Məlumatların mühafizəsi haqqında Ümumi Reqlament (ing. General Data Protection Regulation; GDPR) — Avropa İttifaqı (Aİ) və Avropa İqtisadi Bölgəsində (AİB) məlumatların məxfiliyinə dair Avropa İttifaqının reqlamenti. GDPR Aİ məxfilik və insan hüquqları qanununun, xüsusən də Avropa İttifaqının Əsas Hüquqlar Xartiyasının 8(1)-ci maddəsinin mühüm tərkib hissəsidir. Reqlament həmçinin Aİ və AİB-dən kənarda şəxsi məlumatların ötürülməsini tənzimləyir. GDPR-nin məqsədləri fərdlərin şəxsi məlumatları üzərində nəzarətini və hüquqlarını artırmaq və beynəlxalq biznes üçün qaydaları sadələşdirməkdir.[2] Bu reqlament 95/46/EC Məlumatların mühafizəsi haqqında Direktivi əvəz edir və digər şeylərlə yanaşı terminologiyanı sadələşdirir.
Məlumatların mühafizəsi haqqında Ümumi Reqlament | |
---|---|
General Data Protection Regulation | |
Ölkə | |
Qüvvəyə minib | 25 may 2018 |
İlk nəşr | 4 may 2016[1] |
Elektron versiya | |
Vikianbarda əlaqəli mediafayllar |
Avropa Parlamenti və Avropa İttifaqı Şurası 25 may 2018-ci il tarixində qüvvəyə minəcək reqlamenti 14 aprel 2016-cı ildə qəbul etdi. Aİ qaydası olaraq (direktiv əvəzinə) GDPR transpozisiyaya ehtiyac olmadan birbaşa olaraq qanun qüvvəsi ilə tətbiq edilir. Bununla belə, o həm də üzv dövlətlərə onun bəzi müddəalarını dəyişdirmək (deroqasiya etmək) üçün asan yol təmin edir.
Reqlament Türkiyə, Mavriki, Çili, Yaponiya, Braziliya, Cənubi Koreya, CAR, Argentina və Keniya da daxil olmaqla dünyanın bir çox ölkəsinin qanunları üçün nümunə oldu. 6 oktyabr 2022-ci il tarixindən etibarən Birləşmiş Krallıq artıq Aİ üzvü olmamasına baxmayaraq, GDPR ilə eyni olan öz qanununu qəbul etdi. 28 iyun 2018-ci ildə qəbul edilmiş Kaliforniya İstehlakçı Məxfiliyi Aktı (CCPA) GDPR ilə bir çox oxşarlıqlara sahibdir.[3]
GDPR 2016 ümumi müddəalar, prinsiplər, məlumat subyektinin hüquqları, məlumat nəzarətçiləri və ya emalçılarının vəzifələri, şəxsi məlumatların üçüncü ölkələrə ötürülməsi, nəzarət orqanları, üzv dövlətlər arasında əməkdaşlıq, hüquqi müdafiə vasitələri, hüquqlar və müxtəlif yekun müddəaların, öhdəliklərin pozulmasına görə məsuliyyət və ya cəzalarla bağlı on bir fəsildən ibarətdir. Bəyannamə 4-də qeyd edilir ki, "fərdi məlumatların emalı bəşəriyyətə xidmət etmək üçün hazırlanmalıdır".
Reqlament məlumat nəzarətçisi (Aİ-də olub-olmamasından asılı olmayaraq yaşayan insanlar haqqında məlumat toplayan təşkilat) və ya prosessor (bulud xidməti təminatçıları kimi məlumat nəzarətçisi adından məlumatları emal edən təşkilat) və ya məlumat subyekti (şəxs) Aİ-də yerləşirsə tətbiq olunur. Müəyyən şəraitdə[4] reqlament Aİ daxilində yerləşən şəxslərin şəxsi məlumatlarını toplayan və ya emal edən kənar təşkilatlara da şamil edilir. Reqlament bir şəxs tərəfindən "sırf şəxsi və ya məişət fəaliyyəti və beləcə, peşəkar və ya kommersiya fəaliyyəti ilə əlaqəsi olmayan" məlumatların işlənməsinə şamil edilmir. (Bəyannamə 18)
Avropa Komissiyasına əsasən, "şəxsi məlumatlar müəyyən edilmiş və ya müəyyən edilə bilən bir şəxsə aid olan məlumatdır. Əgər siz həmin məlumatdan fərdi şəxsiyyəti birbaşa müəyyən edə bilmirsinizsə, o zaman həmin şəxsin hələ də şəxsiyyətini müəyyənləşdirməyin mümkün olub-olmadığını nəzərə almalısınız. Siz və ya hər hansı digər şəxs tərəfindən həmin şəxsi müəyyən etmək üçün istifadə oluna bilən bütün vasitələrlə birlikdə emal etdiyiniz məlumatı nəzərə almalısınız."[5] "Şəxsi məlumatlar", "emal", "məlumat subyekti", "nəzarətçi" və "prosessor" kimi terminlərin dəqiq anlayışları reqlamentin 4-cü maddəsində verilmişdir.[6]
Reqlament Aİ-nin milli təhlükəsizlik fəaliyyətləri və ya hüquq-mühafizə məqsədləri üçün şəxsi məlumatların emalına tətbiq etməyi nəzərdə tutmur; Bununla belə, potensial qanunlar ziddiyyəti ilə üzləşməkdən narahat olan sənaye qrupları iddia edirlər ki, GDPR-nin 48-ci maddəsi[6] üçüncü ölkənin qanunlarına tabe olan məlumat nəzarətçisi Aİ şəxsinin fərdi məlumatlarınının Aİ daxilində və ya ondan kənarda yerləşməsindən asılı olmayaraq həmin orqanlara açıqlaya bilməz. O, onun bu ölkənin hüquq-mühafizə, məhkəmə və ya milli təhlükəsizlik orqanlarının qanuni əmrini yerinə yetirməsinə mane olmağa cəhd edə biləcəyini sual edib. 48-ci maddədə deyilir ki, nəzarətçidən və ya prosessordan fərdi məlumatların ötürülməsini və ya açıqlanmasını tələb edən hər hansı bir məhkəmə qərarı, habelə üçüncü ölkənin inzibati orqanının hər hansı bir qərarı, tələb edən üçüncü (üzv olmayan) ölkə ilə Aİ üzvü olan dövlət arasında qüvvədə olan qarşılıqlı hüquqi yardım müqaviləsi kimi beynəlxalq bir razılaşmaya əsaslanmadığı təqdirdə heç bir şəkildə tanına və ya icra edilə bilməz.[7] Məlumatların mühafizəsi üzrə islahatlar paketi həmçinin polis və ədliyyə sektoru üçün dövlət, birlik[8] və beynəlxalq səviyyələrdə fərdi məlumat mübadiləsi qaydaları təmin edən ayrıca Məlumatların mühafizəsi haqqında Direktivi də əhatə edir.[8]
Vahid qaydalar toplusu bütün Aİ üzv dövlətlərinə şamil edilir. Hər bir üzv dövlət şikayətləri dinləmək və araşdırmaq, inzibati xətaları sanksiyalaşdırmaq və s. üçün müstəqil Nəzarət Orqanı (NO) yaradır. Hər bir üzv dövlətdə NO-lar digər NO-larla əməkdaşlıq edir, qarşılıqlı yardım göstərir və birgə əməliyyatlar təşkil edir. Əgər biznesin Aİ-də bir neçə müəssisəsi varsa, onun əsas emal fəaliyyətlərinin həyata keçirildiyi "əsas müəssisənin" yerləşdiyi yerə əsaslanaraq, onun "aparıcı orqan" kimi vahid nəzarət orqanı olmalıdır. Beləliklə, aparıcı orqan Aİ daxilində həmin biznesin bütün emal fəaliyyətlərinə nəzarət etmək üçün "bir pəncərə" kimi çıxış edir (46–55-ci maddələr).[9][10] Avropa Məlumatların Qorunması Şurası (AMQŞ) NO-ları əlaqələndirir. Beləliklə, AMQŞ 29-cu Maddə Məlumatların Qorunması üzrə İşçi Qrupunu əvəz edir. Məşğulluq kontekstində və ya milli təhlükəsizlikdə işlənilən məlumatlar üçün hələ də ayrı-ayrı ölkə qaydalarına tabe ola biləcək istisnalar var (2(2) (a) and 88-ci maddələr).
Bu məqalədəki istinadlar müvafiq istinad şablonları ilə göstərilməlidir. |