Müasir dünyada fərdi məlumatların qorunması texnologiya və informasiya cəmiyyətinin ən vacib mövzularından birinə çevrilib. Hər gün milyardlarla insan internetdən, rəqəmsal xidmətlərdən və mobil tətbiqlərdən istifadə edərkən öz məlumatlarını könüllü və ya qeyri-ixtiyari şəkildə paylaşır. Bu kontekstdə Avropa İttifaqının qəbul etdiyi GDPR (General Data Protection Regulation) – Ümumi Məlumatların Qorunması Qaydası, yalnız Avropa üçün deyil, bütün dünyada rəqəmsal hüquqlar və şəxsi məxfiliyin əsas hüquqi çərçivəsinə çevrilib. GDPR fərdi məlumatların toplanması, işlənməsi və saxlanması üzrə sərt tələblər qoyur, şəxslərə öz məlumatları üzərində real nəzarət verir və şirkətlər üçün ciddi məsuliyyət və cərimə mexanizmləri formalaşdırır. Azərbaycan da daxil olmaqla, Avropa İttifaqı ilə işləyən və ya Avropa vətəndaşlarının məlumatlarını emal edən bütün qurumlar bu qaydalara riayət etməlidir. GDPR-in mahiyyəti yalnız texniki və hüquqi mexanizm deyil, həm də müasir insanın məxfiliyinə və informasiya təhlükəsizliyinə verilən ən ciddi sosial dəyərdir.
GDPR-in yaranma tarixi və əsas məqsədi
GDPR 2016-cı ildə qəbul edilib və 2018-ci il mayın 25-dən etibarən Avropa İttifaqı ölkələrində məcburi tətbiq olunmağa başlanıb. Bu qaydaların əsas məqsədi Avropa vətəndaşlarının şəxsi məlumatlarını qorumaq, rəqəmsal məkanın hüquqi tənzimlənməsini təkmilləşdirmək və şirkətlərə, dövlət qurumlarına, həmçinin qeyri-kommersiya təşkilatlarına vahid standart yaratmaqdır. GDPR-in yaranmasına səbəb olan əsas amillər – rəqəmsal texnologiyaların sürətli inkişafı, böyük məlumat bazalarının (big data), süni intellekt və bulud texnologiyalarının gündəlik həyatda geniş yayılması, eyni zamanda, şəxsi məlumatlardan sui-istifadə və məxfi məlumatların yayılması hallarının artması olub.
GDPR-in tətbiq olunduğu subyektlər və coğrafiya
GDPR təkcə Avropa İttifaqı ölkələri üçün deyil, Avropa İttifaqı vətəndaşlarının məlumatlarını toplayan və emal edən istənilən ölkədəki təşkilatlar üçün məcburidir. Yəni Azərbaycanda, Türkiyədə, ABŞ-da və digər ölkələrdə fəaliyyət göstərən hər hansı şirkət Avropa vətəndaşına xidmət göstərirsə, onun məlumatlarını emal edirsə və ya vebsaytı Avropa İttifaqına açıqdırsa, həmin qurumlar da GDPR tələblərinə əməl etməyə borcludur. Bu, GDPR-i qlobal miqyasda ən təsirli məlumat qoruma qanunlarından birinə çevirir.
GDPR-in əsas anlayışları və terminləri
GDPR çərçivəsində bir sıra əsas anlayış və terminlər mövcuddur. “Şəxsi məlumat” – bir şəxsi birbaşa və ya dolayı yolla tanıdan istənilən məlumatdır (ad, soyad, ünvan, e-mail, IP ünvanı, biometrik və tibbi məlumatlar, geolokasiya və s.). “Emal” – şəxsi məlumatın toplanması, qeydiyyatı, strukturlaşdırılması, saxlanılması, dəyişdirilməsi, ötürülməsi və ya məhv edilməsidir. “Məlumat subyekti” – öz məlumatı emal edilən istənilən fiziki şəxs, “məlumat nəzarətçisi” isə həmin məlumatları emal edən təşkilat və ya şəxsdir. “Məlumat emalçısı” – məlumat nəzarətçisinin tapşırığı ilə məlumatı emal edən başqa şəxs və ya qurumdur.
GDPR-in əsas prinsipləri
GDPR-in prinsipləri çoxsahəlidir və bütün məlumat emalı proseslərinin mərkəzində durur:
- Qanunauyğunluq, şəffaflıq və ədalətlilik – Məlumatlar yalnız qanuni məqsədlərlə, şəffaf şəkildə və ədalətli emal edilməlidir.
- Məhdudlaşdırma və məqsədə uyğunluq – Yalnız konkret, açıq və qanuni məqsədlər üçün məlumat toplamaq olar.
- Məlumatların minimuma endirilməsi – Yalnız zəruri olan qədər məlumat emal edilməlidir.
- Dəqiqlik – Emal olunan məlumatlar həmişə aktual və dəqiq olmalıdır.
- Saxlama müddətinin məhdudlaşdırılması – Məlumatlar yalnız lazım olan müddətə saxlanılır.
- Təhlükəsizlik və məxfilik – Məlumatlar üçün texniki və təşkilati təhlükəsizlik tədbirləri görülməlidir.
- Cavabdehlik – Məlumat nəzarətçisi bu prinsiplərə əməl etdiyini sübut etməyə borcludur.
GDPR-in tətbiqi və praktiki nümunələri
GDPR-in real həyatda tətbiqi şirkətlərin və dövlət orqanlarının siyasətində köklü dəyişikliklərə səbəb olub. Vebsaytlarda “cookie” razılıq formaları, məlumat subyektinin məlumatlarının silinməsi (“unutulma hüququ”), məlumatların üçüncü tərəfə ötürülməsinin məhdudlaşdırılması, xüsusi məlumatların şifrələnməsi və məlumatların emalı barədə açıq məlumat verilməsi kimi yeni standartlar məcburi hala gəlib. Hər bir istifadəçi öz məlumatı üzərində hüquq əldə edir: soruşa, düzəldə, məhdudlaşdıra və ya tamamilə sildirdə bilər.
Bir şirkətin GDPR tələbinə cavab verməsi üçün addımları belə bölmək olar:
- Məlumat emal xəritəsinin hazırlanması (hansı məlumat, harada, necə saxlanır)
- Daxili siyasət və təlimatların yaradılması
- İstifadəçi razılığı və hüquqlarının təminatı üçün mexanizmlər
- Texniki təhlükəsizlik tədbirlərinin görülməsi (şifrələmə, məhdudlaşdırma)
- Daxili və xarici auditlərin aparılması
- Təcili məlumat sızıntısı planının hazırlanması
GDPR-in vətəndaşlara verdiyi əsas hüquqlar
GDPR-in ən mühüm xüsusiyyəti şəxslərə aşağıdakı fundamental hüquqları verməsidir:
- Məlumatlara çıxış hüququ (hansı məlumatların saxlandığını bilmək)
- Məlumatların düzəldilməsi və silinməsi hüququ
- Emala etiraz və məhdudlaşdırma hüququ
- Daşınma hüququ (məlumatı başqa quruma ötürmək)
- Razılığın geri çağırılması
- Məlumatların emalı barədə məlumat almaq hüququ
Bu hüquqlar Avropa vətəndaşları üçün standart olaraq təmin edilir, lakin Azərbaycanda və digər ölkələrdə fəaliyyət göstərən qurumlar da Avropa İttifaqı vətəndaşının məlumatını emal edərkən eyni qaydalara tabe olurlar.
GDPR-in pozulmasına görə cərimələr və sanksiyalar
GDPR-in pozulmasına görə cərimələr olduqca yüksəkdir və şirkətlərin illik dövriyyəsinin 4%-dək və ya 20 milyon avroya qədər məbləğ təşkil edə bilər. Cərimənin miqdarı pozuntunun ağırlığından, məlumatların həcmindən və şirkətin tədbir görmə səylərindən asılıdır. Bir çox dünya nəhəngləri (Google, Facebook, British Airways və s.) son illər ərzində milyonlarla avro cərimə ödəməli olublar.
Aşağıdakı cədvəldə GDPR pozuntusuna görə cərimələrin bəzi nümunələri təqdim olunur:
| Şirkət adı | Cərimə məbləği | Səbəb |
|---|---|---|
| 50 milyon avro | Razılıq mexanizmlərinin pozulması | |
| British Airways | 22 milyon avro | Məlumat sızıntısı və təhlükəsizlik zəifliyi |
| Marriott | 20 milyon avro | Müştəri məlumatlarının sızması |
| H&M | 35 milyon avro | İşçi məlumatlarının icazəsiz emalı |
GDPR-in Azərbaycan və beynəlxalq hüquq sistemində rolu
Azərbaycan hələ tam Avropa standartlarında GDPR səviyyəsində bir qanun qəbul etməsə də, fərdi məlumatların qorunması sahəsində hüquqi islahatlara başlayıb. Azərbaycanın yeni rəqəmsal iqtisadiyyat modelində, xüsusən Avropa İttifaqı ilə əməkdaşlıq edən şirkətlərdə, GDPR tələblərinin tətbiqi ön plana çıxır. Beynəlxalq bizneslər, texnologiya və xidmət platformaları məxfi məlumatlarla işləyərkən öz sistemlərini GDPR tələblərinə uyğunlaşdırmağa məcbur olur.
GDPR və rəqəmsal gələcəyin çağırışları
İnformasiya texnologiyaları sürətlə inkişaf etdikcə GDPR-in aktual saxlanması, yeni texnologiyaların (məsələn, süni intellekt, blokçeyn, böyük məlumat bazaları) şəxsi həyatın qorunmasına necə təsir göstərməsi məsələləri gündəmdə qalır. Bir tərəfdən məlumatların sərbəst hərəkəti, digər tərəfdən insanın informasiya hüququ balanslaşdırılmalı, texnoloji yeniliklərlə insan hüquqları arasında harmoniya tapılmalıdır.
GDPR rəqəmsal əsrdə fərdi məlumatların qorunmasında ən yüksək hüquqi və etik standartdır. Bu tənzimləmə fərdi hüquqları və insan məxfiliyini müdafiə edir, şirkətləri və dövlət orqanlarını məsuliyyətə cəlb edir, rəqəmsal gələcəyin daha etibarlı və şəffaf olmasına zəmin yaradır. Məlumatların təhlükəsizliyi, insan hüquqları və müasir texnologiyanın ahəngdar inkişafı üçün GDPR-in prinsiplərinə əməl etmək hər bir təşkilat və fərd üçün vacibdir.
Ən Çox Verilən Suallar
GDPR (General Data Protection Regulation) – Avropa İttifaqında şəxsi məlumatların qorunması və fərdi məxfiliyin təmin olunması üçün qəbul edilmiş hüquqi normativ aktdır. Məqsəd fərdi məlumatların təhlükəsizliyini və istifadəçi hüquqlarını qorumaqdır.
GDPR yalnız Avropa İttifaqı ölkələrində deyil, həm də Avropa vətəndaşlarının məlumatlarını toplayan və emal edən bütün şirkət və qurumlara şamil olunur.
Şəxsi məlumat – bir insanı birbaşa və ya dolayı yolla tanıdan hər hansı məlumatdır. GDPR bu məlumatların yalnız qanuni, şəffaf və məqsədəuyğun şəkildə işlənməsini tələb edir.
Əsas prinsiplərə qanunauyğunluq, şəffaflıq, məqsədəuyğunluq, məlumatların məhdudlaşdırılması, dəqiqlik, təhlükəsizlik və saxlanma müddətinin məhdudlaşdırılması daxildir.
İstifadəçi məlumatlarına çıxış, düzəliş, silinmə, məhdudlaşdırma, daşınma, emala etiraz, razılığın geri çağırılması və məlumat emalı barədə məlumat almaq hüququ təmin edilir.
GDPR pozuntusuna görə şirkətlərin illik dövriyyəsinin 4%-dək və ya 20 milyon avroya qədər cərimə tətbiq edilə bilər. Cərimənin miqdarı pozuntunun ağırlığından asılıdır.
Vebsaytlarda cookie razılığı, istifadəçi razılığının alınması, məlumatın silinməsi və düzəldilməsi imkanları, məlumatların şifrələnməsi və məlumat sızıntısı hallarının bildirilməsi məcburidir.
Azərbaycanda GDPR-in hüquqi statusu olmasa da, Avropa İttifaqı ilə işləyən, Avropa vətəndaşlarının məlumatını emal edən şirkətlər bu qaydalara riayət etməyə borcludur.
Şirkətlər məlumat sızıntısı aşkarlandıqda 72 saat ərzində məlumat orqanlarına və zərərçəkənlərə rəsmi məlumat verməlidirlər.
GDPR rəqəmsal cəmiyyətdə məxfi və fərdi məlumatların qorunmasında əsas hüquqi baza yaradaraq, istifadəçi hüquqlarını və texnoloji təhlükəsizliyi qorumağa davam edir.
