Закон про цифровий реєстр призовників: чому він порушує Конституцію і наражає на небезпеку військових

У вівторок, 16 січня, Верховна Рада ухвалила закон про електронний реєстр, покликаний удосконалити порядок обробки та використання особистих даних військовослужбовців у держреєстрах для військового обліку та набуття статусу учасника бойових дій (УБД). Втім, на думку правознавців і самих військовослужбовців, новий закон не лише зберігає бюрократичні процедури, а й наражає їх реальну небезпеку.

"Телеграф" звернувся до юристів та правозахисників, аби розібратися у недоліках документу, який вже найближчим часом може бути введений в дію підписом президента України.

Що зміниться?

Нагадаємо, що закон про створення Єдиного державного реєстру військовозобов'язаних "Оберіг" був ухвалений ще навесні 2017 року, а сам реєстр формально запустили у роботу в березні 2022-го. Він містить дані про всіх призовників, військовозобов'язаних і резервістів у віці від 18 до 60 років. Інформація надходить в цю базу з різних державних реєстрів, в тому числі — ТЦК та СП.

Завдяки автоматичному передаванню даних з інших електронних реєстрів в "Оберіг" потрапляє така інформація:

• прізвище, ім’я, по батькові;
• дата і місце народження;
• паспортні дані, РНОКПП;
• відомості про освіту, стан здоров’я (в обсязі, необхідному для визначення придатності до військової служби та/або для реалізації трудових відносин), про сімейний стан, фактичне місце проживання;
• номери телефонів;
• відомості, що підтверджують право на пільги та компенсації;
• фото- і відеозображення;
• відомості про проходження військової (державної) служби, що містяться в особовій справі;
• відомості про військовий облік, що містяться в особових справах призовників або в облікових картках військовозобов’язаних резервістів;
• відомості про трудову діяльність, що містяться в трудовій книжці, а також інші персональні дані, які дають змогу ідентифікувати особу та необхідність обробки яких визначена чинним законодавством.

Новий закон №10062 передбачає розширення персональних даних громадян у віці 18-60 років, яких вноситимуть до вже діючого "Оберегу".

Зокрема, у Реєстр будуть вносити такі відомості:

• персональні та службові дані призовників, військовозобов’язаних і резервістів;
• дані про потребу в комплектуванні особовим складом ЗСУ та інших військових формувань, крім інформації, що становить державну таємницю.

До службових даних належать відомості про:

• виконання військового обов’язку та проходження військової служби;
• військово-облікові ознаки;
• висновок (рішення) про проходження медичного огляду (військово- лікарської експертизи);
• проходження громадянином України альтернативної (невійськової) служби;
• відомості про участь у бойових діях.

Окрім вже внесених в "Оберіг" особистих даних, тепер збиратимуть відомості про:

• батьків (усиновлювачів), опікунів, піклувальників та інших представників, а також дітей та інших членів сім’ї;
• оформлення документів для виїзду за кордон;
• місце роботи, посаду, стаж;
• переміщення особи на тимчасово окуповану територію України (дата та напрямок);
• притягнення до кримінальної та адміністративної відповідальності та інше;
• відцифрований образ обличчя особи.

Таким чином, тепер в "Оберіг" вноситимуть більш розширені персональні дані, причому без отримання на це згоди від самої людини.

"Вишенькою на торті" є норма про можливість використання хмарних технологій країн НАТО для зберігання й обробки даних з реєстрів Міноборони України. Тобто персональні дані українських військовослужбовців будуть розміщені на закордонних серверах.

За словами члену комітету Верховної Ради з питань правоохоронної діяльності Олександри Устінової від "Голосу", іноземні партнери готові виділити 100 млн доларів на реалізацію цього проекту, що покриє витрати на зберігання інформації на тривалий період, пише "Судово-юридична газета". За задумом, це має забезпечити захист від можливих втрат даних внаслідок ракетних атак чи природних катастроф.

Поки в Україні ухвалюють подібні рішення, самі європейці визнають незахищеність власних даних. Так, 16 січня міністр оборони Великої Британії Грант Шаппс розповів про наслідки хакерських атак на державні установи країни.

"Кібервійну ведуть через вторгнення в наші мережі, і цього досить, щоб створити економічний хаос. І ми це вже бачимо: Торік майже третина британських підприємств зазнали кібератак чи зламів, що завдало мільярдних збитків економіці Британії. Ми знаємо, що значну кількість цих атак здійснили з Росії та Китаю", — заявив посадовець.

При цьому одну з найчікуваніших для віськових зміну — спрощення процедури присвоєння статусу учасника бойових дій — нардепи так і не довели до пуття.

Зокрема, ідея запровадити автоматичне (через мобільний застосунок) присвоєння статусу УБД військовослужбовцю, який прибуває у бойове розпорядження, не була реалізована. Натомість нардепи залишили чинною процедуру з поданням заяви про присвоєння статусу УБД, додаванням до неї довідки, що свідчить про безпосередню участь особи у бойових діях, і розглядом цих документів спеціальною комісією, яка вирішить, чи дійсно боєць має право отримати даний статус.

Чому це небезпечно?

За словами виконавчого директора Української Гельсінської спілки з прав людини (УГСПЛ) Олександра Павліченка, даний закон загрожує не лише особистій безпеці військовослужбовців і ставить під загрозу національну безпеку, а й вступає в конфлікт з положеннями Конституції.

В чинному Законі про захист персональних даних чітко прописана заборона на транскордонну передачу персональних даних, пояснює правозахисник. Кожна особа має чітко знати, де зберігаються її дані, яким чином вони захищені, як їх обробляють, хто має до них доступ і як довго це триватиме. Таким чином, норми нового закону є прямим порушенням національного законодавства.

Крім того, вони суперечать Загальному регламенту про захист даних (GDPR-політиці), який є засадничим стандартом у європейському законодавстві.

"В Україні діє комплексна система захисту подібної інформації (КСЗІ) трьох рівнів. Її діяльність забезпечує СБУ і внутрішні реєстри перебувають під надійним захистом. Новий закон передбачає зберігання даних на закордонних серверах, де наша система КСЗІ не працює, тому ми не можемо бути впевнені у захисті цих даних.

Все ускладнюється тим, що йдеться про військових, а отже про особливо чутливу інформацію, яка повинна захищатися на найвищому рівні. У разі її витоку може бути завдана шкода обороноздатності держави. На основі даних з цього Реєстру можна буде визначити кількість українських військовополонених і загиблих, що є секретною інформацією", — пояснює експерт в коментарі "Телеграфу".

За словами Олександра Павліченка, в УГСПЛ працюють над цією темою з 2011 року, намагаючись застерегти українську владу від створення великих баз персональних даних, які можуть бути використані проти громадян.

"Найневиннішим" прикладом таких витоків є придбання особистих даних комерційними організаціями для розширення клієнтських баз або ж аналітичними центрами, що співпрацюють з політтехнологами для формування успішних політичних кампаній.

Серйознішою проблема стає, коли такі реєстри піддаються хакерським атакам, як це нещодавно сталося з оператором мобільного зв’язку "Київстар". Ніхто не знає, куди саме і в яких обсягах потрапить чутлива інформація (наприклад, про склад сім'ї військовослужбовця і місце її проживання, або ж стан його здоров'я, хвороби та залежності).

Як цього уникнути?

Одним з численних порушень чинного законодавства в документі №10062 є збирання та внесення в Реєстр особистих даних особи без отримання її згоди. Втім, за словами Олександра Павліченка, з державними установами (і тим більше — армією) сперечатися щодо цієї норми вкрай складно.

"Уявіть собі ситуацію: ви хочете отримувати пенсію. Приходите в установу для оформлення необхідних документів, але надавати особисті дані відмовляєтеся. Це ж неможливо. Ніхто не буде видавати гроші інкогніто.

Те ж саме й з військовими. Не може мобілізований чи контрактник сказати в ТЦК: я піду служити, але записувати хто я вам не дозволю. Тобто, навіть якби ця згода була потрібна за законом, фактично, відмовитись від збирання персональних даних у держустановах ми не можемо. Звісно, якщо хочемо отримувати від них послуги і брати участь в житті країни", — каже юрист.

Попри те, що вкрай сумнівний закон вже проголосований Верховною Радою, чинності він набере лише після підписання президентом. Тож є надія, що реакція суспільства (в тому числі самих військових) змусить політичне керівництво країни переглянути положення документу.

Якщо цього не станеться, закон може бути переглянутий постфактум на предмет його конституційності, каже Олександр Павліченко. Зокрема, положення, що порушують засадниче право на особисте та приватне життя. Також причиною для оскарження може стати порушення директиви GDPR, що суперечить європейському підходу до законотворчості і курсу на євроінтеграцію України загалом.

Втім, недосконалість нового закону визнають і у самому парламенті. За словами адвоката Gracers Law Firm Сергія Савинського, в результаті аналізу документа головним юридичним управлінням апарату ВРУ, було визначено, що деякі його положення не узгоджуються з чинними нормами Конституції.

Так, для захисту права призовників, військовозобов’язаних і резервістів, Порядок обробки і захисту персональних даних у Міністерстві оборони має містити такі вимоги:

• Кожного військовослужбовця (суб’єкта персональних даних) мають письмово повідомити про його права, мету збирання даних і про третіх осіб, яким передають його персональні дані. Залежно від того, хто буде здійснювати з персональними даними певні дії — це обов’язок володільця (Міністерство оборони України) чи розпорядника (військові частини за місцем несення служби) даних.
• Повідомлення має містити вичерпний перелік персональних даних, які будуть обробляти, опис конкретних дій з ними та уточнення, чи будуть дані передавати третім особам, з якою метою.
• Доступ до персональних даних мають лише службовці, визначені в наказах командирів (начальників) військових частин, та/або службовці, доступ яким дозволено їхніми посадовими обов’язками.
• Персональні дані можуть використовувати службовці, яким за змістом обов’язків надано право їх обробляти, виключно в необхідному обсязі для проведення їх обробки.
• Службовці, які мають доступ до персональних даних, підписують спеціальне зобов’язання про їхнє нерозголошення. Усі зобов’язання реєструють в окремому журналі.

Виходячи з коментарів правозахисників, можна резюмувати, що закон №10062 може бути введений в дію виключно після суттєвого доопрацювання. В іншому випадку, вищому політичному керівництву країни доведеться пояснювати суспільству і європейським партнерам, з яком метою і на яких підставах вони порушують головний Закон України, наражаючи на небезпеку тих, хто її захищає.