Hal-hazırda biz 4-cü sənaye inqilabının astanasındayıq. Rəqəmsal transformasiya böyük sürətlə inkişaf edir. Dünyanın müxtəlif ölkələrində yeni texnoloji məhsulların yaradılması və bu texnologiyaların tətbiqi istər beynəlxalq miqyasda, istərsə də ölkə daxilində bəzi hüquqi risklər yaradır.
Hüquqi müstəsivdən baxdıqda əsas risk texnoloji məhsulların təkmilləşdirilməsi və ya istifadəsi zamanı toplanan şəxsi, həssas verilənlərin yəni datanın necə istifadə olunmasında, kimlərə ötürülməsində, bundan əlavə, şirkətlərin və ya qurumların həmin verilənləri necə qorumasındadır. Qeyd etmək istərdim ki, məlumatlar Smart (Ağıllı) ev cihazlarını, smartfonları, tətbiqləri istifadə etdiyimizdə, hətta internet üzərində axtarış etdiyimiz zaman toplanılır. Artıq qaçınılmaz hal alan bu reallıq bir tərəfdən tətbiqlərin və cihazların toplanan dataya əsaslanaraq təkmilləşməsini təmin edir, digər tərəfdən də marketinq üçün istifadəçinin zövqünə özəl təkliflər təqdim etmək məqsədilə istifadə olunur.
Məlumat/Data artıq rəqəmsal dövrün əsas «yanacağıdır»
İnformasiya təhlükəsizliyinin tətbiq olunması üçün Avropa Birliyində məlumatların idarəedilməsi və istifadə izni GDPR — General Data Protection Regulation (verilənlərin qorunması üzrə ümumi reqlament) ilə tənzimlənir. Bu qanun şirkətlərin məlumat toplamaq və istifadə etmək üçün istifadəçidən icazə almasının vacibliyi, məlumatların kimlər tərəfindən emal edilə, hansı müddət ərzində saxlana biləcəyini, məlumatların şifrələnmiş və qorunmuş olmasını məlumatların şəffaflığı və hətta şirkətlərdə məlumatarın qorunmasını təmin edən bir əməkdaşın olması kimi məqamları özündə əks etdirir. Bu, qanunvericilik baxımından tənzimlənmədir və hər bir ölkə bunu öz informasiya təhlükəsizliyi siyasətinə uyğun olaraq tətbiq edir.
Digər tərəfdən, istifadəçilər özlərini necə qoruya bilərlər?
- Mürəkkəb şifrələrdən istifadə edərək, doğum tarixi, ad, soyad və ya sıralanmış rəqəmlər kimi çox asan yadda qalan şifrələrdən uzaq duraraq.
- Tətbiqlərdə və ya internet səhifələrində iki faktorlu şəxsiyyəti təsdiqləmə funksiyasından (əgər varsa) həmin xidmətdən istifadə edərə
- Tanımadığınız şəxslərdən və ya səhifələrdən gələn e-mail və qoşmaları (attachments) açmaqdan imtina edərə
- Lisenziyalı əməliyyat sistemlərindən və antivirus proqramlarından istifadə edərə
- Əsas təhlükəsizlik boşluqlarının məhz geniş kütlələrə açıq internet şəbəkələrində olduğunu nəzərə alaraq açıq/ictimai şəbəklərdə şəxsi məlumatları ötürməkdən və ya maliyyə əməliyyatlarını həyata keçirməkdən imtina edərə
- İnternet səhifələrində Cookies (Çərəzlərləri) qəbul və ya rədd edərkən hansı məlumatların toplandığını və necə istifadə olunacağını diqqətlə nəzərdən keçirərə
- Tanımadıqları şəxslərlə mail və ya telefon vasitəsilə məlumatların etibar etmədiyi şəxslərlə paylaşmamalıdırlar və hətta etibar etdiyi şəxslər və qurumlarla paylaşdıqda həmin məlumat şifrələnib sonra göndərilimə
Qeyd edək ki, rəqəmsal dövrə hazır olmaq, informasiya təhlükəsizliyi təmin edə bilmək üçün cəmiyyətin də hazır olması gərəklidir. İnternet dövründə hər bir fərd şəxsi məlumatların qorunması və necə istifadə olunması məsuliyyətini dərk etməlidir. Hər bir fərd ümümiyyətlə məlumatın,o cümlədən, fərdi məlumatın nə olduğu, ümumiyyətlə məlumat kateqoriyaları haqqında anlayışa sahip olmalıdır.
İlk olaraq ümümiyyətlə məlumat nədir sualnını cavabladığımızda verilən və ya data olaraq bildiyimiz anlayışın rəqəmsal məlumat parçasına verilən ad olduğunu qeyd etməliyik.
Mediadan və ya internetdən tədqiqat, təcrübə, müşahidə yolu ilə əldə edilən. Hər cür dəyər verilən sayıla bilər.
Qeyd edək ki, toplanan verilənlər arasında fərdi məlumatlar da yer ala bilər. Fərdi məlumatın nə olduğu Azərbaycan Respublikası fərdi məlumatlar haqqında qanunun 2.1.1 maddəsində müəyyən edilmişdir. Belə ki, burada fərdi məlumatlar «şəxsin kimliyini birbaşa və ya dolayısı ilə müəyyənləşdirməyə imkan verən istənilən məlumat» olaraq müəyyən edildiyini görə bilərik. Fərdi məlumatlar özü özlüyündə aşağıdakı cədvəldə göstərildiyi kimi iki kateqoriyaya bölünür.
Şəxsi məlumatlarınız nəyə görə dəyərlidir?
İstifadəçilərin həyata keçirdikləri hər bir əməliyyat onlayn platformalar vasitəsi ilə icra olunur. Bu əməliyatlar (onlayn alış-veriş, pul köçürmələri, ödəmələr və bir çox tranzaksiya) zamanı məlumatlarımızı bölüşürük. Bölüşülən məlumatlar həm adi, həm də xüsusi kateqoriyaya daxil olan məlumatlar ola bilər.
Siz şəxsi məlumatlarınızın şirkətlər və dövlət müəssisələri tərəfindən necə toplandığını və istifadə olunduğunu bilməlisiniz. Bu hər bir vətəndaşın hüququdur! MəlumatlarAzərbaycan Respublikasının qanunlarına əsasən qorunmaqdadır.
Bu qanunlardan məqsəd fərdi məlumatların toplanılmasının, emal edilməsinin və mühafizəsinin qanunvericilik əsaslarını və ümumi prinsiplərini, həmin sahədə dövlət tənzimləmələrinin qayda və tələblərini, fərdi məlumatların informasiya ehtiyatlarında formalaşdırılmasını, informasiya sistemlərinin yaradılmasını, informasiyanın verilməsi və ötürülməsi qaydalarını, bu prosesdə iştirak edən şəxslərin hüquqlarını, vəzifələrini və məsuliyyətinin əsaslarını müəyyən etməkdən, əsas insan və vətəndaş hüquq və azadlıqlarını, o cümlədən, şəxsi və ailə həyatının toxunulmazlığını qorumaq hüququnu müdafiə etməkdən ibarətdir.
Fərdin hüquqlarını nəzərdən keçirdiyimizdə Azərbaycan Respublikasının qanununa əsasən hər bir şəxs aşağıdakı hüquqlara malikdir:
- İnformasiya sistemində özü barəsində fərdi məlumatların toplanılmasının, emal edilməsinin və üçüncü şəxslərə verilməsinin hüquqi əsaslandırılmasını tələb etmək, bunun subyekt üçün hansı hüquqi nəticələrə gətirib çıxaracağı barədə məlumat almaqmalikdir.
- İnformasiya sistemində özü barəsində toplanılmış fərdi məlumatların məzmunu ilə tanış olmaq, fərdi məlumatların toplanması və emal edilməsinin məqsədini, müddətini, üsullarını, onun fərdi məlumatları ilə tanış olmaq icazəsi olan şəxslərin, o cümlədən məlumat mübadiləsi aparılması nəzərdə tutulan informasiya sistemlərinin dairəsini bilmək, özü barəsində toplanan və emal edilən fərdi məlumatların dəqiqləşdirilməsini və qanunvericiliklə müəyyən olunmuş hallar istisna olmaqla, məhv edilməsini tələb etmək, habelə həmin məlumatların müəyyən olunmuş qaydada arxivə verilməsi barədə müraciət etmə
- Özü barəsində fərdi məlumatların toplanılmasına və emal edilməsinə qadağan qoyulmasını tələb etmə
- Özü barəsində toplanılmış və emal edilmiş fərdi məlumatların əldə edilməsi mənbələri barədə məlumat almaq, həmin məlumatların qanuna uyğun olduğunun sübuta yetirilməsini tələb etmə
- Özü barəsində toplanılmış və emal edilmiş fərdi məlumatların qorunmasını tələb etmə
- Özü barəsində toplanılan və işlənilən fərdi məlumatların olduğu informasiya sistemlərinin uyğunluq sertifikatının mövcudluğu və dövlət ekspertizasından keçirilməsi haqqında məlumat almaq.
Azərbaycan Respublikasının hər bir vətəndaşı fərdi məlumatların toplanılmasının və emal edilməsinin, qanunvericiliklə müəyyən olunmuş qaydada məcburi xarakter daşıdığı hallar istisna olmaqla, onun barəsində olan məlumatların toplanılmasına və emal edilməsinə etiraz etmək hüququnada malikdir.
Fərdi məlumatlar arasında xususi kateqoriyaya aid olan məlumatlar da yer alır. Bunlardan biri biometrik məlumatlardır ki, qanuna əsasən, eyniləşdirilmiş və ya eyniləşdirilməkdə olan fiziki şəxsin fizioloji xüsusiyyətlərini xarakterizə edən, onu birmənalı və ya digər məlumatlarla uzlaşdıraraq eyniləşdirməyə etməyə imkan verən (əl-barmaq və ovuc izləri, üzün təsviri, gözün buynuz qişası və retinası, səsinin fraqmenti və akustik parametrləri, dezoksiribonuklein turşusu (DNT) analizinin nəticələri, bədən ölçüləri, bədənin xüsusi əlamətlərinin və fiziki çatmazlıqlarının təsviri, yazı xətti və imzası), müvafiq standartlar tətbiq olunan və fiziki daşıyıcıda əks etdirilmiş fərdi məlumatlar olaraq hesab olunur.
Məlumatların sahibi vədəndaş olduğu üçün şirkətlər hər bir fərdin məlumatlarını toplandığı və üzərində iş icra edildiyi zaman müştərini bu barədə məlumatlandırmalı və onun razılığını almalıdır.
Razılığın verilməsi
Müəssisələr şəxsi məlumatları hansı məqsədlə tələb etdiklərini hər bir fərdə bildirməlidir və yalnız müştərinin razılığı əsasında şəxsi məlumatları toplamaq, istifadə etmək və ya açıqlama imkanına sahib ola bilər.
Qeyd edək ki, fərdlər öz şəxsi məlumatlarını alış-veriş edərkən könüllü təqdim etdikdə, alış-veriş əməliyyastını tamamladıqda, təşkilatlara şəxsi məlumatlarını təqdim etdikdə bununla da həmin məlumatları istifadə etməyə icazə vermiş olurlar.
Buna görə müştərilər şəxsi məlumatlarına nəzarət etməlidir. Müştərilər məlumatlarını bölüşdükdə və müəssisələrə həmin məlumatları emal etmək razılığını verdikdə belə verilən razılığın geri götürülməsi hüququna malikdirlər.
Hər bir fərd istənilən vaxt müəssisələrdən şəxsi məlumatlarının toplanmasını, istifadə edilməsini və ya açıqlanmasının dayandırılmasını tələb edə bilər.
Müəssisənin sistemində müştəriyə dair şəxsi məlumatlar daha öncədən mövcuddursa müştəri bu məlumatların silinməsini və ya anonim hala gətirilməsini tələb etmək hüququna malikdir. Qeyd etmək istəyirəm ki, məlumatlar müəssisələrin sistemlərində qanunda göstərildiyi qaydada və qanunla müəyyənləşdirilmiş müddət ərzində saxlanılmalıdır. Müştərilərin tələbi sadəcə məlumatların toplanmasının dayandırılması deyil, eləcə də müştəriyə aid bütün məlumatların anonim hala gəlməsi və ya silinməsi tələb olunursa müəssisə bu tələbi yerinə yetirməlidir. Qeyd olunan tələblər Azərbaycan Respublikasının qanunları ilə tənzimlənir.
Müştərilər məlumatlarına daxil olub və onları düzəltmə haqqına malikdirlər. Müştəri müəssisənin onun haqqında olan şəxsi məlumat sisteminə daxil ola və qeyri-dəqiq olanların düzəldilməsini tələb edə bilər. Həmçinin o, şəxsi məlumatlarının son il ərzində necə istifadə edildiyini və ya açıqlandığını da yoxlaya bilər.
Lakin aşağıda göstərilən bəzi istisna hallarda müəssisələr məlumatlara giriş icazəsi verə bilməzlər:
- Başqasının şəxsi məlumatlarını üzə çıxarmaq məqsədini daşıdıqda.
- Milli maraqlara zidd olduqda.
- Təhlükəsizliyinizə və ya fiziki/psixi sağlamlığınıza birbaşa və ciddi zərər vurulduqda.
- Başqasının təhlükəsizliyini və ya fiziki/psixi sağlamlığını təhdid etdikə.
- Şəxsi məlumatlarınızı təqdim edən şəxsin kimliyini aşkarlamaq məqsədini daşıdıqda.
Ayrıca qeyd edək ki, daha çox şəffaflıq daha çox qorunmanı təmin edir. Müəssisələrdə baş verən məlumatların məxfiliyinin pozulması kimi hadisələrdə bu hal fərdə hər hansı bir risk və ya zərər verə bilərsə, müəssisələr bu barədə müştərilərini dərhal məlumatlandırmalıdır. Bu məlumatlandırma həyata keçirildiyi zaman istifadəçilər parollarını dəyişdirərək şəxsi məlumatlarının təhlükəsizliyini təmin edə bilərlər. Ayrıca olaraq biznes tərəfindən tövsiyə edilən zəruri addımlar atılmalıdır.
Şəxsi məlumatların növündən asılı olmayaraq məlumat pozuntusu zamanı istifadəçələrin edə biləcəyi mümkün tədbirlər:
Giriş məlumatları: Köhnə parolları və təhlükəsizlik suallarını mütəmadi olaraq yeniləmək və müxtəlif platformalarda eyni paroldan istifadə etməmək.
Maliyyə məlumatları: Özlərini naməlum ödənişlərdən qorumaq üçün bank və ya maliyyə institutu ilə əlaqə saxlamaq. Məsələn, kart nömrəsi sızdırılıbsa, kredit kartını ləğv etmək.
Fərdi məlumatları ümümiyyətlə qoruma altına alan şirkətlərlə əməkdaşlıq etmək və onların sistemlərindən istifadə etmək rəqəmsal transformasiya dövründə tələb olunan şərtlər arasında yer alır. Üstünlük şəxsi məlumatları daha yaxşı qorumaq üçün cavabdehlik daşıyan, informasiya təhlükəsizliyini təmin edən, eləcə də beynəlxalq və yerli sertifikatlara sahib olan müəssisələr şirkətlərə verilməlidir.
Belə şirkətlər vətəndaşların məlumatlarının qorunmasını təmin edən və buna zəmanət verən təcrübəli şirkət sayılır.
Nigar Quliyeva, məlumatların mühafizəsi üzrə ekspert