Արտահոսքերի դեպքում մարդկանց իրազեկվածությունը չէ վճռորոշը, այլև հենց բուն համակարգերի անվտանգության մակարդակը. Շուշան Դոյդոյան

Մի քանի օր առաջ հայտնի դարձավ ադրբեջանցի հակերային խմբի կողմից  համացանցում Հայաստանի մի քանի հարյուր քաղաքացիների, այդ թվում՝ զինվորականների անձնագրային տվյալների ներբեռնման մասին: 168.am-ն «Ինֆորմացիայի ազատության կենտրոն» ՀԿ նախագահ Շուշան Դոյդոյանի հետ զրույցել է անձնական տվյալների արտահոսքի պատճառների, անձնական տվյալների համակարգային պաշտպանության ու ոլորտում առկա խնդիրների մասին:

– Տիկին Դոյդոյան, ինչպե՞ս նվազեցնել անձնական տվյալների հնարավոր արտահոսքի դեպքերը, երբ աշխարհը թվայնացվում է, ու մարդկանց կյանքում ինտերնետն օր օրի ավելի մեծ տեղ է զբաղեցնում:

– Այն համակարգերը, որոնք կոչված են անձնական տվյալների մշակման՝ հավաքելու, պահելու, պահպանելու, փոխանցելու և այլ գործողություններ անելու համար, դրանք պետք է ապահովված լինեն անվտանգության բավարար մակարդակով: Դրանք պետք է պատշաճ պաշտպանություն կարողանան ապահովել: Խոսքը վերաբերում է՝ ինչպես մասնավոր սեկտորին, առավել ևս՝ պետական սեկտորին: Բոլոր համակարգերի մասին է խոսքը՝ կրթական, առողջապահական, մշակութային, որովհետև բոլոր ոլորտներում տեղի է ունենում մարդկանց անձնական տվյալների մշակման գործընթաց: Ցավոք, Հայաստանում սերտիֆիկացված և անվտանգության բավարար մակարդակին համապատասխանող համակարգերը կարելի է ձեռքերի մատների վրա հաշվել: Գուցե բանկային համակարգում կարելի է ասել, որ պատշաճ պաշտպանություն իրականացվել է: Մնացած բոլոր ոլորտներում չկա սերտիֆիկացում, անվտանգությունը չի ապահովված:

Իսկ եթե չկա անվտանգության բավարար մակարդակ, հետևաբար՝ արտահոսքերը մշտական պրոցես են լինելու: Դրանք անընդհատ տեղի են ունենալու, քանի դեռ չեն բերվել դրանք պատշաճ մակարդակի: Ես հասկանում եմ, որ դա բավականին թանկ հաճույք է, խոսքը միլիոնավոր դոլարների մասին է, բայց դա մի օր պետք է սկսել, գոնե ոլորտ առ ոլորտ պետք է սկսել, մանավանդ, որ հիմա բավականին հավակնոտ ծրագրեր է իրականացնում կառավարությունը՝ ուղղված, օրինակ, էլեկտրոնային առողջապահությանը: Բայց եթե համակարգերը պաշտպանված չեն, հետևաբար՝ ամբողջ համակարգը մեծ ռիսկեր է պարունակում անձնական տվյալների պաշտպանության առումով: Ուրեմն պետք է կասեցնել, համակարգերը բերել բավարար մակարդակի և հետո նոր շարունակել մշակման գործընթացը:

– Արդյո՞ք անձնական տվյալների արտահոսքը պայմանավորված է միայն մարդկանց ոչ իրազեկված լինելու խնդրով, թե՞ նաև պետության  որոշակի բացթողումների արդյունք է:

– Արտահոսքերի դեպքում, ինչպես արդեն ասացի, մարդկանց իրազեկվածությունը չէ վճռորոշը, այլև հենց բուն համակարգերի՝ էլեկտրոնային համակարգերի պաշտպանվածության, ապահովության և անվտանգության բավարար մակարդակի մասին է խոսքը: ISO ստանդարտների համապատասխանեցման գործընթացը Հայաստանում ընդհանրապես սկսված չէ, որովհետև դա բավականին թանկ արժե և գոնե մասնավոր սեկտորում մի քանի ոլորտ կարելի է նշել, որտեղ գործընթացն իրականացվել է կամ իրականացվում է, ինչպես, օրինակ, բանկային համակարգում: Իսկ պետական համակարգից միայն Կենտրոնական բանկը ես կարող եմ նշել, որ ունի համապատասխան մակարդակ: Մնացած բոլոր ոլորտներում, խիստ կասկածում եմ, որ համակարգերը բերված են պատշաճ մակարդակի, և այդ իսկ պատճառով էլ արտահոսքերն անընդհատ տեղի են ունենում և տեղի են ունենալու:

Մյուս կողմից՝ կարևորը նա է, որ արտահոսքի ցանկացած պարագայում պետական լիազորված մարմինները պատշաճ գործողություններ իրականացնեն մեղավորներին հայտնաբերելու, նրանց քրեական պատասխանատվության ենթարկելու համար, հակառակ դեպքում անպատժելիությունը, բնականաբար, բերում է նոր հանցագործություններ: Իսկ արտահոսքը քրեական հանցագործություն է, եթե տեղի է ունեցել ոչ թե աշխատակցի թերի աշխատանքի հետևանքով, այլև դիտավորյալ կոնկրետ մուտք են գործել այդ համակարգ և այնտեղից ապօրինաբար ձեռք բերել անձնական տվյալները:

– Կարելի՞ է ասել, թե անձնական տվյալների` առանց մարդու թույլտվության մշակման, տարածման ու կամ այդ տվյալների ոչ ճիշտ պաշտպանության համար ավելի մեծ պատիժներ սահմանելը կնվազեցնի անձնական տվյալների հնարավոր արտահոսքերի հնարավորությունը:

– Ոչ, չի կարելի ասել, որովհետև օրենսդրությունն արդեն իսկ բավարար պատասխանատվության նորմեր սահմանում է, անձնական տվյալների ապօրինի մշակումը հանգեցնում է՝ ինչպես վարչական, այնպես էլ՝ քրեական պատասխանատվության: Այսինքն՝ այս առումով մենք բաց չունենք, այլ բաց ունենք ուղղակի դրանց կիրառման առումով, որպեսզի իսկապես մեղավորները հայտնաբերվեն, և նրանց պատասխանատվության կանչեն՝ ինչպես քրեական, այնպես էլ՝ վարչական:

Ընդ որում, որևէ կառույց, լինի մասնավոր թե պետական, տեղյակ է լինում, իմանում է, որ իր համակարգերից տեղի է ունեցել արտահոսք, պարտավոր է վայրկյան առաջ իրազեկել այս մասին անձնական տվյալների պաշտպանության գործակալությանը, որը լիազոր մարմինն է Հայաստանում: Ցավոք, այս իրադարձությունների մասին մենք իմանում ենք առանձին, անհատ փորձագետների շնորհիվ, և ոչ թե՝ այդ համակարգերի պատասխանատուների, որոնք կոչված էին վնասը չեզոքացնելու, նվազեցնելու  ուղղությամբ, սակայն դա տեղի չի ունենում: Դա նույնպես խախտում է, եթե արտահոսքի պարագայում չեն իրազեկում լիազոր մարմնին, դա ևս վարչական պատասխանատվություն առաջացնող խնդիր է:

– Ի՞նչ կարող են անել քաղաքացիները, երբ որոշ կազմակերպություններ, երբեմն՝ գուցե անհարկի, քաղաքացիներից բավականին շատ տվյալներ (անձի և անձնագրի լուսանկար, հեռախոսահամար, ընտանիքի անդամների տվյալներ և այլն) են պահանջում՝ անձի նույնականացման համար, որոնց չտրամադրելը կարող է գործարքը չկայանալու պատճառ դառնալ, իսկ տրամադրելու արդյունքում էլ քաղաքացիների տվյալները կարող են հայտնվել համացանցում:

– Բոլոր այն դեպքերում, երբ մարդիկ գտնում են, որ անհամաչափ մշակում է տեղի ունենում, այսինքն՝ պահանջվում են ավելի շատ անձնական տվյալներ, քան անհրաժեշտ է տվյալ նպատակին հասնելու համար, անմիջապես կարող է քաղաքացին այդ մասին տեղյակ պահել անձնական տվյալների պաշտպանության գործակալությանը՝ լիազոր մարմնին, որն անմիջապես կամ բավականին սեղմ ժամկետներում, առավելագույնը 1 ամսվա ժամկետում, հարցին լուծում կտա: Դրա համար էլ հենց ստեղծված է այս մարմինը, որպեսզի միջամտի, և եթե տեղի է ունենում անձնական տվյալների անհամաչափ մշակում, անմիջապես համապատասխանեցվի գործընթացն օրենքի պահանջներին:

Ցավոք, իհարկե, քաղաքացիներն այդ մասին տեղյակ չեն, այլև, եթե բանկը կամ որևէ այլ մասնավոր ընկերություն՝ վարկային կազմակերպություն և այլն, պահանջում է գործարքն իրականացնելու համար բավականին ընդարձակ  սպեկտրի անձնական տվյալներ, խելոք, հանգիստ, ինչ պահանջ ներկայացվում է՝ տրամադրում են:

Քաղաքացին իրավունք ունի միշտ հարց տալու և պահանջելու նաև ցանկացած կառույցից, որպեսզի վերջինը տրամադրի իրեն այն ամբողջ տվյալները, որոնց տիրապետում, տնօրինում է քաղաքացու մասին: Դա նույնպես ամրագրված է «Անձնական տվյալների պաշտպանության մասին» օրենքով, և ցանկացած մարմին՝ մասնավոր թե պետական, պարտավոր է 5-օրյա ժամկետում տեղեկատվություն տրամադրել այն տվյալների մասին, որոնք քաղաքացու մասին իր մոտ պահվում, հավաքվում և օգտագործվում են: Քաղաքացիները, այսինքն, ունեն իրենց մասին տվյալներին ծանոթանալու իրավունք, որն ամրագրված է՝ ինչպես Սահմանադրությամբ, այնպես էլ՝ «Անձնական տվյալների պաշտպանության մասին» օրենքով: Շատ կարևոր է, իհարկե, քաղաքացիների իրազեկումը, կարևոր է նաև հենց անձնական տվյալներ մշակողների իրազեկումը: Այսինքն՝ երկու կողմն էլ պետք է պատշաճ իրազեկված լինեն իրենց իրավունքների ու պարտականությունների շրջանակին: