Захист персональних даних у сфері безпеки та оборони: реєстри «воєнного стану» («Оберіг»)
Чому є дискусійним питання про тривалість зберігання персональних даних
4. Обробка генетичних даних, персональних даних, що стосуються правопорушень, кримінальних проваджень і вироків, а також відповідних заходів безпеки, біометричних даних, що однозначно ідентифікують особу, даних, що стосуються расового чи етнічного походження, політичних поглядів, членства у профспілках, релігійних чи інших переконань, здоров’я чи статевого життя, допускається лише тоді, коли відповідні гарантії закріплені в національному законі, що доповнює гарантії цієї Конвенції (стаття 6 у новій редакції після Протоколу 2018 року).
5. Контролер (фізична або юридична особа, державний орган, який самостійно або спільно з іншими має повноваження ухвалювати рішення щодо обробки даних) і, якщо це можливо, процесор (фізична або юридична особа, державний орган, який обробляє персональні дані від імені контролера) має вживати відповідних заходів безпеки проти таких ризиків, як випадковий або неавторизований доступ, знищення, втрата, використання, зміна або розкриття персональних даних (стаття 7 у новій редакції після протоколу 2018 року).
6. На контролера персональних даних покладені обов’язки з інформування суб’єктів даних про:
а) правову основу та цілі передбачуваної обробки;
б) категорії персональних даних, що обробляються;
в) одержувачів або категорії одержувачів персональних даних, якщо такі є;
г) засоби здійснення прав суб’єкта даних;
ґ) додаткову інформацію, необхідну для забезпечення справедливої та прозорої обробки персональних даних.
Якщо персональні дані не збираються від суб’єктів даних, контролер не зобов’язаний надавати таку інформацію, якщо обробка прямо передбачена законом, або це виявляється неможливим, або вимагає непропорційних зусиль (нова стаття 8 після Протоколу 2018 року).
7. Розширені та уточнені права суб’єктів персональних даних (стаття 9 у новій редакції після Протоколу 2018 року).
8. Встановлюються зобов’язання контролерів персональних даних:
а) застосовувати належні заходи для дотримання зобов’язань за Конвенцією 108 та для демонстрації компетентному наглядовому органу держави того, що обробка даних під їхнім контролем відповідає положенням Конвенції 108;
б) досліджувати ймовірний вплив передбачуваної обробки даних на права та основні свободи суб’єктів даних до початку такої обробки і планування обробки даних у такий спосіб, щоб запобігти або мінімізувати ризик втручання;
в) впроваджувати технічні та організаційні заходи, які враховують наслідки права на захист персональних даних на всіх етапах обробки даних (нова стаття 10 після Протоколу 2018 року).
9. Унормоване питання транскордонного передавання даних та передбачене функціонування національних наглядових органів, відповідальних за забезпечення дотримання положень цієї Конвенції (нові статті 14, 15 після Протоколу 2018 року).
Важливо, що відхилення від окремих із зазначених вище положень дозволяється тоді, коли воно передбачено законом, враховує суть основних прав і свобод, становить необхідний і пропорційний захід у демократичному суспільстві для:
а) захисту національної безпеки, оборони, громадської безпеки, важливих економічних і фінансових інтересів держави, неупередженості й незалежності судової влади або запобігання, розслідування та судового переслідування кримінальних правопорушень і виконання кримінальних покарань, а також інших важливих цілей загального суспільного інтересу;
б) захисту суб’єкта даних або прав і основних свобод інших осіб, зокрема свободи вираження поглядів.
Україна ратифікувала Конвенцію 108 6 липня 2010 року, а Протокол про внесення змін до Конвенції 108 досі не підписала і не ратифікувала, тож зазначені вище оновлені положення не набрали чинності для України.
ЗАХИСТ ДАНИХ В ЄС
Іншим європейським документом у сфері захисту персональних даних є Загальний регламент про захист даних, більше відомий як GDPR (General Data Protection Regulation). ЦЕДЕМ неодноразово розглядав основні положення GDPR, особливості захисту даних онлайн та вплив Регламенту на роботу медіа. Для цілей цієї аналітики зазначимо лише основні принципи обробки персональних даних згідно з GDPR:
1. Законність, правомірність і прозорість обробки;
2. Обмеження щодо цілей. Збір персональних даних має здійснюватися для визначених, чітких та законних цілей, і оброблятися у спосіб, сумісний з такими цілями;
3. Мінімізація даних. З огляду на визначені цілі, обсяг персональних даних, що обробляються, має бути достатнім і відповідним, обмеженим мірою необхідності;
4. Точність. Персональні дані мають бути точними та, за потреби, оновлюваними. Мають вживатися заходи для актуалізації даних;
5. Обмеження щодо зберігання. Персональні дані мають зберігатися у формі, що дозволяє ідентифікацію суб’єкта даних не довше, ніж це необхідно;
6. Цілісність та конфіденційність. Персональні дані мають опрацьовуватися у спосіб, що забезпечує їхню безпеку, зокрема захист від несанкціонованого чи незаконного опрацювання, від ненавмисної втрати, знищення чи завдання шкоди, із застосуванням технічних і організаційних інструментів;
7. Підзвітність. Контролер відповідальний за дотримання усіх зазначених принципів GDPR (стаття 5 GDPR).
Україна не є (поки що) частиною Європейського Союзу, а тому на неї не поширюються у повному обсязі вимоги GDPR. Водночас проголошений курс на євроінтеграцію означає, що в майбутньому ми маємо підписати, ратифікувати та імплементувати положення Протоколу про внесення змін до Конвенції 108 та GDPR.
Ось як це визначено у статті 15 Угоди про асоціацію: «Сторони домовились співробітничати для забезпечення належного рівня захисту персональних даних відповідно до найвищих європейських та міжнародних стандартів, зокрема відповідних документів Ради Європи».
Частина друга статті 129 Угоди про асоціацію визначає: «Кожна Сторона вживає адекватних спеціальних заходів для захисту права на приватне життя та основоположних прав і свобод людини, зокрема у зв’язку з передаванням персональних даних».
Відповідно до розділу 24 Звіту за результатами проведення первинної оцінювання стану імплементації актів права Європейського Союзу (acquis ЄС) за 2023 рік (ст. 285–286) GDPR є одним із пріоритетних актів ЄС у сфері правосуддя, свободи та безпеки, а тому ухвалення законопроєктів у сфері захисту персональних даних належить до пріоритетних завдань.
І хоча тема ухвалення нового законодавства про захист персональних даних виходить за межі цієї аналітики, важливо визначити, як принципи та підходи ЄС і Ради Європи у сфері захисту й обробки персональних даних відображаються у законодавстві, особливо стосовно питань, пов’язаних із національною безпекою та обороною.
ЗАГАЛЬНЕ НАЦІОНАЛЬНЕ ЗАКОНОДАВСТВО
Загальні питання, пов’язані з особливостями збору, захисту та обробки персональних даних військовозобов’язаних та військовослужбовців, ЦЕДЕМ уже розглядав у своїй аналітиці. Тоді ми відзначили, що ці відносини регулювали Закон України «Про військовий обов’язок і військову службу» та Закон України «Про мобілізаційну підготовку та мобілізацію», які у редакції 2022 року не оперували поняттями персональних чи конфіденційних даних.
Водночас Закон України «Про військовий обов’язок і військову службу» визначав правила військового обліку, що безпосередньо стосувалися персональних даних призовників, військовозобов’язаних, резервістів та їхніх прав. Система обліку була складна, розгалужена та передбачала різних володільців і розпорядників персональних даних військовослужбовців.
Механізм організації та ведення військового обліку призовників і військовозобов’язаних визначав окремий урядовий Порядок (з 2023 року він втратив чинність), відповідно до якого територіальні центри комплектування та соціальної підтримки організовували та зберігали облікову документацію призовників і військовозобов’язаних та персональні дані.
Для цілей цієї аналітики зупинимося на аналізі нової законодавчої бази та розглянемо, як ухвалені у 2024 році зміни враховують європейські принципи та підходи до збору та захисту персональних даних.
Основні зміни до Закону України «Про мобілізаційну підготовку та мобілізацію» (щодо яких тривали затяжні дискусії) внесені Законом України «Про внесення змін до деяких законодавчих актів України щодо окремих питань проходження військової служби, мобілізації та військового обліку» (далі – Закон 3633). Ось оновлені положення, які стосуються збору та захисту персональних даних:
1. Закріплено нове поняття «система військового обліку». Хоча в Законі України «Про мобілізаційну підготовку та мобілізацію» і раніше неодноразово згадувалося це формулювання», у Законі 3633 з’явилося визначення. Отож система військового обліку – це сукупність систем військового обліку органів державної влади, інших державних органів, органів місцевого самоврядування, Збройних сил України, інших військових формувань, сил цивільного захисту, підприємств, установ і організацій, які структурно складаються з керівників як організаторів ведення військового обліку, служб персоналу (посадових осіб), які безпосередньо ведуть військовий облік, об’єктів військового обліку: призовників, військовозобов’язаних, резервістів та засобів автоматизації процесів ведення військового обліку з використанням необхідних баз даних (реєстрів), визначених цим законом та іншими законами України» (абзац 13 статті 1).
Водночас Головне науково-експертне управління Апарату Верховної Ради України зазначило, що таке визначення не враховує правила створення законодавчих дефініцій, яке полягає у неприйнятності визначення терміну через той самий термін – правило заборони кола (система військового обліку – це сукупність систем військового обліку…). Крім того, воно не дає реального розуміння, що вважати «системою військового обліку» з огляду на різноманітність дефініцій за законодавством.
2. Переглянуто статтю 22 Закону України «Про мобілізаційну підготовку та мобілізацію», яка визначає обов’язки громадян щодо мобілізаційної підготовки та мобілізації. Зокрема, передбачено, що:
а) громадяни, які перебувають на військовому обліку, в добровільному порядку реєструють свій електронний кабінет призовника, військовозобов’язаного чи резервіста (абзац 5 частини першої статті 22);
б) уряд затверджує порядок проведення призову громадян на військову службу під час мобілізації на особливий період, в якому визначається процедура перевірки військово-облікових документів громадян, уточнення персональних даних військовозобов’язаних та резервістів, внесення необхідних змін у військово-облікові документи (частина п’ята статті 22);
в) у період проведення мобілізації (крім цільової) громадяни України чоловічої статі віком від 18 до 60 років зобов’язані мати при собі військово-обліковий документ та пред’являти його за вимогою уповноваженої особи (частина шоста статті 22).
3. Переглянуто статтю 1 Закону України «Про військовий обов’язок та військову службу» та передбачено, що:
а) призовникам, військовозобов’язаним, резервістам та військовослужбовцям оформлюється та видається військово-обліковий документ, який є документом, що визначає належність його власника до виконання військового обов’язку. Форма, порядок оформлення (створення) та видавання військово-облікового документа для призовників, військовозобов’язаних та резервістів визначають Кабінет Міністрів України, а для військовослужбовців – відповідна структура (абзац восьмий частини 9 статті 1);
б) громадяни України, які підлягають взяттю на військовий облік, перебувають на військовому обліку призовників або в запасі ЗСУ, у запасі СБУ, розвідорганів України чи проходять службу у військовому резерві, зобов’язані уточнити протягом 60 днів з дня набрання чинності указом Президента України про оголошення мобілізації, затвердженим Верховною Радою України, свої персональні дані через центр надання адміністративних послуг або через електронний кабінет призовника, військовозобов’язаного, резервіста чи в територіальному центрі комплектування та соціальної підтримки (частина десята статті 1).
4. Переглянуто статтю 14 Закону України «Про військовий обов’язок та військову службу» стосовно взяття громадян України на військовий облік – деталізовані підстави, передумови та процедуру взяття на облік.
5. Уточнено, що обов’язок із ведення персонально-первинного обліку покладений на виконавчі органи сільських, селищних, міських рад. Раніше у селах та селищах, а також у містах, де відсутні відповідні районні (міські) територіальні центри комплектування та соціальної підтримки, здійснення такого обліку було покладене на органи місцевого самоврядування (частина четверта статті 34).
6. Передбачено ведення військового обліку громадян України, які постійно перебувають за кордоном. Раніше такий облік не вели (частина друга статті 36).
7. Передбачено, що військово-цивільні адміністрації, місцеві державні адміністрації взаємодіють з органами державної влади, іншими державними органами, силами оборони і силами безпеки, органами місцевого самоврядування, підприємствами, установами і організаціями, надають їм і одержують від них в установленому законодавством порядку інформацію, документи і матеріали, необхідні для виконання повноважень з питань мобілізації та демобілізації (пункт 22-1 частини першої статті 4 Закону України «Про військово-цивільні адміністрації», пункт 22-1 частини другої статті 15 Закону України «Про правовий режим воєнного стану», пункт 10 частини першої статті 27 Закону України «Про місцеві державні адміністрації»). Водночас обсяг та зміст інформації і документів чітко не визначений.
Головне науково-експертне управління Апарату Верховної Ради України зазначило, що такі норми не у повному обсязі відповідають праву на приватність, гарантованому статтею 32 Конституції України. І хоча у законах можуть бути визначені окремі повноваження органів державної влади на отримання інформації про персональні дані особи, які не потребують її згоди, проте закон обов’язково має передбачати межі такого втручання – належний механізм захисту конституційного права особи на особисте та сімейне життя.
Після опублікування Закону 3633 уряд мав:
1. У місячний строк ухвалити власні нормативно-правові акти, що випливають із Закону;
2. У двомісячний строк забезпечити створення та функціонування електронного кабінету призовника, військовозобов’язаного чи резервіста;
3. У тримісячний строк:
а) запровадити автоматизований обмін даними між Єдиним державним реєстром призовників, військовозобов’язаних та резервістів і Централізованим банком даних з проблем інвалідності та/або надати органам ведення зазначеного реєстру онлайн-доступ до вказаного банку даних;
б) забезпечити узгодження міністерствами та іншими центральними органами виконавчої влади їхніх нормативно-правових актів відповідно до цього Закону.
Основні новели Закону 3633:
- передбачено ведення військового обліку громадян України, які постійно перебувають за кордоном;
- передбачена робота з електронним кабінетом призовника, військовозобов’язаного, резервіста;
- уточнені питання, пов’язані з військово-обліковим документом для призовників, військовозобов’язаних та резервістів;
- деталізовано підстави, передумови та процедуру взяття на облік.
Також передбачено, що Уряд відповідальний за розроблення і затвердження:
- порядку проведення призову громадян на військову службу під час мобілізації на особливий період;
- форми та порядку оформлення (створення) та видавання військово-облікового документа для призовників, військовозобов’язаних та резервістів.
«ОБЕРІГ» У СПЕЦІАЛЬНОМУ ЗАКОНОДАВСТВІ
Одночасно зі змінами у основні закони – «Про військовий обов’язок і військову службу» та «Про мобілізаційну підготовку та мобілізацію» – тривала законодавча робота і над узгодженням відповідно з вимогами часу Закону України «Про Єдиний державний реєстр призовників, військовозобов’язаних та резервістів».
Від ухвалення закону у 2017 році певну роботу над реєстром із назвою «Оберіг» все ж вели. У січні 2022 року з’явилася інформація про технічне забезпечення роботи реєстру, у лютому –про підготовку фахівців для роботи з реєстром. У вересні 2023 року тодішній міністр оборони України Олексій Резніков повідомив, що система «Оберіг» уже введена: «Програму розроблено, софт передано в ТЦК і він впроваджується вже півтора року, на момент моєї каденції це вже було». У жовтні 2023 року віцепрем’єр-міністр України з інновацій, розвитку освіти, науки та технологій – міністр цифрової трансформації України Михайло Федоров запевнив, що електронний реєстр військовозобов’язаних «Оберіг» вже наповнений на понад 90%, однак є питання щодо сервісів на базі реєстру та якими вони будуть.
Для повноцінного запуску необхідних сервісів на базі «Оберіг» протягом 2024 року Верховна Рада двічі вносила зміни у спеціальний Закон України «Про Єдиний державний реєстр призовників, військовозобов’язаних та резервістів».
Зокрема, Законом України «Про внесення змін до деяких законів України щодо удосконалення порядку обробки та використання даних у державних реєстрах для військового обліку та набуття статусу ветерана війни під час дії воєнного стану» (далі – Закон 3549) внесені такі зміни до Закону про Реєстр 2017 року:
1. Міністерство оборони України розробляє, затверджує профіль безпеки у відповідній сфері управління щодо захисту інформації, яким визначаються особливості умов обробки інформації щодо інформаційних, інформаційно-комунікаційних, електронних комунікаційних систем, власником (розпорядником) яких є Міністерство оборони України, Збройні сили України, інші утворені відповідно до законів України військові формування, за умови, що такі системи не взаємодіють з будь-якими іншими системами та не використовуються для забезпечення надання електронних публічних послуг.
2. Змінено основні завдання Реєстру, які відображають його дійсну сутність (стаття 2):
3. Уточнено засади ведення Реєстру (стаття 3), які передбачають зобов’язання держави захищати персональні дані:
4. Переглянуто статтю 6, яка визначає зміст відомостей Реєстру. Зокрема, передбачається, що внесена до Реєстру інформація про призовника, військовозобов’язаного або резервіста є конфіденційною. Нерозголошення конфіденційної інформації гарантує держава. Збирання, зберігання, використання та захист інформації, що міститься у Реєстрі, здійснюються відповідно до закону. Також особам, які працюють з базами даних Реєстру, заборонено вимагати, обробляти та використовувати будь-яку інформацію, не передбачену законодавством. Водночас згода призовників, військовозобов’язаних та резервістів на обробку їхніх персональних даних для цілей Реєстру не потрібна (стаття 6).
5. Розширено перелік персональних даних призовника, військовозобов’язаного та резервіста, які вносяться, обробляються та зберігаються в базі даних Реєстру (стаття 7), та розширено зміст і характер взаємодії Реєстру та відповідних державних органів, які володіють необхідними даними (стаття 14).
Головне науково-експертне управління Апарату Верховної Ради України зазначило, що перелік державних органів, від яких органи ведення Реєстру матимуть право одержувати відомості, фактично не вичерпний. Тобто на законодавчому рівні пропонується визначити, що відомості, які збирали уповноважені на те органами державної влади у фізичних осіб (суб’єктів персональних даних) для певних законних цілей (зрозумілих та передбачуваних для самих осіб), будуть вільно обробляти інші органи державної влади для реалізації інших цілей, що несумісні з цілями, для яких їх від початку збирали.
Тож дискусійним стає питання про те, чи збирання, зберігання та використання інформації про особу вважатиметься законним та здійснюватиметься в легітимних інтересах, наприклад, в інтересах національної безпеки.
Головне юридичне управління Апарату Верховної Ради України висловило подібні до цих застереження та попередило, що в результаті реалізації ініційованих проєктом положень конфіденційну інформацію стосовно невизначеного кола людей (персональні дані) оброблятимуть у невизначених за законом обсягах протягом невизначених за законом строків. І відповідна обробка персональних даних не буде передбачуваною та прогнозованою (щодо способів та обсягу) для власників персональних даних.
6. Передбачено функціонування електронного кабінету призовника, військовозобов’язаного, резервіста (стаття 14-1). Визначено, що електронний кабінет – це персональний кабінет (захищений відокремлений вебсервіс), за допомогою якого призовнику, військовозобов’язаному, резервісту, що пройшов електронну ідентифікацію, надається доступ до інформації про його персональні та службові дані, а також до послуг. Наприклад, такими послугами може бути формування електронного витягу або ж підтвердження наявності факту бронювання чи відстрочки. Електронна ідентифікація особи буде здійснюватися з використанням кваліфікованого електронного підпису чи інших засобів електронної ідентифікації, які дають змогу однозначно встановити особу.
Передбачається, що порядок електронної ідентифікації в електронному кабінеті, перелік відомостей, що відображаються в ньому, а також перелік послуг, які надаються призовнику, військовозобов’язаному, резервісту через електронний кабінет, визначатиметься Порядком ведення Реєстру, затвердженим Кабінетом Міністрів України, та/або Положенням про Державний вебпортал електронних публічних послуг у сфері національної безпеки і оборони, затвердженим Кабінетом Міністрів України.
7. Передбачено функціонування електронного кабінету центру надання адміністративних послуг – персонального кабінету (захищений відокремлений вебсервіс), призначеного для надання адміністративних послуг центрами надання адміністративних послуг щодо звернень військовослужбовців, членів їхніх сімей, призовників, військовозобов’язаних та резервістів (стаття 14-2).
Майже одразу після Закону 3549 розроблений і Закон України «Про внесення змін до деяких законів України щодо удосконалення порядку ведення військового обліку та набуття статусу ветерана війни під час дії воєнного стану» (далі – Закон 3783), який передбачає:
1. Чергові уточнення щодо переліку персональних даних призовника, військовозобов’язаного та резервіста, які вносяться, обробляються та зберігаються в базі даних Реєстру (стаття 7), та змісту і характеру взаємодії Реєстру та відповідних державних органів, що володіють необхідними даними (стаття 14).
2. Функціонування електронного кабінету ведення персонального обліку призовників, військовозобов’язаних та резервістів (стаття 14-3).
ПІДЗАКОННІ АКТИ
Для реалізації зазначених вище законодавчих актів уряд затвердив ряд підзаконних нормативно-правових актів, зокрема:
1. Порядок проведення призову громадян на військову службу під час мобілізації, на особливий період передбачає процедуру уточнення персональних даних військовозобов’язаних та резервістів і внесення відповідних змін у військово-облікові документи.
2. Порядок організації та ведення військового обліку призовників, військовозобов’язаних та резервістів визначає механізм організації та ведення військового обліку, зокрема громадян, які перебувають за кордоном.
3. Порядок оформлення (створення) та видачі військово-облікового документа для призовників, військовозобов’язаних та резервістів і форми такого документа. Зокрема, передбачається, що військово-обліковий документ оформляється (створюється) та видається (замінюється):
а) в електронній формі – засобами електронного кабінету призовника, військовозобов’язаного, резервіста та/або Державного вебпорталу електронних публічних послуг у сфері національної безпеки і оборони та/або Єдиного державного веб-порталу електронних послуг (далі – Портал «Дія»), зокрема з використанням мобільного додатка Порталу «Дія» («Дія») (у разі технічної реалізації);
б) у паперовій формі на бланку визначеної форми.
Водночас порядок обробки та захисту відомостей про призовників, військовозобов’язаних та резервістів органами адміністрування Реєстру, що визначається Порядком ведення Реєстру, який має бути затверджений Кабінетом Міністрів України, у відкритому доступі відсутній. За повідомленням Міноборони, постанова, яка врегульовує функціонування реєстру «Оберіг» (включно з електронним кабінетом), ухвалена 10 травня 2024 року.
Проте наразі інформація про постанову має обмеження доступу, тому текст не доступний публічно. Як з’ясували журналісти, вірогідно, йдеться про Постанову Кабінету Міністрів України «Про затвердження Порядку ведення Єдиного державного реєстру призовників, військовозобов’язаних та резервістів» від 10 травня 2024 р. № 523, яка поки що у публічному доступі відсутня.
Паралельно з постановою № 523, доступ до якої обмежений, є чинним і наказ Міністерства оборони України «Про затвердження Порядку ведення Єдиного державного реєстру призовників, військовозобов’язаних та резервістів» від 28 березня 2022 р. № 94, ухвалений відповідно до попередньої редакції законодавства. Він регулює те саме питання, що постанова № 523. Відповідно до частини сьомої статті 5 Закону 3783 порядок обробки та захисту відомостей про призовників, військовозобов’язаних та резервістів органами адміністрування Реєстру визначається Порядком ведення Реєстру, який затвердив Кабінет Міністрів України. Натомість редакція частини сьомої статті 5 до змін, внесених 16 січня 2024 р., передбачала, що процедуру обробки відомостей про призовників, військовозобов’язаних та резервістів органами адміністрування Реєстру визначає Порядок ведення Реєстру, який затвердив володілець Реєстру – Міністерство оборони України.
Це створює певну правову колізію.