IT бизнес өкілдері Цифрлық трансформация министрлігінен 1 қыркүйектен бастап күшіне енетін «Дербес деректер туралы» заңға түзетулерді пысықтауды сұрады. «Цифрлық экономика» АҰО «Нормативтік-құқықтық реттеу» жұмыс тобының шілдедегі отырысына қатысушылар осы құжат бойынша бірқатар іргелі пікірлерін білдірді. Алайда түзетулер тек IT мамандарына ғана қатысты емес. Шынын айтсақ, шикі, сонымен қатар, кері нәтижелі, оларды экономикалық қызметтің әртүрлі салаларындағы адамдар көреді.

Фото: BurstUnsplash.

Бұған дейін Роскомнадзор басшысының орынбасары Милош Вагнер түзетулердің орындылығы туралы айта отырып, үлкен деректердің ағып кетуін еске түсірді — Big Data: жыл басынан бері елде олардың қырықтан астамы болды, нәтижесінде , 300 миллионнан астам жазбалар еркін қол жетімді болды. Біз адамды анықтауға болатын кез келген деректер туралы айтып отырмыз — толық аты-жөні, туған күні, электрондық пошта мекенжайы, телефон нөмірі, тұрғылықты жері және денсаулығы туралы ақпарат. Вагнердің айтуынша, түзетулер «жеке деректер қазіргі экономика үшін тым құнды нысанға айналғандықтан, олар, асыра айтпағанда, аң аулауда. Мемлекет жағдайға әсер ететін құралдарды да алуы керек».

Түзетулердің біріне сәйкес, 1 қыркүйектен бастап сатушы сатып алушы өзінің жеке деректерін (ПД) бермегендіктен, тауарды немесе қызметті сатудан бас тарта алмайды. Енді адамдардан сатып алу немесе қызметтерге ақы төлеу кезінде әртүрлі сылтаулармен олар телефон нөмірлерін, электрондық пошта мекенжайларын және басқа да жеке ақпаратты жинайды.

Егер биометриялық ПД туралы айтатын болсақ, онда бұдан былай оларды өңдеудің негізгі құқықтық негізі адамның жазбаша келісімі болып табылады. Тағы бір түзетуде тұлғаға оның жеке деректерін өңдеу туралы жан-жақты ақпарат беру мерзімі 10 жұмыс күнінен аспауы тиіс, алайда, дәлелді себептер болған жағдайда бұл мерзім тағы 5 жұмыс күніне ұзартылуы мүмкін екендігі айтылған.

Дербес деректер операторларына келетін болсақ, олар анықталған сәттен бастап жеке деректермен болған оқиғалар туралы Роскомнадзорды (регулятор порталында электронды түрде) хабардар етуге міндетті. Бұзушылықтар үшін жауапкершілік те қатаңдауда: ӘҚБтК-нің 14.8-бабында ПҚ-ға хабарламаған тұтынушымен шарт жасасудан бас тартқан дүкен үшін айыппұлдар белгіленген. Лауазымды тұлғаларға — 5 мыңнан 10 мың рубльге дейін, заңды тұлғаларға — 30 мыңнан 50 мың рубльге дейін айыппұлдар.

1 қыркүйектен бастап күшіне енетін жаңашылдықтар жеке ақпаратты қорғауға бағытталған және оны қоғам қызу мақұлдауы керек сияқты. Сонымен қатар, іскер топтардың реакциясына қарағанда, түзетулер олардың өмірін, ең алдымен, құқықтық және техникалық мағынада айтарлықтай қиындатады. Жаңартылған «Жеке деректер туралы» заңның қандай проблемалар тудыратынын жасырынған бірнеше кәсіпкер айтып берді.

Сонымен, тұтынушы тауарды үйге жеткізуге тапсырыс беруге шешім қабылдады делік. Егер бұрын дүкен (заңды тұлға) жеке тұлғамен азаматтық-құқықтық шарт жасасқаннан кейін автоматты түрде оның жеке деректерін өңдеуге және оларды үшінші тұлғаларға (курьерге) беру құқығын алса, енді бұл қарапайым опция алынып тасталды. Сонымен қатар, 1 қыркүйектен бастап курьерлік жеткізу процесінің барлық қатысушылары ПД өңдеуге және беруге жазбаша келісімін алуы керек — дүкенге, курьерге.

Бұл міндетті адамдық, түсінікті тілмен тұжырымдау, оның тиянақты орындалуын айтпағанда, қиын.

Егер бұрын компания курьер немесе экспедитор ретінде біреуді жалдаған болса, бұл адам өзінің ең аз жеке деректерін (сенімхатта көрсетілген аты-жөні мен телефон нөмірі) барлық контрагенттерге беруге рұқсат бере алатыны түсіндірілді. Енді компания бұл ақпаратты тауардың әрбір тұтынушысына беру үшін өз қызметкерінің жазбаша келісімін алуы керек.

Түзетулер авторларының айтуынша, мұның барлығы жеке деректерді қорғауды күшейту мақсатында жасалып отыр. Шындығында, МК сұхбат берген бизнесмендер олардың ағып кетуі жағдайында қосымша тәуекелдер туындауы мүмкін деп сендіреді, өйткені кез келген келісім жекеленеді және кез келген транзакция әлдеқайда ашық болады. Шартты түрде, сіз пирогтарға (базар арқылы) оларды пісіретін жеке кәсіпкерден тапсырыс бересіз, олар сізге курьер арқылы жеткізіледі және бұл процесс туралы барлық ақпарат анық қадағаланады.

Сонымен қатар, түзетулер айыппұл салу үшін ерекше қолайлы негіз жасайды. Өз қызметінде үнемі басқа адамдардың жеке деректерімен айналысатын өзін-өзі жұмыспен қамтыған тұлғалардың (сол курьерлер немесе такси жүргізушілері) жауапкершілік дәрежесі бірнеше есе артады. Олар бұл ақпаратты енді жеке тұлға ретінде емес, ресми деректер операторы ретінде алады. Бұл олардың қауіпсіздігіне жауапты екенін білдіреді. Ал егер кез келген курьер тұтынушымен барлық SMS хат-хабарлары бар жеке телефонын жоғалтса, бұл заң бойынша деректердің ағу оқиғасы ретінде қарастырылады. Яғни, күтпеген жерден адам әсерлі айыппұл түріндегі жеке тәуекелдерді алады.

Әңгімелесушілеріміз атап өткендей, заң бастапқыда заңды тұлғаларға арналып жазылған: онда қарапайым азаматтар арасындағы коммерциялық қарым-қатынастардың бүгінгі күні қалай дамып жатқаны ескерілмеген. Қазір елімізде өзін-өзі жұмыспен қамтығандар, сан алуан қызмет көрсететін, бірақ сонымен бірге әкімшілік, реттеу, құжаттама жасау, қызметтік тексеріс жүргізу сияқты ауыртпалықтарды көтермейтін жеке кәсіпкерлер көп. Кейбір IP-шниктердің қарамағында (шартты түрде) үш жалдамалы курьер және бір пирог цехы болуы мүмкін.

Айыппұлға ұрынбау үшін олардың қызметін «Жеке деректерді қорғау туралы» заңмен қалай біріктіруге болады? Әңгімелесушілеріміз осындай шағын кәсіпорындардың көп екеніне ғана үміт артады: олар бәріне келе бермейді.

«Шынында да, ағып кетулер көп», — дейді ақпараттық қауіпсіздік жөніндегі маман, техника ғылымдарының кандидаты Владимир Селезнев жағдайға қатысты. — Ресейдегі жеке деректерді, біріншіден, Роскомнадзордың бірнеше рет ескертулеріне, екіншіден, PD жинауға және сақтауға уәкілетті ұйымдардың ресми тізілімінің болуына қарамастан, тым жалқау емес әрбір адам жинайды. Азаматтардың өздері төлқұжатының көшірмесін, телефон нөмірін және басқа да жеке мәліметтерін беру туралы өтініштерге өте сабырлы. Оны оларға қарсы қолдануға болады».

Тұтастай алғанда, жеке деректердің қауіпсіздігін қамтамасыз ету мәселесі заңдық-міндетті түрде емес, таза техникалық және технологиялық әдістермен шешілуі керек. Түзетуді қажет ететін заңнама емес, жеке деректердің сақталуына бақылауды күшейту керек. Роскомнадзордың физикалық тұрғыдан мұны істей алмайтыны анық: оның тиісті ресурстары жоқ. Ақырында, бүгінде шешілмейтін қайшылық бар: бір жағынан, бизнес қорқынышты түс болуы мүмкін емес, екінші жағынан, компаниялардың PD-мен қаншалықты дұрыс жұмыс істейтінін тексеру қажет. Белгіленген айыппұлдардың мөлшеріне келетін болсақ, ірі желілік компаниялар үшін (негізінен PD ағып кетеді), бұл мүлдем проблема емес, деп түйіндейді Селезнев. Оның айтуынша, айыппұлдар абсолютті мәнде емес, салыстырмалы түрде, «қалқымалы» — белгілі бір мәміленің айналымына қатысты болуы керек. Сонда ғана олар әсер ете алады.