Digital Rights & Freedoms Landscape (drfl.kz)

2021-12-25 15:47:28 ​​ Программы шпионы: стирая грани частной жизни

Скандал с Pegasus

В июле 2021 года Верховный комиссар ООН по правам человека Мишель Бачелет сделала заявление о разоблачении широкомасштабного использования шпионского программного обеспечения (ПО) Pegasus для слежки за журналистами, правозащитниками, политиками и другими людьми в разных странах.

Данное ПО, изначально предназначенное для слежки за террористами, является продуктом израильской компании «киберразведки» NSO Group. Программа имеет способ проникновения в системы обмена сообщениями, включая Gmail, Facebook, WhatsApp, Facetime, Viber, WeChat, Telegram, встроенные мессенджеры, почту Apple и другие.

Скандал с Pegasus стал подтверждением одного из наиболее распространенных опасений, связанного с неправомерным доступом государства к цифровым устройствам граждан и использованием технологий цифровой слежки. Сравнительно недавно, в начале декабря, международная правозащитная организация Amnesty International подтвердила, что мобильные телефоны по меньшей мере четырех казахстанских гражданских активистов были заражены Pegasus.

Одним из казахстанцев, который также, возможно, стал объектом наблюдения ПО Pegasus, оказался 25-летний Темирлан Енсебек, автор страницы сатирических новостей Qaznews24 в Instagram, против которого ранее было возбуждено уголовное дело по статье 274 УК РК (распространение заведомо ложной информации).

По мнению Клаудио Гуарнери, сотрудника Лаборатории Безопасности Amnesty International, Pegasus отслеживает нажатие клавиш на заражённом устройстве — все письменные коммуникации и поисковые запросы, пароли — и передаёт их клиенту (клиентами NSO Group, по данным международного рейтингового агентства Moody’s, являются более 60 преимущественно правительственных учреждений в 35 странах мира), а также предоставляет доступ к голосовым данным и камере телефона.

Сама же компания NSO Group, заявляет, что Pegasus не является технологией, предназначенной для массовой слежки. «Она собирает данные только с мобильных устройств конкретных лиц, подозреваемых в причастности к серьезным преступлениям и терроризму», — говорится в отчёте компании о прозрачности и ответственности.

В контексте установления наблюдения и слежки за гражданами, стоит сказать, что данный формат слежки носил не массовый характер, а целенаправленный. В качестве примера, стоит вспомнить решение ЕСПЧ по делу Саббо и Висси против Венгрии, где Суд подчеркнул, что определение круга лиц, в отношении которых устанавливается слежка, должно происходить на основании «индивидуального подозрения» при наличии соответствующих материалов или фактов, подтверждающих получение жизненно важной информации, при проведении обыска и других следственных мероприятий.

Рекомендации для Казахстана

Проведённый анализ показывает, что национальным органам власти следует:

- обратить внимание на практику ЕСПЧ по возможности обжалования случаев массовой слежки и обратить внимание на проверку наличия достаточных оснований для перехвата определённых сообщений, коммуникаций в каждом конкретном случае;
- при проведении следственных мероприятий, обыска следует обращать внимание на критерии необходимости и соразмерности, применяемые в практике европейских государств. Данные критерии способствуют проверке адекватности применяемых мер;
- исключить из положений национального законодательства по обеспечению безопасности и борьбе с терроризмом любые расплывчатые формулировки, позволяющие произвольное применение этих положений;
- принять во внимание Руководящие принципы по защите правозащитников от Бюро ОБСЕ по демократическим институтам и правам человека (БДИПЧ), в соответствии с которыми следует рассмотреть отмену уголовной ответственности за распространение умышленно недостоверной диффамации, в том числе в интернете, за исключением той информации, которая может нанести тяжкий вред здоровью и широкую общественную опасность.

https://drfl.kz/ru/programmy-shpiony/ Ашу / Түсініктеме

2021-12-24 15:17:11 ​​ Digital Rights Center Qazaqstan директоры Руслан Дайырбеков Қазақстандағы карантиндік геоаналитика бізді азаматтардың құпиялылығы мен анонимділігінің күрделі мәселесін талқылауға қалай жетелейтіні туралы баяндайды.

Қазақстандағы карантиндік геоаналитика.

Азаматтардың жеке өміріне араласу дұрыс па, әлде бұрыс па?

«Мобильді абоненттер картасы» жоба туралы:
Жобаны пандемия кезінде мобильді операторлардың пайдаланушыларын геолокациялық талдау үшін мобильді байланыс операторларымен ынтымақтастықта Алматы қаласының цифрландыру басқармасы іске қосты. Геолокациялық картаны қалыптастыру үшін Carto деректерін визуализациялау құралы қолданылды, ал PowerBI құралы негізінде азаматтардың қозғалысы мен қоңырау белсенділігі туралы мәліметтермен корреляция жүзеге асырылды.

«Мобильді абоненттер картасы» қалай жұмыс істейді?

Геолокациялық талдау ұялы байланыс операторлары абоненттерінің белсенділігін болжайды және сағат сайын олардың жиналатын орындарын анықтайды. Үш оператордың деректерін қалыптастыру кезінде 500x500 метр квадраттар әдісімен біріктіру әдісі қолданылды. Қоңырау белсенділігін талдау үшін осындай әдіспен 102, 103, 1308, 1406 шұғыл қызметтеріне ұялы және тіркелген телефондардан барлық шақырулар тіркеледі.

Мобильдік деректер (геолокациялық деректер, мобильдік нөмірлерден шұғыл қызметтерге қоңыраулар), сыртқы деректер (азаматтардың Google-ден қозғалу динамикасы) және Алматы әкімдігі деректері (ашық деректер/жұқтыру бойынша ресми статистика) негізінде барлық деректерді Талдамалық порталдың бірыңғай дэшбордына шоғырландыратын корреляциялық оқиғалық есептілік қалыптастырылды covid-analytics.kz.

Анонимділік және деанонимизация.

Big Data озық технологияларын пайдаланатын «мобильдік абоненттер картасын» Data-аналитика саласындағы МЖӘ-нің жарқын мысалы ретінде лайықты түрде қарастырған жөн. Сонымен қатар, геоаналитиканы ұялы байланыс операторларының абоненттері туралы мәліметтер түрінде ұсыну жеке өмірге конституциялық құқықты бұзу қаупін тудыратынын ұмытпау керек, өйткені абоненттерді бақылау іс жүзінде жүзеге асырылады

Жобаға қатысушылардың деректерді өңдеуінің заңдылығын негіздей отырып, мемлекеттік органдар жобаға қатысушылар арасында деректерді беру оларды қалпына келтіру мүмкіндігінсіз тек біріктірілген (иесіздендірілген) түрде жүзеге асырылатынын түсіндірді. Алайда осы жерде сұрақ туындайды: абоненттерді иесіздендіру Big Data дәуірінде олардың анонимділік кепілі болып табыла ма?

Бүгінгі таңда бірнеше мәліметтер арасында корреляция құру арқылы жеке тұлғаны анықтау мүмкін болған кезде, бұл әдістің тиімділігі күмән тудырады. Тұлғаның бірегей сапасына қатысты кез-келген идентификатор немесе кез-келген ақпарат әртүрлі мәліметтер базасында осы адамды «тану» үшін негіз бола алады. Әлеуметтік желілердің және адамдар өздері туралы ақпарат қалдыратын басқа да веб-сайттардың пайда болуына байланысты деанонимизация тәуекелдері едәуір артты.

Ары қарай не болмақ?

Деректерге этикалық қол жеткізу шекараларын айқындау қоғамдық және жеке секторлардың құқықтары мен заңды мүдделеріне әсер ететін күрделі мәселе болып табылады. ҚР дербес деректерді қорғау туралы заңнамасын қайта қарау және оған Big Data сияқты жетілдірілген технологияларды қолданудың қазіргі заманғы түрлерін көрсететін түзетулер енгізу қажет.

Жеке деректерді қорғау туралы Еуропалық құқыққа ұқсас, отандық заң шығарушылар GDPR (General Data Protection Regulation) жеке деректерді қорғау жөніндегі бас Регламенттің Data Protection Impact Assessment (DPIA) тәуекелдерін бағалаудың құқықтық тетігін енгізу мүмкіндігін қарастыруы керек.

ЦДИАӨМ ақпараттық қауіпсіздік комитеті «мобильдік абоненттер картасы» жобасының азаматтардың қозғалысы бойынша агрегатталған ақпараттың бүкіл массивін жою жөніндегі заңнама талаптарының орындалуын қадағалауы; ал дербес деректердің сақталуына мемлекеттік бақылауды жолға қою жоспарында — бизнес және мемлекеттік органдар үшін иесіздендірілген деректермен жұмыс істеу бойынша ұсынымдар әзірлеуі қажет.

https://drfl.kz/kk/kazakstandagy-karantindik-geoanalitika/ Ашу / Түсініктеме

2021-12-22 15:31:45 ​​ Директор Digital Rights Center Qazaqstan Руслан Дайырбеков о том как карантинная геоаналитика в Казахстане неизбежно приводит нас к обсуждению сложной проблемы приватности и анонимности граждан

Карантинная геоаналитика в Казахстане. Благо или угроза вмешательства в частную жизнь?

О проекте «Карта мобильных абонентов»

Проект был запущен Управлением цифровизации г. Алматы в сотрудничестве с операторами мобильной связи для геолокационного анализа пользователей мобильных операторов во время пандемии. Для формирования геолокационной карты использовался инструмент визуализации данных Carto, а корреляция с данными по передвижению граждан и звонковой активности были реализованы на базе инструмента PowerBI.

Как работает «Карта мобильных абонентов»

Геолокационный анализ предполагает активность абонентов мобильных операторов и выявляет места их скопления на ежечасной основе. При формировании данных трех операторов применена методика агрегации методом квадратов 500x500 метров. Для анализа звонковой активности аналогичным методом фиксируются все вызовы с мобильных и фиксированных телефонов в экстренные службы 102, 103, 1308, 1406.

На основе мобильных данных (геолокационные данные, звонки в экстренные службы с мобильных номеров), внешних данных (динамика изменения передвижения граждан от Google) и данных акимата Алматы (открытые данные/официальная статистика по заражениям) сформирована корреляционная событийная отчётность, консолидирующая все данные в единый дэшборд аналитического портала covid-analytics.kz.

Анонимность и деанонимизация

«Карту мобильных абонентов», использующую передовые технологии Big Data, по достоинству следует рассматривать как яркий пример ГЧП в области Data-аналитики. При этом не следует забывать, что предоставление геоаналитики в виде данных по абонентам мобильных операторов несет также в себе риски нарушения конституционного права на неприкосновенность частной жизни, так как фактически осуществляется слежка за абонентами

Обосновывая законность обработки данных участниками проекта, госорганы поясняли, что передача данных между участниками проекта осуществляется исключительно в агрегированном (обезличенном) виде, без возможности их восстановления. Однако возникает вопрос: является ли обезличивание абонентов гарантией их анонимности в эпоху Big Data?

Сегодня, когда становится возможным идентифицировать личность посредством установления корреляций между несколькими фрагментами данных, эффективность данного способа вызывает сомнение. Любой идентификатор или любая информация об относительно уникальном качестве лица может служить основанием для «опознания» данного лица в различных базах данных. Риски деанонимизации значительно увеличились в связи с появлением соцсетей и иных веб-сайтов, где люди оставляют информацию о себе.

Что дальше?

Определение границ этичного доступа к данным — сложная проблема, затрагивающая права и законные интересы публичного и частного секторов. Необходим пересмотр законодательства РК о защите персональных данных и внесение в него корректив, отражающих современные виды применения усовершенствованных технологий, таких как Big Data.

По аналогии с европейским правом о защите персональных данных отечественным законодателям следует рассмотреть возможность внедрения правового механизма оценки рисков Data Protection Impact Assessment (DPIA) Генерального регламента по защите персональных данных GDPR (General Data Protection Regulation).

Комитету по информационной безопасности МЦРИАП следует проследить за выполнением требований законодательства по уничтожению всего массива агрегированной информации по передвижению граждан проекта «Карта мобильных абонентов»; а в плане налаживания госконтроля за сохранностью персональных данных — разработать рекомендации для бизнеса и госорганов по работе с обезличенными данными.

https://drfl.kz/ru/karantinnaia-geoanalitika-v-kazakhstane/ Ашу / Түсініктеме

2021-12-15 15:18:51 ​​ Үшінші тараптан сот төрелігі

Сот төрелігін тек сот қана жібермейді

Әділ сот талқылауына қол жеткізу құқығы саласындағы қолданыстағы заңнаманы және құқық қолдану практикасын зерделеу кейде қызықты жаңалықтарға алып келеді.
Мысалы, ҚР Конституциясының 75-бабының 1-тармағында былай делінген: «Қазақстан Республикасында сот төрелігін тек сот қана жүзеге асырады» . Алайда, конституциялық нормаға қарамастан, әкімшілік құқық бұзушылықтар бойынша істерді уәкілетті органдардың лауазымды адамдары (ӘҚБтК-нің Әкімшілік құқық бұзушылық туралы Кодексінің 43-тарауы) және Мемлекеттік кіріс органдары (МКО) қарауға құқылы (ӘҚБтК-нің 720-бабының 1, 2 және 3-тармақтары).

Құқық қорғаушылар ҮЕҰ-ның МКО қарсы ісі

Салық органдарының әкімшілік құқық бұзушылықтарды жоғарыда көрсетілген бап бойынша қарауының заңнамалық мүмкіндігі 2020 жылғы қараша-желтоқсанда МКО тарапынан қазақстандық құқық қорғаушы үкіметтік емес ұйымдарға қатысты әкімшілік істерді қозғауға алып келді.

Бұл ретте хаттамалар жасау және ҮЕҰ-ны әкімшілік жауапкершілікке тарту туралы қаулы шығару кезінде ауызша дәлелдер мен жазбаша куәліктер, сондай-ақ әкімшілік құқық бұзушылық құрамының жоқтығын растайтын құжаттар ескерілмеген.
Сонымен қатар, МКО тарапынан кінәсіздік презумпциясы қағидаты бұзылды. Дегенмен дәлелдемелердің ауыртпалығы айыптау жағында болғанмен ,сот процесінде ҮЕҰ өкілдері өздерінің кінәсіздігін дәлелдеуге мәжбүр болды.

460-1-бап бойынша әкімшілік істердің басым көпшілігін қарау онлайн режимінде мемлекеттік кірістер басқармалары (1-ші инстанция) және тиісті мемлекеттік кірістер департаменттері (2-ші инстанция) деңгейінде өтті.
Алайда, әкімшілік істерді онлайн режимінде қараған кезде МКО бейнеконференцбайланыс жүйесін болмауына байланысты (БКБ) пайдаланбайды, бірақ Meta компаниясының WhatsApp мессенджері арқылы жұмыс істеді. Бұл ретте WhatsApp тиісті сападағы ототүсірілімді және процестің бейнетіркеуін жүзеге асыруға мүмкіндік бермейді, сондай-ақ қатысушылардың барынша көп санына шектеу қойылады, бұл іс жүзінде процесс байқаушыларға, БАҚ өкілдеріне, сондай-ақ өзге де мүдделі үшінші тұлғаларға қатысуға мүмкіндік бермейді.

Бекіту және барлық мүдделі тараптарға қатысу мүмкіндігі туралы мәселені шешу үшін «ҮЕҰ айыпталушылары» салық органдарына ZOOM-да өз алаңдарын беруге мәжбүр болды. Басқаша айтқанда, жариялылықтың негізгі қағидатын сақтау және әкімшілік іс жүргізу барысын бақылауды, абсурд болса да «айыпталушы» тарапынан қамтамасыз етілді.

Онлайн режимде өткен құқық қолдану практикасының осы жағдайын ескере отырып, біздің ойымызша, уәкілетті органдарға да, атап айтқанда МКО-ға да бірқатар әкімшілік баптар бойынша сот функцияларын беру туралы шешім:
• уәкілетті органның өзін/МКО-ны қоспағанда, өндірістің басқа да қатысушыларының позициясынан кешенді түрде қаралған жоқ;
• онлайн өндіріс мүмкіндігі ескерілмегендіктен, БКБ-ның тиісті техникасы мен бағдарламалық қамтамасыз етуі болмады;
• бұл көбінесе әділ сот ісін жүргізу саласындағы адамның негізгі құқықтары мен бостандықтарына теріс әсер етеді.

Ұсынымдар

Осы бапта сипатталған жағдайды негізге ала отырып, Қазақстан Республикасының Жоғарғы сотына Қазақстан Республикасының Қаржы министрлігімен бірлесіп ұсынамыз:
1) салық құрылымдарының жауапты өкілдері қараған әкімшілік істер материалдарын материалдық және іс жүргізу құқығы қағидаттарын, сондай-ақ әділ сот талқылауы саласындағы халықаралық стандарттарды сақтау тұрғысынан зерделеу жөніндегі бірлескен жұмыс тобын құру;
2) әкімшілік процестерді, оның ішінде онлайн режимінде жүргізу бойынша салық құрылымдарының жауапты өкілдерінің кәсіби біліктілігін арттыру жөніндегі күнтізбелік жоспарды әзірлеу және бекіту;
3) салық құрылымдарының жауапты өкілдерін сот органдарында әкімшілік процестерді, оның ішінде онлайн режимінде жүргізу бойынша міндетті тағылымдамадан өткізу жөніндегі күнтізбелік жоспарды әзірлеу және бекіту;
4) салық органдары әкімшілік процестерді онлайн режимде қараған кезде БКБ жүйесін немесе оның аналогтарын енгізу жөніндегі жоспарды әзірлеу және бекіту.

https://drfl.kz/kk/ushinshi-taraptan-sot-toreligi/ Ашу / Түсініктеме

2021-12-14 16:04:34 ​​ Правосудие из третьих рук

Правосудие отправляет не только суд

Изучение действующего законодательства и правоприменительной практики в области права на доступ к справедливому судебному разбирательству приводит иногда к интересным открытиям.
К примеру, пункт 1 статьи 75 Конституции РК гласит: «правосудие в Республике Казахстан осуществляется только судом». Однако, несмотря на конституционную норму, рассматривать дела по административным правонарушениям также вправе должностные лица уполномоченных органов (глава 43 Кодекса об административных правонарушениях КоАП) и органы государственных доходов (ОГД) (пункты 1, 2 и 3 статьи 720 КоАП).

Дело ОГД против правозащитных НПО

Законодательная возможность рассмотрения налоговыми органами административных правонарушений по упомянутой статье привело в ноябре-декабре 2020 года к возбуждению административных дел со стороны ОГД в отношении казахстанских правозащитных неправительственных организаций.

При этом при составлении протоколов и вынесении постановления о привлечении НПО к административной ответственности не учитывались устные аргументы и письменные свидетельства, а также документы, подтверждающие отсутствие состава административного правонарушения.
К тому же, со стороны ОГД был нарушен принцип презумпции невиновности. В ходе разбирательства представители НПО были вынуждены доказывать свою невиновность, хотя бремя доказательств лежит именно на стороне обвинения.

Рассмотрение подавляющего большинства административных дел по статье 460-1 прошло в режиме онлайн на уровне управлений госдоходов и соответствующих департаментов госдоходов.
Однако при рассмотрении дел онлайн ОГД не используют систему видеоконференцсвязи (ВКС) по причине её отсутствия, а работают через мессенджер WhatsApp. При этом WhatsApp не позволяет осуществлять фотосъемку надлежащего качества и видеофиксацию процесса, а также имеет ограничение на максимальное количество участников, что фактически не позволяет участвовать в процессе наблюдателям, представителям СМИ, а также иным заинтересованным третьим лицам.

Для решения вопроса о фиксации и возможности принять участие всем заинтересованным сторонам «обвиняемые НПО» были вынуждены предоставлять налоговым органам свои площадки в ZOOM. Другими словами, соблюдение основного принципа гласности и наблюдение за ходом административного производства было обеспечено «обвиняемой» стороной, что является абсурдным по своей сути.

Учитывая данный случай правоприменительной практики, по нашему мнению, решение о передаче функций суда по целому ряду административных статей как уполномоченным органам, так и ОГД в частности:
• не было рассмотрено комплексно с позиции других участников производства, за исключением самого уполномоченного органа/ОГД;
• не учитывало возможность онлайн производства, в связи с чем отсутствовала соответствующая техника и программные обеспечения ВКС;

Рекомендации

В связи с этим предлагаем Верховному Суду Республики Казахстан совместно с Министерством Финансов Республики Казахстан:
1) создать совместную рабочую группу по изучению материалов административных дел, рассмотренных ответственными представителями налоговых структур на предмет соблюдения принципов материального и процессуального права, а также международных стандартов в области справедливого судебного разбирательства;
2) разработать и утвердить календарный план по повышению профессиональной квалификации ответственных представителей налоговых структур по ведению административных процессов, в том числе в режиме онлайн;
3) разработать и утвердить календарный план по обязательной стажировке ответственных представителей налоговых структур в судебных органах по ведению административных процессов, в том числе в режиме онлайн;
4) разработать и утвердить план по внедрению системы ВКС или её аналогов при рассмотрении налоговыми органами административных процессов в режиме онлайн.

https://drfl.kz/ru/pravosudie-iz-tretikh-ruk/ Ашу / Түсініктеме

2021-12-13 15:24:31 ​​ Ашық және дербес деректер

Ashyq-бұл мобильді құрылғы арқылы QR-кодты сканерлеу арқылы қызметке қосылған белгілі бір мекемелерге кіру үшін адам өзінің мәртебесін біле алатын бағдарламалық жасақтама.
ЖШС «Digital Innovation and Transformation» БҚ әзірлеушіcі болып табылады. Ashyq iOS және Android құрылғыларында мобильді қосымшалар түрінде, сондай-ақ сайттағы веб-нұсқа түрінде ұсынылған https://ashyq.kz. Бағдарлама Kaspi, Сбербанк және Halyk, Aitu мессенджері, сондай-ақ eGov Mobile банктерінің қосымшаларына біріктірілген.

Штрих-кодты пайдаланушы сканерлеген кезде сұрау салу ҚР Денсаулық сақтау министрлігінің Ұлттық сараптама орталығының (ҰСО БИП) бірыңғай интеграциялық порталына жіберіледі, жауап сұрау салуда пайдаланушыға тәуекел рейтингі бойынша мәртебесі туралы ақпарат беріледі:
• жасыл мәртебе- теріс ПТР тесті немесе вакцинация фактісінің болуы;
• көк мәртебе-ПТР тесті туралы ақпарат жоқ, адам covid-19 жұқтырған адаммен байланыста болғаны ретінде саналмайды;
• сары мәртебе — келуші covid-19 жұқтырған адаммен байланыста болған болып табылады;
• қызыл мәртебе — келуші дерекқорда вирус жұқтырған ретінде тіркелген;

Ashyq пайдаланушы келісімін талдау

Ashyq пайдаланушы келісімі келесі сілтемелер бойынша орналастырылған:
1. https://zertteu.gov.kz/privacy;
2. https://ashyq.btsdigital.kz/assets/temp-cached/resources/pdf/user-agreement.pdf;
3. https://curs.kz/ashyq/privacy.txt.

Пайдаланушы келісімінің редакциялары арасында, атап айтқанда — Zertteu веб-сайтындағы нұсқа мен басқа екі нұсқа арасында-келесі аспектілерде айтарлықтай айырмашылықтар бар:
1. Пайдаланушы келісімінің субъектілері,
2. Деректерді жинауды және өңдеуді жүзеге асыратын ақпараттық жүйелердің атауы,
3. Ashyq қолдану мақсаттары,
4. Қауіпсіздік мәртебесін түсіндіру,
5. Дербес деректерді алатын мемлекеттік органды белгілеу.

Дербес деректерге қатысты

Пайдаланушының мәртебесі туралы ақпарат «жеке медициналық деректер» анықтамасына түседі. Бұл Ashyq бағдарламасының қарама-қайшылығы: бұл деректерге жобаға қатысушы медицина қызметкері болып табылмайтын және оларды мемлекеттік органға беруге міндетті, мекеме күзетшісі арқылы қол жеткізеді. Бұл факт «Халық денсаулығы және денсаулық сақтау жүйесі туралы» кодекстің 273-бабының 2-тармағына қайшы келеді.
- Егер келуші мәліметтерді беруден бас тартса, ол қандай да бір ғимаратқа, оның ішінде мемлекеттік қызметтерді ала алатын жерге кіре алмайды, бұл еркін жүріп-тұру Конституциялық құқығымен байланысты.
- Келісімде қолданба жеке деректерді және пайдаланушының орналасқан жерін жинамайды және жібермейді. Бұл ретте ЦДИАӨМ күн сайын деректерді СЭБК АД-ке жібереді. Сондай-ақ QR сканерлеу кезінде «қызыл» немесе «сары» мәртебесі бар пайдаланушылар туралы Мемлекеттік органды хабардар ету жүзеге асырылады.

Қорытынды: Ashyq жүйесінің жұмысында, біздің ойымызша, келесі мәселелер бар:
1. Пайдаланушы келісімдерінің редакциялары арасындағы, сондай-ақ келісімнің тармақтары арасындағы сәйкессіздіктер
2. Пайдаланушы келісімдері әртүрлі ресурстарда болуы.
3. Күмәнді «Ашық көшбасшылар» санаты – карантиндік іс-шаралар кезінде жеңілдіктерді, әдетте, шағын және орта бизнеске қарағанда келушілер ағыны көбірек ірі бизнес өкілдері алады.
4. Ashyq енгізу арқылы шектеу шараларының пропорционалдылығы туралы мәселе.
5. Қосымшалардағы пайдаланушы мәртебесінің әртүрлі атаулары.
6. Ashyq жобасына қатысушыдан пайдаланушының жеке медициналық деректерін мемлекеттік органдарға берудің дербес деректер және оларды қорғау туралы заңнамаға және «Халық денсаулығы және денсаулық сақтау жүйесі туралы» Кодексіне сәйкестігі мәселелері.

Толығырақ-сайттағы мақалада: https://drfl.kz/kk/ashyk-zhane-derbes-derekter/ Ашу / Түсініктеме

2021-12-10 15:06:51 ​​ Ashyq и персональные данные
⠀
Ashyq – это программное обеспечение, с помощью которого человек может узнать свой статус для входа в те или иные заведения, подключенные к сервису, путем сканирования QR-кода через своё мобильное устройство.
Разработчик ПО — ТОО «Digital Innovation and Transformation». Ashyq представлен в виде мобильных приложений на устройствах iOS и Android, а также в виде веб-версии на сайте https://ashyq.kz. Программа также интегрирована в приложения банков Kaspi, Сбербанк и Halyk, мессенджера Aitu, а также eGov Mobile.
⠀
При сканировании пользователем штрих-кода запрос направляется в Единый интеграционный портал Национального центра экспертизы (ЕИП НЦЭ) Министерства здравоохранения РК, в ответном запросе пользователю предоставляется информация о статусе по рейтингу риска:
- зелёный статус — отрицательный ПЦР-тест, либо наличие факта вакцинации;
- синий статус — отсутствует информация по ПЦР-тесту, человек не числится как контактный с - зараженным COVID-19;
- желтый статус — посетитель является контактным;
- красный статус — посетитель зарегистрирован в базе данных как зараженный.
⠀
Анализ пользовательского соглашения Ashyq
Пользовательское соглашение Ashyq имеется сразу на трёх площадках:
1. На сайте мобильного приложения Zertteu;
2. на сайте компании BTS Digital;
3. и на сайте ТОО «Центр устойчивого развития столицы».
⠀
Между редакциями пользовательского соглашения, в частности — между версией на сайте Zertteu и двумя другими версиями — существуют значимые различия в следующих аспектах:
1. субъекты пользовательского соглашения,
2. наименования информационных систем, осуществляющих сбор и обработку данных,
3. цели использования Ashyq,
4. толкования статусов безопасности,
5. обозначение госоргана, получающего персональные данные.
⠀
Что касательно персональных данных?
⠀
- Информация о статусе пользователя попадает под определение «персональные медицинские данные». И в этом противоречие программы Ashyq: доступ к этим данным получает участник проекта в лице охранника заведения, который не является медицинским работником, и который обязан передать их госоргану. Данный факт идёт в противоречие с пунктом 2 статьи 273 Кодекса «О здоровье народа и системе здравоохранения».
- Если же посетитель откажется предоставлять данные, он не сможет войти в какое-либо здание, в том числе, в то, где он бы мог получить госуслуги, что соприкасается с конституционным правом на свободу передвижения.
- В соглашении указано, что приложение не собирает и не отправляет персональные данные и местоположение пользователя. При этом МЦРИАП ежедневно направляет данные в ТД КСЭК. Также осуществляется уведомление госоргана о пользователях с «красным» или «желтым» статусом при сканировании QR.
⠀
Вывод: в работе системы Ashyq, на наш взгляд, существуют следующие проблемы:
⠀
1. Несостыковки между редакциями пользовательских соглашений, а также между пунктами соглашения.
2. Пользовательские соглашения находятся на разных ресурсах.
3. Сомнительная категория «Лидеры Ashyq» — льготы во время карантинных мероприятий, как правило, получают представители большого бизнеса, имеющие больший поток посетителей чем малый и средний бизнес.
4. Вопрос соразмерности ограничительных мер путем введения Ashyq.
5. Разные наименования статусов пользователя в приложениях.
6. Вопросы соответствия передачи персональных медицинских данных пользователя от участника проекта Ashyq государственным органам законодательству о персональных данных и их защите и Кодексу «О здоровье народа и системе здравоохранения».
⠀
Подробнее — в статье на сайте: https://drfl.kz/ru/ashyq-i-personalnye-dannye/ Ашу / Түсініктеме

2021-12-02 16:10:57 ​​ Мәжілістің дербес деректерді қорғау мәселелері жөніндегі түзетулермен жұмыс жөніндегі жұмыс тобының қорытындылары

2021 жылғы 23-25 қарашада онлайн режимде «Қазақстан Республикасының кейбір заңнамалық актілеріне сауда қызметі және биржалық сауданы дамыту, дербес деректерді қорғау мәселелері бойынша өзгерістер мен толықтырулар енгізу туралы» Заң жобасын қарау бойынша Парламент Мәжілісінің жұмыс тобының мәжілістері өтті. Мәжілістер жұмыс тобының жетекшісі, Мәжіліс депутаты, экономикалық реформа және өңірлік даму Комитетінің мүшесі Екатерина Смышляеваның төрағалығымен өтті.

Бірінші жиналыс

Цифрлы даму, инновациялар және аэроғарыш өнеркәсібі министрлігі Ақпараттық қауіпсіздік комитетінің төрағасы (ЦДИАӨМ АҚК) Руслан Әбдіқалықов, Екатерина Смышляеваның атынан сауда қызметі және биржалық сауданы дамыту мәселелері жөніндегі заң жобасына қосымша енгізілген дербес деректерді қорғау мәселелері бойынша заңнамалық актілерге түзетулерді таныстырды.

Екінші жиналыс

Депутаттар 2013 жылғы 21 мамырдағы «Дербес деректер және оларды қорғау туралы» Заңның 9-бабының 9) тармағына Қаржы нарығын реттеу және дамыту агенттігі (ҚНРДА) ұсынған толықтырулар туралы алаңдаушылық білдірді. Мемлекеттік орган осы Заңның 9-бабының 9) тармағын мынадай редакцияда баяндауды ұсынды:
«9) Қазақстан Республикасының заңнамасына сәйкес Қаржы нарығы мен қаржы ұйымдарын реттеуді, бақылауды және қадағалауды жүзеге асыратын мемлекеттік орган ақпаратты, жеке және заңды тұлғалардан ақпаратты алған және үшінші тұлғаларға берген жағдайларда жүзеге асырылады».

Өз кезегінде, Еуразиялық цифрлы қор жоғарыда көрсетілген толықтыруға қатысты мынадай сараптамалық пікір білдірді:
9-баптың 9) тармағына толықтыруды талдай отырып, Қазақстанда 2020 жылғы 7 шілдеде цифрлы технологияларды реттеу мәселелері бойынша өзгерістер мен толықтырулар күшіне енгенін атап өткен жөн. Осылайша,«Дербес деректер және оларды қорғау туралы» Қазақстан Республикасының Заңында «алдын ала белгіленген мақсатпен өңдеуді шектеу» халықаралық қағидаты бекітілген. Заң мемлекеттік органдар дербес деректерді міндетті түрде иесіздендіру шартымен оларды статистикалық мақсаттар үшін пайдаланған жағдайларда «қайталама» өңдеуге келісім талап етілмейтін жағдайларды көздеді. Сонымен қатар,«ақпаратты үшінші тұлғаларға беру» туралы ұсынылып отырған толықтыру жоғарыда аталған қағидатты бұзу болып табылады, өйткені ұсынылып отырған «үшінші тұлғаларға беру» тек мемлекеттік органдарға берумен шектелмейді, бірақ іс жүзінде «шектеусіз адамдар тобына» берілуі мүмкін.
Осыған байланысты Еуразиялық цифрлы қор редакциядан «үшінші тұлғаларға беру» қосымшасын алып тастауды және қолданыстағы норманы өзгеріссіз қалдыруды ұсынды.

Үшінші жиналыс

Тиісті мемлекеттік органдармен келісілгеннен кейін ЦДИАӨМ АҚК 9-баптың 9) тармағының пысықталған редакциясын талқылауға ұсынды:
«9) Қаржы нарығы мен қаржы ұйымдарын реттеуді, бақылауды және қадағалауды жүзеге асыратын мемлекеттік органның Қазақстан Республикасының заңнамасына сәйкес жеке және заңды тұлғалардан ақпарат алуы және олар осы Заңның талаптарын сақтаған жағдайда ақпаратты үшінші тұлғаларға беруі».

Қорытындылар

«Қазақстан Республикасының кейбір заңнамалық актілеріне сауда қызметі және биржалық сауданы дамыту, дербес деректерді қорғау мәселелері бойынша өзгерістер мен толықтырулар енгізу туралы» Заң жобасын қарау жөніндегі Мәжілістің жұмыс тобы отырыстарының нәтижелері бойынша уәкілетті орган ұсынған дербес деректерді қорғау жөніндегі негізгі тұжырымдамалық ережелерді депутаттар қолдағанын және көпшілік дауыспен қабылданғанын атап өткен жөн.

https://drfl.kz/kk/derbes-derekter-turaly-zan-zhobasy/ Ашу / Түсініктеме

2021-11-30 15:15:18 ​​ Итоги рабочей группы Мажилиса по работе над поправками по вопросам защиты персональных данных

23-25 ноября 2021 года в онлайн режиме состоялись заседания рабочей группы Мажилиса по рассмотрению проекта Закона «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам торговой деятельности и развития биржевой торговли, защиты персональных данных». Заседания были проведены под председательством руководителя рабочей группы, депутата Мажилиса Екатерины Смышляевой.

Первое заседание

Председателем КИБ МЦРИАП Абдикаликовым Русланом были презентованы поправки в законодательные акты по вопросам защиты персональных данных, которые были дополнительно включены в проект закона по вопросам торговой деятельности и развития биржевой торговли от имени Екатерины Смышляевой.

Второе заседание

Депутаты выразили озабоченность относительно дополнения в пункт 9) статьи 9 Закона «О персональных данных и их защите» от 21 мая 2013 года, предложенного Агентством по регулированию и развитию финансового рынка (АРРФР). Государственный орган предложил изложить пункт 9) статьи 9 данного закона в следующей редакции:
"9) получения и передачи информации третьим лицам государственным органом, осуществляющим регулирование, контроль и надзор финансового рынка и финансовых организаций, информации от физических и юридических лиц в соответствии с законодательством Республики Казахстан".

В свою очередь, Евразийским цифровым фондом было представлено следующее экспертное мнение относительно вышеуказанного дополнения:

"Анализируя дополнение в пункт 9) статьи 9, следует отметить, что в Казахстане 7 июля 2020 года вступили в силу изменения и дополнения по вопросам регулирования цифровых технологий. Так, в Законе Республики Казахстан «О персональных данных и их защите» закреплён международный принцип «ограничения обработки заранее определенной целью». Закон предусмотрел случаи, при которых, согласие на «вторичную» обработку не требуется в случаях использования государственными органами персональных данных для статистических целей с обязательным условием их обезличивания. В то же время, предлагаемое дополнение о «передаче информации третьим лицам» является нарушением вышеуказанного принципа, так как предлагаемая «передача третьим лицам» явно не ограничивается передачей лишь государственным органам, а может передаваться, по сути, «неограниченному кругу лиц».
В этой связи было предложено убрать из редакции дополнение «передача третьим лицам» и оставить действующую норму без изменений".

Третье заседание

После согласования с соответствующими государственными органами КИБ МЦРИАП представил на обсуждение следующую доработанную редакцию пункта 9) статьи 9:
"9) получения государственным органом, осуществляющим регулирование, контроль и надзор финансового рынка и финансовых организаций, информации от физических и юридических лиц в соответствии с законодательством Республики Казахстан и передачи информации третьим лицам, при условии соблюдения ими требований настоящего Закона".

Однако и здесь Евразийский цифровой фонд не согласился с данной юридической конструкцией, так как факт «передачи третьим лицам» остался:
"Вторично передавать/обрабатывать можно только для статистических целей и при условии обезличивания или при наличии отдельного согласия субъекта персональных данных. Уточнение «при условии соблюдения ими требований настоящего закона», по сути, ссылается на вышеуказанные требования действующего закона и концептуально не меняет содержание предлагаемого дополнения.
В результате обсуждений депутаты не поддержали дополнение в пункт 9) статьи 9, предложенное АРРФР, и оставили норму в действующей редакции".

Итоги

По результатам заседаний рабочей группы Мажилиса по рассмотрению законопроекта, следует отметить, что основные концептуальные положения по защите персональных данных, презентованные уполномоченным органом, были поддержаны депутатами и приняты большинством голосов.

http://drfl.kz/ru/zakonoproekt-o-personalnyh-dannyh/ Ашу / Түсініктеме

2021-11-28 15:25:26 ЖАҢА СЫН-ҚАТЕРЛЕР: БИЗНЕС, ИНТЕРНЕТ ЖӘНЕ АДАМ ҚҰҚЫҚТАРЫ
⠀
Цифрлы құқықтар саласында жаңа сын-қатерлердің ерекшелігі интернетте өз қызметтерін пайдаланушылар үшін өз ережелерін қалыптастыратын ірі халықаралық IT-корпорациялардың басым болуымен байланысты. Әлемдік цифрлы ортадағы мемлекеттің күші айтарлықтай шектеулі, өйткені елдер және олардың ресми өкілдері виртуалды платформалардың пайдаланушылары болып табылады және олар көбінесе жалпы ережелерге бағынады.
⠀
Цифрлы құқықтар тұрғысынан адам құқықтарының толық жиынтығы туралы айтылып отыр, соның ішінде:
● ақпараттық-коммуникациялық инфрақұрылым операторлары арқылы Интернетке қол жеткізу;
● іздеу жүйелері, браузерлер, әлеуметтік желілер, сайттар, блог-платформалар, мессенджерлер арқылы ақпаратқа қол жеткізу және тарату, сөз бен пікір білдіру бостандығы;
● құпиялылық құқығы және киберқауіпсіздік саласындағы өнімдер арқылы жеке деректерді қорғау, мысалы, антивирустар, анонимдік қауіпсіздік қызметтері, пароль менеджерлері;
● ресми цифрлы мемлекеттік ресурстар, электрондық демократия және қатысу жүйелері арқылы мемлекеттік істерді басқаруға қатысу құқығы;
● тіпті қозғалыс бостандығы желілік (цифрлы) сәйкестігін сақтау орнын таңдау және физикалық тұрғыда бүкіл әлемде бар қызметтер арасында деректерді жіберу бостандығы ретінде қарастыруға болады.
⠀
Халықаралық стандарттар
⠀
Бизнес және адам құқықтары бағытындағы алғашқы құжаттардың бірі деп, 2000 жылғы 26 шілдедегі «БҰҰ Жаһандық шартын» санауға болады, ол корпоративтік әлеуметтік жауапкершілік саласындағы ірі бастама болып табылады және адам құқықтарын, еңбек қатынастарын, қоршаған ортаны қорғау мен сыбайлас жемқорлыққа қарсы күресті қамтитын 10 негізгі қағидаттан тұрады. Келісім - шарт аясында бизнес және адам құқықтары бойынша нұсқаулықтар, саясаттар және білім беру материалдары әзірленіп, таратылады.
⠀
Ұлттық құқық нормалары
⠀
Қазақстанда бизнестің адам құқықтары саласындағы міндеттемелері бойынша бейінді нормативтік құқықтық актілер (НҚА) жоқ, бірақ мемлекет адам құқықтары саласындағы халықаралық құжаттарды мойындады және адам құқықтарымен, әсіресе цифрландыру және жаңа технологиялар саласындағы бизнес қызметін тікелей немесе жанама түрде реттейтін ұлттық нормалар бар.
⠀
Қазақстанда 2020 жылға арналған бизнес және адам құқықтары жөніндегі ережесі
⠀
2020 жылдың сәуір айының соңында ҚР ЦДИАӨМ деректеріне сәйкес елімізде «интернетті пайдаланушылар саны 18 миллион жалпы халқының 84,2% - ын құрайды». DataReportal халықаралық порталының деректері бойынша 2020 жылғы қаңтарға Қазақстанда 14,73 миллион (18 миллион адам халқының 81,8%) интернет-пайдаланушылар болды, оның ішінде 9,5 миллион (интернет-пайдаланушылар санының 64,5%) әлеуметтік желілерді пайдаланады.
⠀
Статистика бойынша ел халқының көп бөлігі Интернет пен әлеуметтік желілерді пайдаланады. Цифрлы ортада болу және күн сайын әртүрлі цифрлы қызметтерді пайдалану, IT-компаниялардың өнімдері арқылы ақпарат алып және алмаса отырып, адам құқықтарының толық спектрінің әртүрлі бұзылуларына кезігуі мүмкін.
⠀
report2020.drfl.kz Ашу / Түсініктеме