Цифрлық дәуірде дербес деректерді қорғау – тек техникалық талап емес, қоғамның мәдени және этикалық деңгейінің көрсеткіші. Мәселен Еуропа мен Корея елдерінде бұл түсінік заңнан да жоғары. Қазақстан үшін де бұл бағытта мәдени өзгеріс қажет.

Осы ретте El.kz интернет порталының тілшісі ақпараттық қауіпсіздік аудиторы Лаура Тлепинадан Қазақстанда дербес деректерді қорғау мәдениеті неге қалыптаспай отырғанын және оны қалыптастыру жолдарын сұрап білді.

El.kz: Лаура ханым, Қазақстан цифрландыруға қарқынды көшіп келеді. Осы процесте жеке деректердің қауіпсіздігі қалай қамтамасыз етіліп жатыр?

– Иә, Қазақстан цифрлануға қарқынды көшуде, алайда бірінен кейін бірі тіркелген дербес деректердің ірі бұзылулары мен ақпараттық ағылулары қоғамда алаңдаушылық туғызуда. Жақында ғана интернетте Қазақстанның 16 миллион азаматының жеке мәліметтері таралып кетіп, елдің цифрлық инфрақұрылымының осалдығын әшкереледі. Одан бұрын Астанада банк клиенттерінің архивтік құжаттары қарапайым қоқыс полигонынан табылған оқиға тіркелді. Банк бөлімшесінің қызметкері қағаз құжаттарды шредерден өткізудің орнына далаға лақтырып жіберген. Бұл жағдайды көрген куәгер: «Жеке деректердің сақтығы қайда?! Мұндай құжаттар банк архивінде сақталуы немесе шредер арқылы жойылуы керек еді» деп, әлеуметтік желіде наразылығын білдірді. Осындай мысалдар Қазақстанда дербес деректерді қорғау мəдениетінің кемшілігін көрсетеді.

Көптеген компаниялар мен ұйымдар жеке ақпаратты құндылық ретінде қарап, аманат деп қорғауға асық емес. Керісінше, қорғау іс-шаралары көбіне заңның талаптарынан туындаған мәжбүрлік сияқты көрінеді.

El.kz: Қазақстанда дербес деректерді қорғауға қатысты заң бар. Бизнес деректерді тек айыппұлдан қорқу үшін қорғай ма?

– Қазақстанда дербес деректерді қорғауға қатысты заң бар болғанымен (2013 жылғы «Дербес деректер және оларды қорғау туралы» заң), бизнес өкілдерінің көпшілігі бұл талаптарды өз бастамасымен емес, сыртқы қысыммен орындайды деген пікір бар. Жеке деректердің қауіпсіздігіне бизнес көбінесе тек заң бұзғаны үшін салынатын айыппұлдан қорыққандықтан көңіл бөледі. Мәселен, 2023 жылғы өзгерістерге сай жеке деректерді қорғау заңын бұзғаны үшін айыппұл мөлшері 7,9 миллион теңгеге дейін ұлғайтылды. Алайда бұл проблеманы түбегейлі шешпейді. Сарапшылардың пайымынша, жай ғана жазалау мен қорқыту арқылы бизнес пен ұйымдардың мінез-құлқын өзгерту қиын, олар мәселені жүйелі түрде шешуге емес, тек тексеріс пен айыппұлдан құтылуға бейімделуі мүмкін.

Қазақстанның цифрлық даму министрлігі жанындағы дербес деректерді қорғау комитеті де әр компанияны күнделікті қадағалап отырмайды, тек шағым түскен кезде ғана әрекет етеді. Ал халықтың көбі өзінің дербес дерек құқығын білмегендіктен шағымданбайды. Нәтижесінде көптеген кәсіпорындар «ешкім білмесе болды» деп, деректерді қорғауды тиісті деңгейде қамтамасыз етпей жүре береді. Статистикаға жүгінсек, халықтың өзі де бизнес деректерді қорғайды дегенге сенбейді, әрі оны олардың міндеті деп те санамайды. Сауалнама нәтижелері бойынша қазақстандықтардың тек 7%-ы ғана дербес деректердің қауіпсіздігін қамтамасыз етуге бизнес жауапты деп есептейді. Ал 54%-ы бұл міндетті мемлекет атқаруы керек десе, 39%-ы азаматтық қоғамның рөлін атап көрсеткен. Бұл бизнес қауымдастықтың деректерді қорғаудағы жауапкершілігі қоғам санасында өте төмен екенін көрсетеді. Шын мәнінде, жеке деректердің құпиялығы мен қауіпсіздігі бизнес үшін де аса маңызды құндылық болуы тиіс, өйткені цифрлық экономиканың дәуірінде тұтынушылар өздерінің жеке ақпаратын сеніп тапсыратын компаниялардан этика мен жауапкершілік күтеді.

Өкінішке қарай, Қазақстанда әзірге көптеген компаниялар деректерге сол аманат ретінде қарамай, тек «қағаз жүзіндегі» комплаенс пен ресми рұқсатнама алумен шектеліп отыр. Мысалы, елдегі коммерциялық және мемлекеттік веб-сайттардың көбінде қолданушы келісімі мен құпиялылық саясаттары формалды түрде бар, бірақ іс жүзінде кейбірі артық мәліметтер сұрату, пайдаланушылардың деректерін қажетсіз жерге тарату сияқты әдеттерден арыла алмады. Тұтынушы тарапынан жауапсыздық та кездеседі. Жоғарыда айтылған банк қызметкерінің архив құжаттарын қоқысқа тастауы – соның айқын көрінісі. Бұл оқиға бойынша банк басшылығы тек кешірім сұрап, кінәлі қызметкерді жұмыстан шығаруымен шектелді, яғни түптеп келгенде, түбегейлі мәдени өзгеріс орын алған жоқ. Келесі жолы басқа қызметкер дәл сол қателікті қайталауы мүмкін.

El.kz: Дербес деректерді қорғаудағы мәдениет мәселесі Қазақстанда қандай деңгейде?  

– Қазақстандық ұйымдар мен жалпы қоғамда дербес ақпаратқа құрмет мәдениеті қалыптаспағаны байқалады. Бұл ең алдымен кадрларды оқыту мен деректер этикасына мән бермеуден көрінеді. Көптеген мекемелерде қызметкерлерге жеке ақпаратты қорғау ережелері жөнінде арнайы тренингтер өтпейді, ішкі саясат та үстіртін. Салдарынан қызметкерлер дербес деректердің құндылығын жете түсінбейді, оларды құпия сақтау мен жауапкершілікпен қарау қажеттігін сезінбегендіктен, абайсызда немесе немқұрайды әрекеттерге жол береді.  Жалпы халық арасында да жеке мәліметтердің құпиялығына немқұрайлылық бар. Жоғарыда аталған зерттеу нәтижесінде сұралған қазақстандықтардың 63%-ы «дербес деректерді қорғау мәдениетін» дамыту қажет деп санамайтынын көрсеткен. Оның ішінде 26%-ы «жеке деректердің қауіпсіздігі күрделі проблема емес, оған уақыт пен ресурс шығындаудың қажеті жоқ» десе, тағы 37%-ы «біздің қоғамда онсыз да жұрт бір-бірі туралы бәрін біліп алады» деген дефетистік түсінікке келген екен. Сондай-ақ әр оныншы респондентке жеке деректерінің қауіпсіздігі мүлдем маңызды емес болып шыққан. Бұл – дабыл қағарлық жайт. Егер азаматтардың өздері жеке ақпараттың құндылығы мен оны қорғаудың маңызын түсінбесе, онда ұйымдар мен бизнес те оған бас ауыртпайтыны анық. Деректерге мәдени құрметтің жоқтығы – тек техника мен заң мәселесі емес, ең алдымен түсінік пен сананың кемшілігі. 

Мұндай мәдени осалдықтың салдары ретінде Қазақстанда дербес деректердің жиі бұзылуы орын алып отыр. 2024 жылдың өзінде бірнеше үлкен деректердің таралып кету оқиғалары тіркелді. Қазақстандықтардың жеке мәліметтері Қытайдың GitHub тәрізді платформасында жаппай жарияланып кетуі, ірі микроқаржы ұйымының 2 миллион клиентінің деректері әшкере болуы, тіпті Алматыдағы бір университетте студенттердің медициналық карталары интернетте қорғалмай қалуы сияқты жағдайлар болған. Бұл фактілер отандық ұйымдарда ақпараттық қауіпсіздік гигиенасының сақталмауын және дербес деректерге салғырт қарауды көрсетеді. Дербес деректерге құрмет мәдениеті орнықпаған жерде осындай олқылықтар қайталана бермек, ал оның зияны қарапайым азаматтарға тиетіні анық. Жеке мәліметтер қолды болып, алаяқтыққа ұшырау, беделдің түсуі секілді қауіптер төнеді.

El.kz: Шетел тәжірибесі Қазақстан үшін қандай сабақ бола алады?

– Дербес деректерді қорғау мəдениетін қалыптастыруда өзге мемлекеттердің тəжірибесі Қазақстан үшін жақсы сабақ бола алады. Еуропалық одақта жеке деректерге көзқарас түбегейлі басқа деңгейде: ЕО елдерінде дербес ақпаратты қорғау құқығы адам құқығының ажырамас бөлігі ретінде, фундаменталды құқық ретінде қабылданады. 2018 жылы қолданысқа енген жалпы деректерді қорғау регламенті (GDPR) бүкіл Еуропада жеке деректерге құрмет пен жауапкершіліктің жоғары стандарттарын орнықтырды. GDPR енгізілгелі бері еуропалық бизнес үшін деректерді қорғау тек заң талабы емес, компанияның абырой-беделінің өлшеміне айналды. Еуропадағы тұрғындар өздерінің жеке ақпараттарының қорғалуын қатты бағалайды және талап етеді, олар үшін құпиялық - негізгі құқықтардың бірі. Мысалы, Еуропада көптеген компаниялар мәліметтерді минимизациялау, мақсатты шектеу, ашықтық сияқты қағидаттарды ішкі мәдениетіне сіңіріп, тұтынушылардың сенімін жоғары қояды. Соның нәтижесінде, бірқатар еуропалық бизнес бәсекеде «құпиялылық біздің басты құндылығымыз» деп, дербес деректерге құрмет көрсетуді маркетингтік артықшылық ретінде де пайдалануда. Яғни ЕО-да заң талаптарын ерікті түрде асыра орындау, өзін-өзі реттеу мәдениеті қалыптасқан. Компаниялар тек айыппұлдан қашу үшін емес, тұтынушы алдындағы жауапкершілік үшін деректерді қорғайды.

Оңтүстік Кореяда да жеке деректердің қорғалуына ерекше көңіл бөлінеді. Корея Республикасы азиялық мемлекеттер арасында дербес мәліметтер қауіпсіздігі жөнінен ең қатаң заңнамалардың бірін қабылдаған (Personal Information Protection Act - PIPA). Бірақ заңның өзі мәдениетке негізделген. Көптеген оңтүстік кореялықтар жеке мәліметтер құпиясын уайымдайды, тіпті сауалнамаларға сенсек, оңтүстік кореялықтардың 80%-ы жеке өмірінің құпиялығына алаңдаушылық білдіреді. Бұл көрсеткіш Еуропа не АҚШ-пен салыстырғанда әлдеқайда жоғары. Халықтың осындай сұранысы мен талабы бизнес пен мемлекетке тікелей ықпал етеді. Егер компания деректерді қорғауда салғырттық танытса, Корея қоғамы оны қатты сынап, тұтынушылар тез теріс айналуы мүмкін.

2014 жылы Оңтүстік Кореяда үш бірдей ірі банктің несие карталарының деректері ұрланған кезде (елдегі 50 миллион халықтың басым бөлігін қамтыған) елде үлкен жанжал туындады. Миллиондаған азамат банктердің бөлімшелеріне ағылып, өз мәліметтерінің тағдырына алаңдап жатты. Нәтижесінде қаржылық қадағалау органдары банк басшылығын жауапқа тартты, компаниялар қатаң жазаланды, ал қоғамда цифрлық қауіпсіздікке қатысты тың реформа жүргізілді. Осы оқиғадан кейін Кореяда жеке деректерді шифрлау, ішкі бақылау жүйелерін күшейту секілді талаптар күшейіп қана қоймай, әрбір қызметкерге дербес ақпараттың жауапкершілігі түсіндіріле бастады. Қазір Кореяда ірі компаниялардан бастап шағын бизнеске дейін жеке деректерді қорғау мәдениеті бизнес үдерістерінің бір бөлігіне айналған деуге болады. Тіпті тұрмыстық деңгейде де құпиялыққа мән беріледі. Мысалы, Оңтүстік Кореяда (және Жапонияда) смартфон камерасымен суретке түсіргенде дыбыссыз режимге қойсаңыз да, жабдық міндетті түрде дыбыс шығарады. Бұл қоғамдық орында басқа біреуді жасырын суретке түсіріп, жеке өміріне қол сұғуға жол бермеудің мәдени және нормативтік шарасы. Мұндай ұсақ детальдің өзі сол қоғамдағы жеке өмірге деген құрмет деңгейін аңғартады. 

El.kz: Дербес деректерді қорғау мәдениеті қалай қалыптасады?

– Дербес деректерді құрметтеу мəдениеті бір күнде не бір заңмен қалыптаспайды, бұл қоғамның санасы мен институттарының ұзақ мерзімді эволюциясының жемісі. Алдымен түсіну керек маңызды нәрсе – заңнамалық талаптарды күшейту қажет болса да, тек жазалау саясаты жеткіліксіз. Егер ұйымдар мен азаматтар айыппұлдан қорыққандықтан ғана әрекет ететін болса, ол тұрақты мәдениетке айналмайды. Сарапшылардың айтуынша, қатал жазалау шаралары жүйелі проблемаларды шешпейді, керісінше, негізгі мәселелерді кейінге ысырып қояды. Қазақстандық контексте негізгі мәселе – кадрлардың біліктілігі мен ақпараттық мәдениеттің төмендігі. Сондықтан деректерді қорғау саласында білім беру мен ағарту ең басты орында тұруы тиіс.

El.kz: Қазақстанға дербес деректерді қорғау мәдениетін қалыптастыру үшін нақты не істеу қажет?

– Жоғарыда талқыланған мәселелерді ескере отырып, Қазақстанда дербес деректерді қорғау мәдениетін дамыту үшін мынадай нақты қадамдарды ұсынуға болады:

• Компаниялар үшін деректерді қорғау стандарттарын көтеру: Әр мекеме ішкі процестерін GDPR сияқты озық стандарттарға қарай бейімдеуі керек. Міндетті жауапты тұлға (комплаенс немесе DPO) тағайындап, қызметкерлерге тұрақты оқыту енгізсін. Дербес деректермен жұмыс барысында «қағаз үшін» емес, шынайы қауіпсіздік үшін әрекет ететін жағдай жасау – бірінші кезектегі міндет.
• Қызметкерді оқыту мен сертификаттау: IT мамандары, HR, маркетологтар барлығы дерлік жұмысында жеке мәліметтерді ұстайды. Сол себепті салалар бойынша дербес деректерді қорғау бойынша сертификатталған курстар ұйымдастырылуы керек.
• Құқықтық тетіктерді жетілдіру және орындауды қадағалау: Жақында қабылданған заңнамалық өзгерістер (мысалы, деректердің таралып кетуі жөнінде азаматтарды міндетті хабардар ету, жеке куәлік көшірмелерін негізсіз сұрауға тыйым салу, т.б.) өте орынды шаралар. Енді сол нормалардың іске асуын қатаң бақылау қажет. Әкімшілік айыппұлдардың ұлғайғаны жақсы, бірақ одан маңыздысы тиімділік.
• Қоғамдық сананы ояту: Жеке деректердің құндылығын әр азамат түсінуі шарт. Ол үшін кең ауқымды ақпараттық кампаниялар керек. Мысалы, теледидарда әлеуметтік жарнамалар («Жеке деректеріңіз – сіздің жеке меншігіңіз, оны сақтаңыз» деген сияқты ұрандармен) интернетте бейнероликтер, оқу-әдістемелік кітапшалар таратуға болады. Әсіресе, егде жастағы кісілер мен ауыл-аймақтағы тұрғындар үшін жергілікті әкімдіктер арқылы семинар-тренингтер өткізуді ойластырған жөн. Халық дербес деректерін талап етіп жатқан жерге сұрақ қоя білетіндей деңгейге жетуі керек: «Не үшін керек бұл мәлімет? Қайда пайдаланылады? Қалай қорғалады?» деп сұрап, қажет болмаса бермеуді әдетке айналдырғаны дұрыс. Мұндай сана қалыптасса, мекемелер де мәлімет сұрағанда абайлап, ойланып сұрайтын болады.
• Жағымды ынталандыру жүйесін енгізу: Жазалау ғана емес, мадақтау мен ынталандыру арқылы да мәдениет қалыптастыруға болады.

Қорытындылай келгенде, мəдениетсіз – құқық қорғау, құқықсыз мəдениет қалыптаспайды. Дербес деректерді қорғау – жай техникалық талап емес, əрбір азаматтың құқығы мен адами қадір-қасиетіне құрметтің айнасы. Қазақстанда осы түсінікті əлі де болса кеңінен орнықтыру қажет. Бизнес пен ұйымдар деректерді қорғауды сыртқы бақылаушыдан жасқанғандықтан емес, ішкі сенім мен жауапкершілік үшін атқаруға көшуі тиіс. Ол үшін заң да, жаза да керек, бірақ, ең бастысы, осы саладағы мəдениет революциясы.

Дербес деректерге немқұрайлы қарау – өткен дəуірдің еншісінде қалуы тиіс, ал жаңа заманда деректерге құрмет мәдениеті бəсекеге қабілеттіліктің, қоғамның өркениеттілігінің бір өлшеміне айналады. Кез келген компания үшін клиенттің сенімі – ең қымбат капитал, ал клиенттің сенімі ең алдымен оның жеке ақпаратын қалай қорғайтындығымен өлшенеді. Ендеше, Қазақстанның бизнестері мен мекемелері «айыппұлдан қорыққаннан қорғану» моделінен «дерек иесінің құқығын құрметтеу» моделіне көшуі қажет. Бұл – оңай міндет емес, бірақ орындалуы қоғамның барлық мүдделі тараптарының мемлекет, бизнес, азаматтық қоғам және әрбір азаматтың ортақ күш-жігерін талап етеді. Дербес деректерді қорғау мəдениеті қалыптасқанда ғана, еліміз цифрлық дəуірде қорғанысы мығым, сенімі нық қоғам бола алады жəне бұл мəдениет қалыптасуы үшін заң мен этика, жауапкершілік пен білім қатар өріліп жұмыс істеуі керек. «Деректерге құрмет» – əрқайсымыздың санамыздағы нормаға айналған күні нағыз цифрлық ұлт боламыз.