Bu gün fərdi məlumatlar və onların qorunması həm dövləti, həm biznes subyektlərini, həm də vətəndaşları dərindən maraqlandıran mövzulardır. Bəs necə oldu ki, əsrlər boyunca kölgədə qalan bu məsələ birdən-birə gündəmə gəldi? Başlıca olaraq bu mövzunun hüquqi tərəfi ilə bağlı əsas fikirlərin Avropada meydana gələrək formalaşdığını desək, heç də yanılmarıq.
Fərdi məlumatların qorunması konsepsiyasının Avropada inkişafı
Fərdi məlumatların qorunmasında Avropanın liderlik etməsinin mədəniyyət baxımdan izahı əsasən “faşist ənənələr nəzəriyyəsi” və “Avropalı ləyaqəti nəzəriyyəsi” ilə verilir.1 Belə ki, birinciyə görə, insanlar Avropada mövcud olmuş totalitar və faşist rejimlərin fonunda şəxsi həyatlarının, eləcə də fərdi məlumatlarının qorunmalı olduğunu anladılar. İkinci nəzəriyyə isə bunu fransız hüququndakı ləyaqət və şərəf, həmçinin alman filosof İ. Kantın şəxsiyyət anlayışları ilə izah edir.2
Sadalanan nəzəriyyələrdən əlavə, Avropanın liderliyi institusional baxımdan da belə izah edilir ki, 1995-ci il tarixli Məlumatların Qorunması Direktivi (Data Protection Directive, DPD) məhz 1970-ci illərdə Məlumatların Qorunması Agentliklərinin (Data Protection Agencies) fəaliyyəti nəticəsində qəbul edilmişdir.3 Ümumiləşdirsək, fərdi məlumatların qorunması Avropada üç əsas səbəbdən inkişaf etmişdir:
- dövlətlərin fərdi məlumatlar vasitəsilə şəxsi həyata nəzarət etməsinə görə insanların narahatlığından
- fərdi məlumatların qorunmasının artıq insan ləyaqətinin bir hissəsinə çevrilməsi səbəbilə onun Avropada əsas hüquq (fundamental right) kimi tanımasından;
- müəyyən institutların siyasi fəaliyyəti nəticəsində.
Qərbi Almaniyanın Hesse torpağında qəbul edilmiş 1970-ci il tarixli Məlumatların qorunması haqqında qanun fərdi məlumatları qoruyan ilk akt olsa da, 1973-cü ildə İsveçdə qəbul edilmiş Məlumat Bankı qanunu dövlət səviyyəsində tətbiq edilən ilk qanun olmuşdur.4 Beləliklə, İsveçdə qəbul edilmiş qanun digər Avropa dövlətləri üçün nümunəyə çevrilmişdir.5
Konsepsiyanın müasirləşdirilməsi
Əlbəttə ki, dövlətlərin qəbul etdiyi qanunlar arasında müəyyən fərqlər yaranacaqdı. Bunun aradan qaldırılması, milli qanunvericiliklərin uyğunlaşdırılması üçün isə 1995-ci ildə DPD qəbul edilmişdir.6 Bu Direktivdə fərdi məlumatlarla bağlı bir sıra prinsiplər: məqsədin məhdudlaşdırılması, məlumatın minimallaşdırılması, dəqiqlik, razılıq, şəffaflıq, konfidensiallıq və s. müəyyənləşdirilmişdir.7 Bununla belə, texnologiyanın sürətli inkişafı ilə fərdi məlumatların asanlıqla qloballaşması, eləcə də mobil telefonların inkişafı, insanlar tərəfindən internetdən geniş istifadə və geolokasiya kimi texnologiyalar DPD-ni geridə qoyaraq aktuallığını itirməsinə səbəb olmuşdur.8
Nəticə etibarilə, Avropa Komissiyası 2010-cu ildə fərdi məlumatların qorunmasında qarşılaşdığı yeni çətinliklərlə bağlı sənəd hazırladı.9 Yeni qanun layihəsi isə 2016-cı ildə qəbul ediləcək GDPR olacaqdı. Bu Reqlament ətrafındakı ictimai müzakirələrin alovlanması isə Mərkəzi Kəşfiyyat İdarəsinin (MKİ) keçmiş texniki mütəxəssisi Edvard Snoudenin 2013-cü ildə ABŞ-nin xüsusi xidmət orqanlarının məxfi sənədlərini yayması ilə əlaqədar olmuşdur.10 Belə ki, Snoudenin şəxsi həyatın gizli şəkildə izlənilməsini aşkara çıxarması mediada fərdi məlumatların qorumasına olan diqqəti artırmışdır.
Ümumiyyətlə, GDPR fərdi məlumatların subyektlərinə (bundan sonra – məlumat subyekti) fərdi məlumatlarını qoruması üçün geniş və detallı şəkildə təsbit edilmiş hüquqlar vermişdir. Məlumat subyektindən alınacaq razılıq təfsilatı ilə müəyyən edilmiş, hətta razılığın geri çəkilməsi və razılıqdan imtinanın razılıq vermək qədər asan olması da təsbit edilmişdir.11 Əlavə olaraq, uşaqların razılığı ilə bağlı ayrıca maddə də vardır.12 Həmçinin fərdi məlumatların mülkiyyətçisi (data controller) məlumat subyektinə məlumatlarının işlənilməsi barədə müəyyən bilgiləri də verməlidir.13 Ümumilikdə isə məlumat subyekti fərdi məlumatlarının işlənilməsi barədə ətraflı məlumat almaq, unudulmaq,14 fərdi məlumatlarının işlənilməsinin dayandırılmasını tələb etmək və onları daşımaq hüquqlarına da malikdir.15 Onlar hüquqları pozulduğu halda şirkətləri şikayət edə və hüquqlarını bərpa edə bilərlər. Bununla belə, məlumat subyektləri heç də bütün hüquqlarından xəbərdar deyildirlər və bu da ayrıca bir müzakirə mövzusudur.16
Azərbaycanda normativ vəziyyətin xülasəsi
Azərbaycanda fərdi məlumatların qorunmasının hüquqi çərçivəsi Fərdi məlumatlar haqqında Qanunda (2010) müəyyənləşdirilmişdir. Buna baxmayaraq, informasiyanın yığılması, işlənməsi, saxlanması, axtarışı, yayılması və digər məsələləri tənzimləyən İnformasiya, informasiyalaşdırma və informasiyanın mühafizəsi haqqında Qanun (1998) və məlumat əldə etmək hüququnun əsaslarını müəyyənləşdirən İnformasiya əldə etmək haqqında Qanun (2005) da vardır. Həmin qanunları da nəzərə almaq ona görə zəruridir ki, birincisinin preambulasında qeyd edilən məqsədlər Fərdi məlumatlar haqqında Qanundakı ilə oxşardır, ikincisində isə fərdi məlumatların fərqli bir anlayışı da verilmişdir. Hər ikisində isə “informasiya”nın eyni anlayışı müəyyən edilmişdir.
İnformasiya, informasiyalaşdırma və informasiyanın mühafizəsi haqqında Qanunun mənbəyini 1995-ci ildə Rusiyada qəbul edilmiş eyniadlı qanun17 olduğunu güman etsək, onda oxşar sahələrin Azərbaycanda niyə müxtəlif qanunlarla tənzimləndiyi aydın olur. Belə ki, 27 iyul 2006-cı ildə adıçəkilən qanun Rusiyada yenilənmiş,18 hətta informasiya əldə etmək hüququ ilə bağlı müddəa da orada təsbit edilmiş19 və eyni tarixdə fərdi məlumatlar haqqında qanun20 da qəbul edilmişdir. Azərbaycanda isə müvafiq dəyişiklik edilməmiş, eləcə də İnformasiya əldə etmək haqqında Qanun da ayrıca mövcud olmuşdur. Son olaraq, Azərbaycan qanunvericiliyində fərdi məlumatlara verilən anlayışlara diqqət yetirməklə bu sahədə olan qarışıqlığı görmək kifayət edir:
- “3.0.2. şəxsi və ailə həyatına dair məlumat (bundan sonra – fərdi məlumat) — şəxsiyyəti birbaşa və ya dolayısı ilə identikləşdirməyə imkan verən hadisələr, fəaliyyətlər, vəziyyətlər barədə faktlar, rəylər, bilgilər”.21
- “2.1.1. fərdi məlumatlar — şəxsin kimliyini birbaşa və ya dolayısı ilə müəyyənləşdirməyə imkan verən istənilən məlumat”.22
Əlavə olaraq, məsuliyyətin məlumat mülkiyyətçisi və məlumat operatoru arasında subsidiar, yoxsa solidar məsuliyyətlə bölüşdürüləcəyi barəsində müddəa yoxdur. İndiki halda, məsələn, məlumat subyekti məlumat operatoruna qarşı məhkəmədə iddia qaldıra bilər və məhkəmə sonuncunun məsuliyyət daşımadığı qərarına gələ bilər. Bu da məlumat subyektinin hüquqlarını effektiv müdafiəsinə əngəldir. Bununla belə, əgər qanunvericilikdə müvafiq məsuliyyət bölgüsü aparılarsa, məlumat subyekti hər bir halda hüquqlarını bərpa edə bilər. Həmçinin məlumat mülkiyyətçisi ilə məlumat operatoru da dəymiş zərəri öz aralarında daha sonra müəyyənləşdirə bilərlər.
Nəticə
Təhlildən göründüyü kimi, Azərbaycanın fərdi məlumatların mühafizəsi ilə bağlı qanunvericiliyində bəzi problemlər, o cümlədən icrada çətinliklər yaradan uyğunsuzluqlar və boşluqlar mövcuddur. Bu çatışmazlıqlar bizneslərə fərdi məlumatlardan mənfəət əldə etmək üçün istifadə etməyə, tez-tez məqsədyönlü reklam və kifayət qədər nəzarət olmadan fərdi məlumatların satışı kimi fəaliyyətlərlə məşğul olmağa imkan yarada bilər. Bununla belə, bu hüquqi çatışmazlıqlara baxmayaraq, hüquqları müdafiə etmək və fərdi məlumatları sui-istifadədən qorumaq üçün mövcud qanunvericilikdən istifadə etmək olar.
İstinadlar və izahlar
- Agustín Rosi, How the Snowden Revelations Saved the EU General Data Protection Regulation, 53 Italian Journal of International Affairs 95, 96 (2018).
- Yenə orada.
- Yenə orada.
- Patrick E. Cole, New Challenges to the U.S. Multinational Corporation in the European Economic Community: Data Protection Laws, 17 New York University Journal of International Law and Politics. 893, 902-903 (1985).
- Yenə orada.
- Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement ofsuch data, preambula 1 (1995).
- Ira S. Rubinstein, Big Data: The End of Privacy or a New Beginning?, 3 International Data Privacy Law 74, 75 (2013).
- Yenə orada.
- Bax: European Commission Communication, ‘A comprehensive approach on personal data protection in the European Union’ COM (2010) 609 final.
- Rossi, yuxarıda istinad 1, 100.
- Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) (Text with EEA relevance), mad. 7 (2016).
- Yenə orada, mad. 8.
- Yenə orada, mad. 13 və 14.
- Avropa Ədalət Məhkəməsi “Google Spain SL and Google Inc. v Agencia Española de Protección de Datos (AEPD) and Mario Costeja González” işində məlumat subyektlərinin unudulmaq hüququnu müəyyən etmiş, habelə fərdi məlumatların mövcud olduğu veb-saytlara keçidlərin müraciət əsasında “Google”-ın silməsi vəzifəsinin olduğu qərarına gəlmişdir. Məhkəmənin bu qərarından sonra unudulmaq hüququ GDPR-ın 17-ci maddəsində də təsbit edilmişdir. Qeyd edim ki, “Google”-a 2014-cü ildən bəri bu cür müraciətlərin sayı bir neçə milyon olmuşdur. Bax: Requests to delist content under European privacy law, https://transparencyreport.google.com/eu-privacy/overview?hl=en&requests_over_time=country:&lu=requests_over_time (son baxış 21 sentyabr 2024).
- Yuxarıda istinad 11, mad. 15-20.
- Joanna Strycharz, Jef Ausloos, Natali Helberger, Data Protection or Data Frustration? Individual Perceptions and Attitudes towards the GDPR, 6 European Data Protection Law Review 407, 418 (2020).
- Федеральный закон от 20 февраля 1995 г. N 24-ФЗ “Об информации, информатизации и защите информации” (1995).
- Федеральный закон от 27 июля 2006 г. N 149-ФЗ “Об информации, информационных технологиях и о защите информации” (2006).
- Yenə orada, mad. 8.
- Федеральный закон от 27 июля 2006 г. N 152-ФЗ “О персональных данных” (2006).
- “İnformasiya əldə etmək haqqında” Azərbaycan Respublikasının Qanunu, mad. 3.0.2 (2005).
- “Fərdi məlumatlar haqqında” Azərbaycan Respublikasının Qanunu, mad. 2.1.1 (2010).