16 січня 2024 року Верховна Рада України ухвалила  у другому читанні і в цілому проект Закону про внесення змін до деяких законів України щодо удосконалення порядку обробки та використання даних в державних реєстрах для військового обліку та набуття статусу ветерана війни під час дії воєнного стану (№10062), що передбачає створення Єдиного електронного реєстру військовозобов’язаних (далі – Реєстр). 07 лютого 2024 року цей законопроект направлений на підпис Президенту України, і найближчим часом Реєстр остаточно запрацює. Юрист Центру стратегічних справ УГСПЛ Максим Войнов проаналізував проект Закону та розібрався чому він порушує права не лише українців, яких можуть призвати до армії. 

За словами законотворців, Реєстр автоматизує отримання персональної і службової інформації про військовозобов’язаних, призовників і резервістів, вдосконалить процес мобілізації і процедуру інформаційної взаємодії між державними органами, прибере представників ТЦК з вулиць українських міст. 

Міністерство оборони України, що є держателем і адміністратором Реєстру, отримує відомості про мобілізаційний ресурс – всіх громадян України віком від 17 до 60 років. Це допоможе створити мобілізаційний резерв.

Відповідно до законопроекту, розпорядниками Реєстру є Генеральний штаб ЗСУ, Служба безпеки України, Служба зовнішньої розвідки України та розвідувальний орган Міністерства оборони. 

Що не так з електронним реєстром?

Електронний реєстр військовозобов’язаних «Оберіг», який формально почав працювати в Україні в березні 2023 року – це база даних для зберігання інформації щодо всіх військовозобов’язаних осіб. Внесена до Реєстру інформація має бути конфіденційною і держава гарантує нерозголошення. Особи, які працюють з Реєстром, не можуть вимагати від громадян і використовувати інші відомості крім тих, які передбачені чинним законодавством. 

Відповідно до законопроекту №10062 перелік персональних даних особи в Реєстрі значно розширився. До бази вносяться та зберігаються такі дані:

• персональні і службові дані призовників, військовозобов’язаних і резервістів;
• номери засобів зв’язку та адреси електронної пошти;
• відомості щодо справ про адміністративні правопорушення;
• відомості про володіння іноземними мовами;
• наявність водійського посвідчення;
• право особи на володіння зброєю;
• результати медичного огляду;
• відомості про участь громадянина в бойових діях;
• про проходження освітніх курсів та курсів підвищення кваліфікації;
• відомості про документи, оформлені для виїзду за кордон, інші;
• відомості про виконавчі документи особи, тощо.

Законопроект № 10062 передбачає доповнення та оновлення, реєстру «Оберіг». Відомості про військовозобов’язаних надходитимуть з різних державних органів: РАЦС, ДМС, ДПС, МОН, МОЗ, Пенсійного фонду, Офісу Генерального прокурора, ДСАУ. При цьому згода на обробку персональних даних для актуалізації Реєстру не запитується. 

Тобто фактично без згоди особи Міністерство оборони України може отримувати інформацію від інших державних органів «завдяки взаємодії різних інформаційних ресурсів органів влади». Навіть якщо громадянин України раніше надавав дозвіл на обробку, збереження і використання його персональних даних, цей дозвіл був наданий на конкретні цілі і відповідному органу. Але з набуттям чинності новим законом конфіденційна інформація стосовно громадянина без його згоди може бути передана іншому державному органу і оброблена з зовсім іншою метою. 

І з урахуванням того, що ТЦК – це орган адміністрування Реєстру,  співробітники центру комплектування також зможуть отримувати будь-яку інформацію стосовно особи з даних, які знаходяться в Реєстрі.

Проблема Реєстру, створення якого передбачає Законопроект №10062, у тому, що в ньому органи державної влади збираються об’єднати інформацію про особу з усіх інших наявних в Україні реєстрів (Податкової служби, МОЗ, Мін’юсту, МВС, ЦВК, Держміграційної служби та інших відомств) у режимі автоматичного обміну.

Початково реєстри створювались для розподілу владних повноважень між низкою державних відомств для ефективнішого виконання їхніми працівниками своїх функцій та недопущення концентрації влади. Об’єднання ж персональних даних з цих реєстрів в межах Єдиного електронного реєстру військовозобов’язаних є надмірним та може призвести до здійснення тиску на військовозобов’язаних представниками ТЦК СП та ризику порушення права на конфіденційність приватного життя. 

Зважаючи на те, що низка положень Законопроекту №10062 в першій редакції порушували фундаментальні права військовозобов’язаних, у другому читанні депутати Верховної Ради України внесли деякі зміни до Законопроекту, зокрема до Реєстру не вноситимуться відомості про виїзд за межі та повернення до України, оскільки після завершення військового стану, ця вимога  порушувала б права осіб, гарантовані Конституцією та конвенційними нормами міжнародного права. Також не вноситимуться відомості про примусове виконання рішення щодо особи – боржника та інші персональні дані, що дозволяють ідентифікувати призовника, військовозобов’язаного або резервіста, оскільки така норма вкрай невизначена та дозволяє внесення будь-якої особистої інформації. Крім того, вилучена норма про автоматичний збір особистих даних членів родини військовозобов’язаного: прізвища, імена, по батькові, дати народження, серії та номер паспорту, дати його видачі, РНОКПП.  Нині внести таку інформацію до Реєстру можна лише за наявності особистої письмової згоди військовослужбовця. 

Однак, незважаючи на виключення цих положень з тексту Законопроекту, його текст все ще залишається нечітко сформульованим та потребує значної переробки для запобігання концентрації в межах Реєстру всієї чутливої персональної інформації особи. 

Попри те, що в законопроекті № 10062 є такий пункт: «обмін даними (відомостями) здійснюється з дотриманням вимог законів України «Про захист інформації в інформаційно-комунікаційних системах», «Про захист персональних даних», «Про публічні електронні реєстри» та «Про розвідку», фактично в законі не прописана вимога отримувати згоду на зберігання і обробку персональних даних від військовозобов’язаних.

Отже, ця норма законопроекту прописана неякісно. Це є прямим порушенням чинного Закону України «Про захист персональних даних»  і норм Конституції України про права громадян і захист конфіденційних даних, що може у подальшому спричинити судові позови проти держателя Реєстру. 

Новостворений Реєстр буде надмірною за обсягом базою даних, в якому міститиметься практично вся інформація про стан здоров’я, освіту, фінансовий стан, тощо будь-якого громадянина України, і не тільки військовозобов’язаного. Крім того, законопроектом № 10062 дозволено використання закордонних «хмарних технологій» для зберігання і обробки даних з Реєстру. Отже, у випадку ворожої кібератаки повна інформація про громадян України може досить легко опинитися в руках третіх осіб, держав і організацій, зокрема у громадян Російської федерації. Тому створений Реєстр потребуватиме надзвичайного захисту. 

Під час  другого читання законопроекту №10062 були внесені зміни щодо виключення необхідності дотримуватись вимог законодавства про захист персональних даних і про заборону обробки інформації, що становить державну таємницю, за допомогою хмарних ресурсів або центрів обробки даних, що розміщені за кордоном, передбачених Законом України № 2075-IX  «Про хмарні послуги».

Таке рішення може призвести до вкрай негативних наслідків для прав та свобод громадян України, оскільки їхні персональні дані фактично будуть передані третім особам. В цьому випадку держава не контролюватиме хто матиме доступ до конфіденційної особистої інформації. Крім того, системи передачі даних за допомогою хмарних технологій уразливі до різного роду кібератак: можна згадати, наприклад, нещодавній масштабний збій у роботі оператора мобільного зв’язку «Київстар». 

Ще однією з небезпек такого зберігання даних є людський фактор. Звичайно, реєстри в певній мірі захищають від кібератак, але їх неможливо захисти, наприклад, від зловживань з боку недобросовісних працівників.

Постає питання: хто відповідатиме за внесення персональних даних до Єдиного електронного реєстру військовозобов’язаних, а також за внесення до нього змін?

Наприклад, якщо державна посадова особа, відповідальна за внесення інформації до реєстру недобросовісно виконає свій обов’язок, при особистій перевірці особи, навіть при наявності в неї відповідних документів у письмовій формі,  у представників правоохоронних органів або ТЦК можуть виникнути питання щодо достовірності цих документів, якщо вони будуть орієнтуватися виключно на інформацію з Реєстру. 

Така ситуація може призвести до свавілля органів державної влади та порушення фундаментальних прав громадян.

Потрібно розуміти, що в жодній країні світу не існує таких великих за обсягом Реєстрів, який планує створити наша держава. При цьому всі дані про особу зберігаються на сервері веб-сайту, і при бажанні людини видалити свій профіль і персональні дані з загального доступу через пошукові системи, фактично ці дані видаляються лише для користувача, а в мережі вони залишаються. Це порушує право людини «бути забутим» (right to be forgotten), що регламентується GDPR  (General Data Protection Regulation) – Загальним Регламентом щодо захисту персональних даних осіб в межах Європейського Союзу. 

Регулювання на національному рівні

Статтею 32 Конституції України заборонено збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім виняткових випадків. 

Право на приватне та сімейне життя розглядається як право фізичної особи на автономне буття, незалежно від держави, органів місцевого самоврядування, юридичних і фізичних осіб.

Але збирання без згоди громадянина і опрацювання персональних даних особи, наприклад чутливої інформації щодо стану здоров’я, є порушенням права на приватне життя особи. 

Нормами Закону України «Про захист персональних даних», зокрема частиною 5 статті 6 передбачено, що обробка персональних даних здійснюється для конкретних і законних цілей, визначених за згодою суб’єкта персональних даних, або у випадках, передбачених законами України, у порядку, встановленому законодавством.

Частина 6 статті 6 цього Закону передбачає, що обробка даних про фізичну особу, яка є конфіденційною інформацією, не допускається без її згоди. В цьому пункті також наведений вичерпний перелік підстав обробки персональних даних – захист національної безпеки або економічного добробуту та прав людини. Однак, законопроект № 10062 не підпадає під ці виключення.

Такі ж вимоги до обробки персональних даних були підтверджені національною судовою практикою у низці рішень Конституційного Суду України, зокрема у Рішенні № 2-рп/2012 від 20 січня 2012 року та Рішенні № 7-р/2018 від 11 жовтня 2018 року. В останньому з цих Рішень Конституційний Суд також зазначив, що обробка персональних даних особи без надання нею згоди може вважатися правомірною виключно за наявності відповідної підстави в національному законі, а також за умови, що такий закон відповідатиме принципу верховенства права, закріпленому в частині першій статті 8 Конституції України.

Крім того, в частині 2 статті 6 Закону України «Про електронні публічні реєстри» є положення, відповідно до яких внесення інформації до реєстрів передбачає одночасне сповіщення правоволодільця про виникнення, зміну або видалення реєстрової інформації про його особу, правові, майнові та інші спеціальні статуси, речі, права на них та з видачею відповідного документу про це. Такі дії можуть передбачати отримання прямої особистої згоди на них з боку правоволодільця, однак механізм інформування про зміну інформації, внесеної  в Єдиний електронний реєстр військовозобов’язаних законопроектом №10062 не передбачений. Також слід зазначити, що у законопроекті чітко не визначений термін, впродовж якого будуть оброблятися чутливі персональні дані фізичних осіб. 

Таким чином, у Законопроекті № 10062 є певні положення, які можуть суперечити Конституції України та ймовірно порушують національне законодавство України щодо обробки персональних даних.

Вимоги щодо захисту персональних даних для інтеграції України в ЄС

При підписанні Угоди про асоціацію з ЄС  (далі по тексту – Угоди), Україна погодилася на забезпечення захисту персональних даних своїх громадян. Так, відповідно до статті 15 Угоди, Україна має забезпечити належний рівень захисту права особи на приватність, тобто захистити персональні дані відповідно до найвищих європейських та міжнародних стандартів, зокрема відповідних документів Ради Європи: 

1. Конвенція про захист осіб у зв’язку з автоматизованою обробкою персональних даних, так звана Конвенція 108 +.
2. Загальний регламент про захист даних, відомий як GDPR.

Так, пункт 32 Загального регламенту про захист даних (GDPR) передбачає, що згоду особи на обробку персональних даних необхідно надавати шляхом чіткого ствердження, що становить вільно надане, конкретне, проінформоване та однозначне свідчення погодження суб’єкта даних на опрацювання його персональних даних, зокрема, у формі письмової заяви, в тому числі електронними засобами, або у формі усної заяви. 

Також слід звернути увагу на Рекомендацію Комітету Міністрів Ради Європи № R87(15), що містить  основні принципи, на яких повинна відбуватись обробка персональних даних. У зазначеній Рекомендації є положення про обмеження цілей збору персональних даних для конкретно визначеної мети та інформування суб’єктів даних про зібрану персональну інформацію, зберігання даних виключно для правомірних завдань у межах внутрішнього законодавства та обов’язків, визначених міжнародним правом, передачу даних тільки у випадках, визначених законодавством та визначення чіткої тривалості збереження даних. 

Слід пам’ятати, що ухвалення Закону України «Про захист персональних даних» і його застосування в Україні є обов’язковою умовою для інтеграції України в ЄС. 

Зважаючи на вищевикладене, положення Законопроекту порушують як норми національного законодавства, так і норми міжнародно-правових актів та створюють значні ризики для прав та свобод людини, зокрема права на повагу до приватного та сімейного життя, передбаченого статтею 8 Конвенції про захист прав людини і основоположних свобод.

Це ставить під загрозу євроінтеграційний напрямок, обраний нашою державою з підписанням Угоди про асоціацію України з ЄС, оскільки в документі є вимога  забезпечити належний рівень захисту даних відповідно до європейських та міжнародних стандартів, серед іншого  розроблених в рамках Ради Європи. Законопроект може стати тим документом, який перекреслить всі попередні зусилля, спрямовані на всебічне та повне дотримання основоположних прав людини. 

---

Підписуйтесь на сторінки УГСПЛ у соціальних мережах:

Facebook | Instagram | Telegram — УГСПЛ пише | Telegram з анонсами подій | Twitter | Youtube | Viber

---

Матеріал підготовлено за підтримки Європейського Союзу та Міжнародного Фонду  «Відродження» в рамках спільної ініціативи «Європейське Відродження України». Матеріал представляє позицію авторів і не обов’язково відображає позицію Європейського Союзу чи Міжнародного фонду «Відродження».