Төтенше жағдай кезінде жеке деректерді өңдеуді реттеудің еуропалық тәсілі

Алексей Мунтян
Russian Privacy Professionals Association - RPPA.ru- Құрылтайшысы және Басқарма мүшесі
Төтенше жағдай (ТЖ) кезінде ұлттық қауіпсіздікті, қоғамдық тәртіпті және халықтың мүдделерін қорғау мақсатында дербес деректерді[1] өңдеудің әртүрлі аспектілерін реттеу кез келген қоғам үшін әрқашан аса маңызды мәселе болып табылады. Мұндай мұқият назар аударудың себебі-төтенше жағдайдың мәні-сыртқы немесе ішкі қауіптен қорғау және қоғамдық тәртіпті сақтау үшін елде немесе оның жекелеген аудандарында енгізілген мемлекеттік билік пен басқару органдарының, кәсіпорындардың, мекемелер мен ұйымдардың ерекше құқықтық режимі. Төтенше жағдай режимі азаматтардың, заңды тұлғалардың құқықтары мен бостандықтарын шектеуді, сондай-ақ оларға қосымша міндеттер жүктеуді көздейді.

Төтенше жағдай режимі шеңберінде қорғалуы шектеулерге ұшырайтын қоғам үшін аса сезімтал салалардың бірі жеке тұлғалардың жеке өмірі туралы ақпарат айналымы (жеке және отбасылық құпия) болып табылады. Басқаша айтқанда, құқық қорғау органдары мен арнайы қызметтердің адамның ақпараттық құпиялылығына құқығын шектеу мүмкіндігі олардың негізгі мәні бойынша адам құқықтары мен бостандықтарын сақтау қажеттілігімен теңдестірілуі керек. Дербес деректерді өңдеуді құқықтық реттеу практикасы ХХ ғасырдың 60-шы және 70-ші жылдары Еуропада туындағанын және Еуропалық экономикалық аймаққа (ЕЭА) қатысушы мемлекеттердің аталған саланы реттеудің елу жылдан астам тәжірибесі бар екенін ескере отырып, төтенше жағдай режимі контексінде кейбір еуропалық тәсілдерді қабылдау мүмкіндігі мақсаттары үшін көрсетілген тәжірибені әсіресе, 2022 жылдың қаңтарында Қазақстан аумағында орын алған жайтты зерделеу орынды болып көрінеді.

Еуропалық құқық тұрғысынан дербес деректерді кез келген өңдеу нормативтік құқықтық актілерде бекітілген қағидаттар жиынтығымен реттелуі (соның ішінде рұқсат етілуі және шектелуі) тиіс. Еуропада мұндай базалық актілер СДЕ 108 Еуропа Кеңесінің Конвенциясы [2] (Конвенция) және GDPR[3] болып табылады. Көрсетілген актілерге сәйкес жеке тұлғаларды дербес деректерді өңдеуге қатысты қорғау негізгі құқық болып табылады. Жеке тұлғалардың дербес деректерін өңдеуге қатысты оларды қорғаудың қағидаттары мен қағидалары, адамдардың азаматтығына немесе тұрғылықты жеріне қарамастан, олардың құқықтары мен бостандықтарын, атап айтқанда олардың дербес деректерді қорғау құқығын құрметтеуге тиіс. Айта кету керек, Конвенцияның ережелері Қазақстан үшін заңды түрде міндетті болуы мүмкін — елдің тиісті құқықтық рәсім шеңберінде Конвенцияға қосылған жағдайында (мысалы, Ресей Федерациясы, Украина, Молдова, Грузия, Әзірбайжан, Армения Конвенцияға қатысушылар болып табылады).

[1] Дербес деректер нақты немесе сәйкестендірілуі мүмкін тұлғаға («деректер субъектісіне») қатысты ақпаратты білдіреді.
[2] СДЕ 108 дербес деректерді автоматтандырылған өңдеу кезінде жеке тұлғаларды қорғау туралы Еуропа Кеңесінің конвенциясы
[3] ЕО-та жеке деректерді қорғаудың жалпы ережелері (ағылш. General Data Protection Regulation, GDPR; Еуропалық Одақтың 2016/679 Қаулысы).
ЕЭА-да дербес деректерді өңдеу қағидаттары
Конвенция
Заңдылық
Әділдік, транспаренттілік
Шектеулі мақсаттар
Мақсаттарға қатысты барабарлық және тәжірибесіздік
Дәлдік пен өзектілік
Шектеулі сақтау уақыты
-
-
Заңдылық, әділеттілік,
транспаренттілік
Деректерді азайту
Есеп берушілік
Өңдеу қауіпсіздігі
GDPR
Шектеулі мақсаттар
Дәлдік пен өзектілік
Шектеулі сақтау уақыты
Конвенцияның 9-бабы дербес деректерді өңдеу қағидаттарының қолданылуын, сондай-ақ деректер субъектілерінің негізгі құқықтары мен бостандықтарының қолданылуын шектеудің мынадай жағдайларын көздейді:

a) ұлттық қауіпсіздікті, қорғанысты, қоғамдық тәртіпті, мемлекеттің маңызды экономикалық және қаржылық мүдделерін, сот жүйесінің турашылдығы мен тәуелсіздігін қорғау немесе қылмыстар мен қылмыстық жазаларды орындау үшін, сондай-ақ халықтың мүдделерін қорғаудың басқа да аса маңызды мақсаттары үшін алдын алу, тергеу және жауаптылыққа тарту болып табылады;

b) деректер субъектісін немесе басқа тұлғалардың құқықтары мен негізгі бостандықтарын, атап айтқанда, пікір білдіру бостандығын қорғау болып табылады.

Бұл ретте негізгі құқықтар мен бостандықтардың мәні сақталуға және демократиялық қоғамда осындай шектеу шараларының қажеттілігі мен барабарлығы белгіленуге тиіс.
Жоғарыда аталған тәсіл Еуропа Кеңесі органдарының тұрақты заң шығару қызметінде жүзеге асырылады. Мәселен, 2021 жылғы 28 қаңтарда Конвенцияның консультативтік комитеті қабылдаған «Тұлғаны тану жөніндегі нұсқаулыққа» (T-PD(2020)03rev4) сәйкес ТЖ жағдайын қоса алғанда, тұлғаны тану технологияларын пайдаланудың заңдылығы заңда көзделген биометриялық өңдеу мақсаттарына және Конвенцияны толықтыратын қажетті кепілдіктерге негізделуі тиіс. Жеке тұлғалардың суреттері заңды түрде алынған жағдайда, негізгі құқықтар үшін ықтимал тәуекелдерді ескере отырып, сәйкестендіру немесе тексеру мақсатына байланысты қажеттілік пен пропорционалдылықтың әртүрлі тестілері қарастырылуы мүмкін. Сәйкестендіру мақсаттары үшін қатаң қажеттілік пен мөлшерлестік талабы дерекқорды (бақылау тізімін) құру сатысында да, бақыланбайтын жағдайда бетті тану технологияларын (онлайн) орналастыру сатысында да сақталуға тиіс. Бақыланатын және бақыланбайтын жағдайда, оның ішінде мектептерде және басқа да қоғамдық ғимараттарда қауіпсіздікті қамтамасыз ету интрузивті баламалы тетіктер аз болған кезде қатаң қажетті және мөлшерлес деп есептелмеуге тиіс.

Осындай ұстанымды Еуропалық Одақтың екі бөлімі қабылдады, олар 2021 жылдың 21 маусымында жасанды интеллектті (ЖИ) қоғамдық орындарда адамдарды тану және сәйкестендірудің басқа тәсілдерін қолдануға толық тыйым салуға шақырды. Бұған дейін Еурокомиссия ЖИ-ті осы салада толық пайдалануға қатаң шектеу қоюды, бірақ тыйым салмауды ұсынған болатын. «Егер біз бостандықтарымызды сақтап, адамдарға бағытталған ЖИзаңнамасын құрғымыз келсе, онда біз қоғамдық орындарда бет — әлпетті тану жүйелеріне жалпы тыйым салудан бастауымыз керек», - деді Еуропалық деректерді қорғау кеңесі (the European Data Protection Board, EDPB) және Андреа Елинек пен Войцеха Веверовскийдің Еуропалық деректерді қорғауды қадағалау органымен (European Data Protection Supervisor, EDPS) бірлескен мәлімдемеде айтылды. Олар қоғамдық орындарда адамдарды бет-әлпеті, дауысы, саусақ іздері, ДНҚ және басқа да биометриялық және мінез-құлық белгілері бойынша сәйкестендіру бағдарламаларына тыйым салуға шақырды.

Қазақстанның билік орындарына деректер субъектілерінің негізгі құқықтары мен бостандықтарына қатысты шектеулерді белгілейтін құқықтық актінің міндетті болуына қойылатын талаптар бекітілген GDPR 23-бабына сәйкес деректер субъектілерінің негізгі құқықтары мен бостандықтарын шектеуге, сондай-ақ актідегі деректер субъектілерінің негізгі құқықтары мен бостандықтарына қатысты шектеулерді (ТЖ режимін енгізу жағдайын қоса алғанда), сондай-ақ деректер субъектілерінің негізгі құқықтары мен бостандықтарына қатысты арнайы ережелердің мазмұнына бақылау тетігін зерделеуді ұсынуға болады:

(a) өңдеу мақсаттары немесе өңдеу санаттарын;
(b) дербес деректер санаттарын;
(c) енгізілген шектеулердің көлемін;
(d) теріс пайдалануға немесе санкцияланбаған қол жеткізуге немесе беруге қарсы кепілдіктерін;
(e) бақылаушыны[4] немесе бақылаушылар санатын анықтауын;
(f) өңдеу сипаты, көлемі мен мақсаттары немесе өңдеу санаттары назарға ала отырып, сақтау мерзімдері мен қолданылатын кепілдіктерін;
(g) деректер субъектілерінің құқықтары мен бостандықтары үшін тәуекелдерін;
(h) деректер субъектісінің шектеулер туралы ақпаратты алу құқықтарын шектеудің мақсатына нұқсан келтірмейтіндей шамада алуға құқығын.

[4] Дербес немесе өзгелермен бірлесіп дербес деректерді өңдеудің мақсаттары мен құралдарын айқындайтын кез келген жеке немесе заңды тұлға, мемлекеттік орган, мекеме немесе басқа орган.
Қазіргі уақытта Еуропада төтенше жағдай режимін қолданудың өзекті практикасы болмаса да, Жалпы деректер субъектілерінің негізгі құқықтары мен бостандықтарын шектеуге қатысты ЕЭА құқық қолдану және сот практикасына жүгіну пайдалы болады.

2022 жылдың қаңтарында Европолға 1 жыл ішінде қылмыспен тікелей байланысты емес жеке деректерді жою туралы EDPS бұйрығы көрсетілген. Мұның себебі-Европол базаларында сақталған ақпараттың жалпы көлемі, ол шамамен 4 петабайтқа бағаланады. Базаларда террористік белсенділікке және ауыр қылмыстарға күдіктілердің кем дегенде төрттен бір бөлігі, сондай-ақ күдіктілерге қатысты басқа адамдар туралы ақпарат бар.

:
Деректер ЕО елдерінің барлық құқық қорғау органдарынан алынған. Жеке деректер көбінесе жеткілікті негізсіз сақталып,өңделді, нәтижесінде ЕО тұрғындары қылмыстық белсенділікпен қате байланысты болуы мүмкін. Европол дерекқоры, кем дегенде, ішінара «күдікті» емес адамдар, «болашақ қылмыскерлер», «қылмыскерлермен байланыста немесе байланыста болған адамдар», «құрбандар», «куәгерлер» немесе «ақпарат берушілер» туралы мәліметтерден тұрады.

Еуропалық Одақтың соты (Court of Justice of the European Union, CJEU) өз кезегінде құқық қорғау органдары мен арнайы қызметтердің жеке тұлғалардың жеке деректерін өңдеу мүмкіндіктерін шектейтін бірнеше резонанстық шешімдер қабылдады.

Сонымен, 2020 жылдың қазан айында сот[1] телефон мен интернет деректерін жаппай бақылау заңсыз деп тапты және Франция мен ЕО-ның басқа елдеріндегі арнайы қызметтердің өкілеттіктерін шектеу керек деп шешті. Сот мұндай деректерді жалпы және таңдамай сақтауға үкіметтер «ұлттық қауіпсіздікке елеулі қауіп төнген кезде» ғана рұқсат етілуі мүмкін деп мәлімдеді. Мұндай жағдайда телефон мен интернет пайдаланушыларының мәліметтеріне толық қол жеткізу «өте қажет» кезеңмен шектелуі керек. Сот шешімі сонымен қатар IP-мекен-жайларды «қажет болған кезде» бірдей шектерде жинауға және сақтауға мүмкіндік берді. ЕО соты мәлімдегендей, ұлттық соттар осы қаулыда баяндалған қағидаттарды сақтамайтын билік жинаған ақпаратты назарға алмауы тиіс.

2021 жылғы наурызда ЕО соты[2] электронды хабарламалардан алынған орналасқан орнытуралы мәліметтерге қол жеткізуді тек құқық қорғау органдары ауыр қылмыстарды тергеу кезінде және «қоғамдық қауіпсіздікке төнетін қауіпті болдырмау үшін» қолдана алады деп шешті. Сот ЕО заңы ұлттық заңнамаға қарағанда басымдыққа ие деп тапты, бұл прокуратураға қылмыстық тергеу кезінде осындай деректерге қол жеткізуге құқық береді.

Деректер субъектілерінің негізгі құқықтары мен бостандықтарын шектеуді бақылаудың еуропалық тәжірибесін зерделеу негізінде жасауға болатын төтенше жағдай режимін реттеуге Қазақстан Республикасындағы қолданыстағы тәсіл үшін жалпы тұжырымдар (ұсынымдар) :

1. негізгі құқықтар мен бостандықтардың мәні сақталуға және демократиялық қоғамда осындай шектеу шараларының қажеттілігі мен пропорционалдылығы белгіленуге тиіс;
2. деректер субъектілерінің негізгі құқықтары мен бостандықтарына қатысты шектеулердің барабар шарасын белгілейтін құқықтық актілер (ТЖ режимін енгізу жағдайын қоса алғанда)қабылдануға тиіс;
3. деректер субъектілеріне олардың негізгі құқықтары мен бостандықтарын шектеудің мәні мен мазмұны туралы ақпарат (бұл шектеу мақсатына нұқсан келтірмейтін шамада)уақтылы берілуге тиіс;
4. ТЖ режимі жағдайында құқық қорғау органдары мен арнаулы қызметтердің жеке тұлғалардың негізгі құқықтары мен бостандықтарын сақтауын бақылауды қамтамасыз ету үшін деректер субъектілерінің және сот жүйесінің құқықтарын қорғау саласында тиімді және мемлекеттен тәуелсіз қадағалаудың болуы қамтамасыз етілуге тиіс.


[1] Judgments in Case C-623/17, Privacy International, and in Joined Cases C-511/18, La Quadrature du Net and Others, C-512/18, French Data Network and Others, and C-520/18, Ordre des barreaux francophones et germanophone and Others
[2] Judgment in Case C-746/18 H. K. v Prokuratuur