалады.
- Басқару санаты компанияда сөз бостандығына, ақпарат пен жеке өмірге қол сұқпауға қатысты жеке құқықтарды сақтауды қамтамасыз ету үшін тиімді басқару процестері бар екенін көрсетуге арналған. Бұл басқару процессі онлайн өмірге де, офлайн өмірге де арналған. Компанияның осы санатта жақсы көрсеткішке жетуі үшін компания көрсетуі керек деректер Бизнес пен адам құқықтары бойынша БҰҰ-ның жетекші принциптерің талаптарына сәйкес келуі қажет, одан асып түссе тіпті керемет. Оның ішінде адам құқықтарын сақтау; басқару мен қадағалау; құқықтық көмек беру секілді категориялар қарастырылады.
- Ой мен ақпарат еркіндігі санаты компанияның адам құқықтарының жалпыға бірдей декларациясында, басқа да халықаралық адам құқықтары құжаттарында айтылған сөз бен ақпарат бостандығы құқықтарын қаншалықты құрметтейтінін көрсетеді. Компанияның ашып көрсеткен саясаты мен тәжірибесі ой еркіндігіне қатысты позициясын білдіреді. Оның ішінде алгоритмдік жүйелерді пайдалану саясаты; жарнамалық контентті пайдалану ережелері мен шаралары секілді категориялар қарастырылады.
- Құпиялық санаты адам құқықтары жөніндегі халықаралық құжаттарда көрсетілген пайдаланушылардың жеке өміріне қол сұқпау құқығын құрметтеудің нақты жолдарын көрсетеді. Компанияның ашып көрсеткен саясаты мен тәжірибесі пайдаланушылардың цифрлық қауіпсіздігін қорғау үшін не істеп жатқаны мен принциптерін көрсетеді. Оның ішінде пайдаланушы ақпаратын жинау мен өңдеу; оның қауіпсіздігі сияқты категориялар қарастырылады.
RDR методологиясы мен стандарттары туралы толығырақ мына сілтемеден оқи аласыз.
Мысалы, 2022 жылы алпауыт техникалық комапниялар арасында осы талаптарға ең көп жақындағаны X (бұрынғы Twitter) еді. Одан соң Yahoo мен Microsoft орналасқан.
Осыған ұқсас телекоммуникациялық компаниялардың рейтиңі де жүргізіледі.
Қорытынды
Жоғарыда жазған RDR рейтіңі методологиясының 22 көрсеткіші 2022 жылы алғаш рет Орталық Азиядағы жағдайды бағалауға қолданылып, компаниялардағы деректердің ашықтығына қатысты анық олқылықтарды көрсетті. Талдауға Қазақстаннан Kcell, KaR-Tel (Beeline), OLX Group пен Kaspi Bank таңдалған.
Авторлар негізгі мәселе ретінде интернетті өшіру туралы талаптарға компаниялар қандай реакция білдіретіні және оның пайдаланушыларға қалай әсер ететініне қатысты саясаты ашық емес екенін жазады. Одан бөлек, есепте компаниялар адам құқықтарына қатысты талаптарды ескермейтіні айтылған.
Кейінгі жылдары болған жеке деректердің тарап кету жағдайлары да бұл мәселенің өзектілігін көрсетсе керек.
Демек, цифрлық қызмет көрсету секторы кейінгі жылдары тұрақты өсіп келе жатқандықтан, Қазақстанда жеке деректерді қорғауға қатысты стандарттар мен шаралар қабылдануы керек.
Пікір қалдыру үшін өз аккауныңызға кіріңіз.