Захист персональних даних у сфері безпеки та оборони: реєстри “воєнного стану” (“Оберіг”)

August 2, 2024

У першому півріччі 2024 року відбулися суттєві зміни у законодавстві, пов’язаному з військовою службою та військовим обліком. Це і не дивно, адже триваюче протистояння Російській Федерації зумовлює потребу якісно змінити підходи до мобілізації та організації питань, пов’язаних із проходженням військової служби. Значною мірою це пов’язано зі збором та обробкою інформації, зокрема і персональних даних. У новій аналітиці Центру демократії та верховенства права розглянемо, як оновлена законодавча база, що регламентує роботу окремих реєстрів даних в умовах воєнного стану, співвідноситься із міжнародними стандартами захисту персональних даних.

Засади захисту і обробки персональних даних у Раді Європи

Базовим документом у сфері захисту права на приватність у зв’язку з автоматизованою обробкою персональних даних є Конвенція Ради Європи про захист осіб у зв’язку з автоматизованою обробкою персональних даних, ухвалена у 1981 році (далі – Конвенція 108). У 2018 році прийнято Протокол про внесення змін до Конвенції 108, який суттєво змінює зміст Конвенції 108. Він покликаний адаптувати наявне регулювання до нових викликів, пов’язаних із технологічним розвитком та автоматизованою обробкою персональних даних. Протокол також враховує особисту автономію, засновану на праві людини контролювати свої особисті дані та їх обробку.

Основні положення Конвенції 108 з урахуванням внесених Протоколом 2018 року змін:

1. Обробка даних має бути пропорційною щодо переслідуваної законної мети та відображати на всіх етапах обробки справедливий баланс між усіма зацікавленими інтересами (державними чи приватними) та правами і свободами.

2. Обробка даних може здійснюватися на основі вільної, конкретної, інформованої та недвозначної згоди суб’єкта даних або на будь-якій іншій встановленій законом основі.

3. Встановлюються вимоги до персональних даних, що обробляються. Такі дані мають:

а) оброблятися відповідно до закону;

б) оброблятися чесно та прозоро;

в) збиратися для явних, визначених і законних цілей, і не оброблятися у спосіб, несумісний з цими цілями;

г) бути адекватними, відповідними та не надмірними щодо цілей, для яких вони обробляються;

ґ) бути точними та, за необхідності, оновлюваними;

д) зберігатися у формі, яка дозволяє ідентифікувати суб’єктів даних не довше, ніж це необхідно для цілей, для яких ці дані обробляються (стаття 5 у новій редакції після Протоколу 2018 року).

4. Обробка генетичних даних, персональних даних, що стосуються правопорушень, кримінальних проваджень і вироків, а також відповідних заходів безпеки, біометричних даних, що однозначно ідентифікують особу, даних, що стосуються расового чи етнічного походження, політичних поглядів, членства в профспілках, релігійних чи інших переконань, здоров’я чи статевого життя, допускається лише тоді, коли відповідні гарантії закріплені в національному законі, що доповнює гарантії цієї Конвенції (стаття 6 у новій редакції після Протоколу 2018 року).

5. Контролер (фізична або юридична особа, державний орган, який самостійно або спільно з іншими має повноваження приймати рішення щодо обробки даних) і, якщо це можливо, процесор ( фізична або юридична особа, державний орган, який обробляє персональні дані від імені контролера) мають вживати відповідних заходів безпеки проти таких ризиків, як випадковий або неавторизований доступ, знищення, втрата, використання, зміна або розкриття персональних даних (стаття 7 у новій редакції після Протоколу 2018 року).

6. На контролера персональних даних покладені обов’язки з інформування суб’єктів даних про:

а) правову основу та цілі передбачуваної обробки;

б) категорії персональних даних, що обробляються;

в) одержувачів або категорії одержувачів персональних даних, якщо такі є;

г) засоби здійснення прав суб’єкта даних;

ґ) додаткову інформацію, необхідну для забезпечення справедливої ​​та прозорої обробки персональних даних.

Якщо персональні дані не збираються від суб’єктів даних, контролер не зобов’язаний надавати таку інформацію, якщо обробка прямо передбачена законом або це виявляється неможливим, або вимагає непропорційних зусиль (нова стаття 8 після Протоколу 2018 року).

7. Розширені та уточнені права суб’єктів персональних даних (стаття 9 у новій редакції після Протоколу 2018 року).

8. Встановлюються зобов’язання контролерів персональних даних:

а) застосовувати належні заходи для дотримання зобов’язань за Конвенцією 108 та для демонстрації компетентному наглядовому органу держави того, що обробка даних під їхнім контролем відповідає положенням Конвенції 108;

б) досліджувати ймовірний вплив передбачуваної обробки даних на права та основні свободи суб’єктів даних до початку такої обробки, і планування обробки даних у такий спосіб, щоб запобігти або мінімізувати ризик втручання;

в) впроваджувати технічні та організаційні заходи, які враховують наслідки права на захист персональних даних на всіх етапах обробки даних (нова стаття 10 після Протоколу 2018 року).

9. Унормоване питання транскордонної передачі даних та передбачене функціонування національних наглядових органів, відповідальних за забезпечення дотримання положень цієї Конвенції (нові статті 14, 15 після Протоколу 2018 року).

Важливо, що відхилення від окремих із зазначених вище положень дозволяється у випадках, якщо воно передбачено законом, враховує суть основних прав і свобод, становить необхідний і пропорційний захід у демократичному суспільстві для:

а) захисту національної безпеки, оборони, громадської безпеки, важливих економічних і фінансових інтересів держави, неупередженості і незалежності судової влади або запобігання, розслідування та судового переслідування кримінальних правопорушень і виконання кримінальних покарань, а також інших важливих цілей загального суспільний інтерес;

б) захисту суб’єкта даних або прав і основних свобод інших осіб, зокрема свободи вираження поглядів.

Україна ратифікувала Конвенцію 108 6 липня 2010 року, а Протокол про внесення змін до Конвенції 108 досі не підписала і не ратифікувала, тож зазначені вище оновлені положення не набрали чинності для України.

Захист даних у ЄС

Іншим європейським документом у сфері захисту персональних даних є Загальний регламент про захист даних, більше відомий як GDPR (General Data Protection Regulation). ЦЕДЕМ неодноразово розглядав основні положення GDPR, особливості захисту даних онлайн та вплив Регламенту на роботу медіа. Для цілей цієї аналітики зазначимо лише основні принципи обробки персональних даних згідно з GDPR:

  1. Законність, правомірність і прозорість обробки;
  2. Обмеження щодо цілей. Збір персональних даних має здійснюватися для визначених, чітких та законних цілей, і оброблятися у спосіб, сумісний з такими цілями;
  3. Мінімізація даних. З огляду на визначені цілі, обсяг персональних даних, що обробляються, має бути достатніми і відповідними, та обмеженим мірою необхідності;
  4. Точність. Персональні дані мають бути точними та, за необхідності, оновлюваними. Мають вживатися заходи для актуалізації даних;
  5. Обмеження щодо зберігання. Персональні дані мають зберігатися у формі, що дозволяє ідентифікацію суб’єкта даних не довше, ніж це необхідно;
  6. Цілісність та конфіденційність. Персональні дані мають опрацьовуватися у спосіб, що забезпечує їхню безпеку, у тому числі захист від несанкціонованого чи незаконного опрацювання, від ненавмисної втрати, знищення чи завдання шкоди, із застосуванням технічних і організаційних інструментів;
  7. Підзвітність. Контролер несе відповідальність за дотримання усіх вищезазначених принципів GDPR (стаття 5 GDPR).

Україна не є (поки що) частиною Європейського Союзу, а тому на неї не поширюється у повному обсязі вимоги GDPR. Водночас, проголошений курс на євроінтеграцію означає, що в майбутньому ми маємо підписати, ратифікувати та імплементувати положення Протоколу про внесення змін до Конвенції 108 та GDPR.

Ось як це визначено у статті 15 Угоди про асоціацію: “Сторони домовились співробітничати з метою забезпечення належного рівня захисту персональних даних відповідно до найвищих європейських та міжнародних стандартів, зокрема відповідних документів Ради Європи”.

Частина друга статті 129 Угоди про асоціацію визначає: “Кожна Сторона вживає адекватних спеціальних заходів з метою захисту права на приватне життя та основоположних прав і свобод людини, зокрема у зв’язку з передачею персональних даних”.

Відповідно до розділу 24 Звіту за результатами проведення первинної оцінки стану імплементації актів права Європейського Союзу (acquis ЄС) за 2023 рік (ст. 285-286) GDPR є одним із пріоритетних актів ЄС у сфері правосуддя, свободи та безпеки, а тому ухвалення законопроєктів у сфері захисту персональних даних належить до пріоритетних завдань.

І хоча тема прийняття нового законодавства про захист персональних даних виходить за межі цієї аналітики, важливо визначити, як принципи та підходи ЄС і Ради Європи у сфері захисту і обробки персональних даних відображаються у прийнятому законодавстві, особливо стосовно питань, пов’язаних із національною безпекою та обороною.

Загальне національне законодавство

Загальні питання, пов’язані із особливостями збору, захисту та обробки персональних даних військовозобов’язаних та військовослужбовців, ЦЕДЕМ уже розглядав у своїй аналітиці. Тоді ми відзначили, що ці відносини регулювали Закон України “Про військовий обов’язок і військову службу”, та Закон України “Про мобілізаційну підготовку та мобілізацію”, які, у редакції 2022 року, не оперували поняттями персональних чи конфіденційних даних.

При цьому Закон України “Про військовий обов’язок і військову службу” визначав правила військового обліку, що безпосередньо стосувалися персональних даних призовників, військовозобов’язаних, резервістів та їхніх прав. Система обліку була складна, розгалужена та передбачала різних володільців і розпорядників персональних даних військовослужбовців.

Механізм організації та ведення військового обліку призовників і військовозобов’язаних визначав окремий урядовий Порядок (з 2023 року він втратив чинність), відповідно до якого територіальні центри комплектування та соціальної підтримки організовували та зберігали облікову документацію призовників і військовозобов’язаних та персональні дані.

Для цілей цієї аналітики зупинимося на аналізі нової законодавчої бази та розглянемо, як прийняті у 2024 році зміни враховують європейські принципи та підходи до збору та захисту персональних даних.

Основні зміни до Закону України “Про мобілізаційну підготовку та мобілізацію” (щодо яких тривали затяжні дискусії) внесені Законом України “Про внесення змін до деяких законодавчих актів України щодо окремих питань проходження військової служби, мобілізації та військового обліку” (далі – Закон 3633). Ось оновлені положення, які стосуються збору та захисту персональних даних:

1. Закріплено нове поняття “система військового обліку”. Хоча у Законі України “Про мобілізаційну підготовку та мобілізацію” і раніше неодноразово згадувалося це формулювання”, у Законі 3633 з’явилося визначення. Отож, система військового обліку це сукупність систем військового обліку органів державної влади, інших державних органів, органів місцевого самоврядування, Збройних Сил України, інших військових формувань, сил цивільного захисту, підприємств, установ і організацій, які структурно складаються із керівників як організаторів ведення військового обліку, служб персоналу (посадових осіб), які безпосередньо ведуть військовий облік, об’єктів військового обліку призовників, військовозобов’язаних, резервістів та засобів автоматизації процесів ведення військового обліку з використанням необхідних баз даних (реєстрів), визначених цим Законом та іншими законами України(абзац тринадцятий статті 1).

Водночас, Головне науково-експертне управління Апарату Верховної Ради України відзначило, що таке визначення не враховує правила створення законодавчих дефініцій, яке полягає у неприйнятності визначення терміну через той самий термін правило заборони кола (система військового обліку це сукупність систем військового обліку…). Крім того, воно не дає реального розуміння, що вважати “системою військового обліку”, з огляду на різноманітність дефініцій за законодавством.

2. Переглянуто статтю 22 Закону України “Про мобілізаційну підготовку та мобілізацію”, яка визначає обов’язки громадян щодо мобілізаційної підготовки та мобілізації. Зокрема, передбачено, що:

а) громадяни, які перебувають на військовому обліку, в добровільному порядку реєструють свій електронний кабінет призовника, військовозобов’язаного чи резервіста (абзац п’ятий частини першої статті 22);

б) Уряд затверджує порядок проведення призову громадян на військову службу під час мобілізації на особливий період, в якому визначається процедура перевірки військово-облікових документів громадян, уточнення персональних даних військовозобов’язаних та резервістів, внесення необхідних змін у військово-облікові документи (частина п’ята статті 22);

в) у період проведення мобілізації (крім цільової) громадяни України чоловічої статі віком від 18 до 60 років зобов’язані мати при собі військово-обліковий документ та пред’являти його за вимогою уповноваженої особи (частина шоста статті 22).

3. Переглянуто статтю 1 Закону України “Про військовий обов’язок та військову службу” та передбачено, що:

а) призовникам, військовозобов’язаним, резервістам та військовослужбовцям оформлюється та видається військово-обліковий документ, який є документом, що визначає належність його власника до виконання військового обов’язку. Форма, порядок оформлення (створення) та видачі військово-облікового документа для призовників, військовозобов’язаних та резервістів визначаються Кабінетом Міністрів України, а для військовослужбовців відповідною структурою (абзац восьмий частини дев’ятої статті 1);

б) громадяни України, які підлягають взяттю на військовий облік, перебувають на військовому обліку призовників або у запасі ЗСУ, у запасі СБУ, розвідорганів України чи проходять службу у військовому резерві, зобов’язані уточнити протягом 60 днів з дня набрання чинності указом Президента України про оголошення мобілізації, затвердженим Верховною Радою України, свої персональні дані через центр надання адміністративних послуг або через електронний кабінет призовника, військовозобов’язаного, резервіста, або у територіальному центрі комплектування та соціальної підтримки (частина десята статті 1).

4. Переглянуто статтю 14 Закону України “Про військовий обов’язок та військову службу” в частині взяття громадян України на військовий облік деталізовані підстави, передумови та процедуру взяття на облік.

5. Уточнено, що обов’язок із ведення персонально-первинного обліку покладений на виконавчі органи сільських, селищних, міських рад. Раніше у селах та селищах, а також у містах, де відсутні відповідні районні (міські) територіальні центри комплектування та соціальної підтримки, здійснення такого обліку було покладене на органи місцевого самоврядування (частина четверта статті 34).

6. Передбачено ведення військового обліку громадян України, які постійно перебувають за кордоном. Раніше такий облік не вели (частина друга статті 36).

7. Передбачено, що військово-цивільні адміністрації, місцеві державні адміністрації взаємодіють з органами державної влади, іншими державними органами, силами оборони і силами безпеки, органами місцевого самоврядування, підприємствами, установами і організаціями, надають їм і одержують від них в установленому законодавством порядку інформацію, документи і матеріали, необхідні для виконання повноважень з питань мобілізації та демобілізації (пункт 22-1 частини першої статті 4 Закону України “Про військово-цивільні адміністрації”, пункт 22-1 частини другої статті 15 Закону України “Про правовий режим воєнного стану”, пункт 10 частини першої статті 27 Закону України “Про місцеві державні адміністрації”). При цьому обсяг та зміст інформації і документів чітко не визначений.

Головне науково-експертне управління Апарату Верховної Ради України відзначило, що такі норми не у повному обсязі відповідають праву на приватність, гарантованому статтею 32 Конституції України. І хоча у законах можуть бути визначені окремі повноваження органів державної влади на отримання інформації про персональні дані особи, які не потребують її згоди, проте закон обов’язково має передбачати межі такого втручання – належний механізм захисту конституційного права особи на особисте та сімейне життя.

Після опублікування Закону 3633 Уряд мав:

  1. У місячний строк ухвалити власні нормативно-правові акти, що випливають із Закону;
  2. У двомісячний строк забезпечити створення та функціонування електронного кабінету призовника, військовозобовязаного чи резервіста;
  3. У тримісячний строк:

а) запровадити автоматизований обмін даними між Єдиним державним реєстром призовників, військовозобов’язаних та резервістів і Централізованим банком даних з проблем інвалідності та/або надати органам ведення зазначеного реєстру онлайн-доступ до вказаного банку даних;

б) забезпечити приведення міністерствами та іншими центральними органами виконавчої влади їхніх нормативно-правових актів у відповідність із цим Законом.

Основні новели Закону 3633:

  • передбачено ведення військового обліку громадян України, які постійно перебувають за кордоном;
  • передбачена робота із електронним кабінетом призовника, військовозобов’язаного, резервіста;
  • уточнені питання, пов’язані із військово-обліковим документом для призовників, військовозобов’язаних та резервістів;
  • деталізовано підстави, передумови та процедуру взяття на облік.

Також передбачено, що Уряд відповідальний за розробку і затвердження:

  • порядку проведення призову громадян на військову службу під час мобілізації на особливий період;
  • форми та порядку оформлення (створення) та видачі військово-облікового документа для призовників, військовозобов’язаних та резервістів.

“Оберіг” у спеціальному законодавстві

Одночасно зі змінами у основні закони “Про військовий обов’язок і військову службу” та “Про мобілізаційну підготовку та мобілізацію” тривала законодавча робота і над приведенням у відповідність до вимог часу Закону України “Про Єдиний державний реєстр призовників, військовозобов’язаних та резервістів”.

З часу прийняття закону у 2017 році, певну роботу над реєстром із назвою “Оберіг” все ж вели. У січні 2022 року з’явилася інформація про технічне забезпечення роботи реєстру, у в лютому про підготовку фахівців для роботи з реєстром. У вересні 2023 року тодішній міністр оборони України Олексій Резніков повідомив, що система “Оберіг” уже введена: “програму розроблено, софт передано в ТЦК і він впроваджується вже півтора року, на момент моєї каденції це вже було”. У жовтні 2023 року віце-прем’єр-міністр України з інновацій, розвитку освіти, науки та технологій Міністр цифрової трансформації України Михайло Федоров запевнив, що електронний реєстр військовозобов’язаних “Оберіг” вже наповнений на понад 90%, однак, є питання сервісів на базі реєстру та якими вони будуть.

Для повноцінного запуску необхідних сервісів на базі “Оберіг” протягом 2024 року Верховна Рада двічі вносила зміни у спеціальний Закон України “Про Єдиний державний реєстр призовників, військовозобов’язаних та резервістів”.

Зокрема, Законом України “Про внесення змін до деяких законів України щодо удосконалення порядку обробки та використання даних у державних реєстрах для військового обліку та набуття статусу ветерана війни під час дії воєнного стану” (далі Закон 3549) внесені такі зміни до Закону про Реєстр 2017 року:

1. Міністерство оборони України розробляє, затверджує профіль безпеки у відповідній сфері управління щодо захисту інформації, яким визначаються особливості умов обробки інформації щодо інформаційних, інформаційно-комунікаційних, електронних комунікаційних систем, власником (розпорядником) яких є Міністерство оборони України, Збройні Сили України, інші утворені відповідно до законів України військові формування, за умови що такі системи не взаємодіють з будь-якими іншими системами та не використовуються для забезпечення надання електронних публічних послуг.

2. Змінено основні завдання Реєстру, які відображають його дійсну сутність (стаття 2):

Було

Передбачено Законом 3549

ведення військового обліку громадян України

ідентифікація призовників, військовозобов’язаних, резервістів та забезпечення ведення військового обліку громадян України

забезпечення комплектування Збройних Сил України, інших утворених відповідно до законів України військових формувань особовим складом в мирний час та в особливий період

інформаційне забезпечення комплектування Збройних Сил України, інших утворених відповідно до законів України військових формувань особовим складом у мирний час та в особливий період

3. Уточнено засади ведення Реєстру (стаття 3) які передбачають зобов’язання держави захищати персональні дані:

Було

Передбачено Законом 3549

1. Основними засадами ведення Реєстру є:

1) обов’язковість внесення до Реєстру передбачених цим Законом відомостей про призовників, військовозобов’язаних та резервістів;

1. Основними засадами ведення Реєстру є:

1) обов’язковість та своєчасність внесення до Реєстру передбачених цим Законом відомостей про призовників, військовозобов’язаних та резервістів;

2) повнота та актуалізація відомостей Реєстру;

2) повнота та актуалізація відомостей Реєстру про призовників, військовозобов’язаних та резервістів;

3) захищеність Реєстру та внесених до нього відомостей держава гарантує захист бази даних Реєстру від несанкціонованого доступу та зловживання доступом, незаконного використання відомостей Реєстру, порушення цілісності бази даних Реєстру та його апаратного чи програмного забезпечення.

3) захищеність Реєстру та внесених до нього відомостей держава гарантує захист бази даних Реєстру від несанкціонованого доступу та зловживання доступом, незаконного використання відомостей Реєстру, порушення цілісності бази даних Реєстру та його апаратного чи програмного забезпечення, а також гарантує дотримання законодавства щодо захисту персональних даних призовників, військовозобов’язаних та резервістів, наявних у Реєстрі.

 

2. Оформлення документів військового обліку громадян України здійснюється з використанням засобів Реєстру

4. Переглянуто статтю 6, яка визначає зміст відомостей Реєстру. Зокрема, передбачається, що внесена до Реєстру інформація про призовника, військовозобов’язаного або резервіста є конфіденційною. Нерозголошення конфіденційної інформації гарантується державою. Збирання, зберігання, використання та захист інформації, що міститься у Реєстрі, здійснюються відповідно до закону. Своєю чергою, особам, які працюють з базами даних Реєстру, заборонено вимагати, обробляти та використовувати будь-яку інформацію, не передбачену законодавством. При цьому згода призовників, військовозобов’язаних та резервістів на обробку їхніх персональних даних для цілей Реєстру не потрібна (стаття 6).

5. Розширено перелік персональних даних призовника, військовозобов’язаного та резервіста, які вносяться, обробляються та зберігаються в базі даних Реєстру (стаття 7) та розширено зміст і характер взаємодії Реєстру та відповідних державних органів, які володіють необхідними даними (стаття 14).

При цьому Головне науково-експертне управління Апарату Верховної Ради України відзначило, що перелік державних органів, від яких органи ведення Реєстру матимуть право одержувати відомості, фактично невичерпний. Тобто на законодавчому рівні пропонується визначити, що відомості, які збирали уповноважені на те органами державної влади у фізичних осіб (суб’єктів персональних даних) для певних законних цілей (зрозумілих та передбачуваних для самих осіб), будуть вільно обробляти інші органи державної влади для реалізації інших цілей, що несумісні з цілями, для яких їх від початку збирали.

Тож дискусійним стає питання про те, чи збирання, зберігання та використання інформації про особу вважатиметься законним та здійснюватиметься в легітимних інтересах, наприклад, в інтересах національної безпеки.

Головне юридичне управління Апарату Верховної Ради України висловило подібні застереження та попередило, що внаслідок реалізації ініційованих проєктом положень конфіденційну інформація стосовно невизначеного кола людей (персональні дані) оброблятимуть у невизначених законом обсягах протягом невизначених законом строків. І відповідна обробка персональних даних не буде передбачуваною та прогнозованою (щодо способів та обсягу) для володільців персональних даних.

6. Передбачено функціонування електронного кабінету призовника, військовозобов’язаного, резервіста (стаття 14-1). Визначено, що електронний кабінет це персональний кабінет (захищений відокремлений веб-сервіс), за допомогою якого призовнику, військовозобов’язаному, резервісту, який пройшов електронну ідентифікацію, надається доступ до інформації про його персональні та службові дані, а також до послуг. Наприклад, такими послугами може бути формування електронного витягу або ж підтвердження наявності факту бронювання чи відстрочки. Електронна ідентифікація особи буде здійснюватися з використанням кваліфікованого електронного підпису чи інших засобів електронної ідентифікації, які дають змогу однозначно встановити особу.

Передбачається, що порядок електронної ідентифікації в електронному кабінеті, перелік відомостей, що відображаються в ньому, а також перелік послуг, які надаються призовнику, військовозобов’язаному, резервісту через електронний кабінет, визначатиметься Порядком ведення Реєстру, затвердженим Кабінетом Міністрів України, та/або Положенням про Державний веб-портал електронних публічних послуг у сфері національної безпеки і оборони, затвердженим Кабінетом Міністрів України.

7. Передбачено функціонування електронного кабінету центру надання адміністративних послуг персонального кабінету (захищений відокремлений веб-сервіс), призначеного для надання адміністративних послуг центрами надання адміністративних послуг щодо звернень військовослужбовців, членів їхніх сімей, призовників, військовозобов’язаних та резервістів (стаття 14-2).

Майже одразу після Закону 3549 розроблений і Закон України “Про внесення змін до деяких законів України щодо удосконалення порядку ведення військового обліку та набуття статусу ветерана війни під час дії воєнного стану” (далі Закон 3783), який передбачає:

  1. Чергові уточнення щодо переліку персональних даних призовника, військовозобов’язаного та резервіста, які вносяться, обробляються та зберігаються в базі даних Реєстру (стаття 7) та змісту і характеру взаємодії Реєстру та відповідних державних органів, які володіють необхідними даними (стаття 14).
  2. Функціонування електронного кабінету ведення персонального обліку призовників, військовозобов’язаних та резервістів (стаття 14-3).

Підзаконні акти

Для реалізації зазначених вище законодавчих актів, Уряд затвердив ряд підзаконних нормативно-правових актів, зокрема:

1. Порядок проведення призову громадян на військову службу під час мобілізації, на особливий період передбачає процедуру уточнення персональних даних військовозобов’язаних та резервістів і внесення відповідних змін у військово-облікові документи.

2. Порядок організації та ведення військового обліку призовників, військовозобов’язаних та резервістів визначає механізм організації та ведення військового обліку, зокрема громадян, які перебувають за кордоном.

3. Порядок оформлення (створення) та видачі військово-облікового документа для призовників, військовозобов’язаних та резервістів і форми такого документа. Зокрема, передбачається, що військово-обліковий документ оформляється (створюється) та видається (замінюється):

а) в електронній формі засобами електронного кабінету призовника, військовозобов’язаного, резервіста та/або Державного веб-порталу електронних публічних послуг у сфері національної безпеки і оборони та/або Єдиного державного веб-порталу електронних послуг (далі Портал Дія), зокрема з використанням мобільного додатка Порталу Дія (Дія) (у разі технічної реалізації);

б) у паперовій формі на бланку визначеної форми.

При цьому порядок обробки та захисту відомостей про призовників, військовозобов’язаних та резервістів органами адміністрування Реєстру, що визначається Порядком ведення Реєстру, який має бути затверджений Кабінетом Міністрів України, у відкритому доступі відсутній. За повідомленням Міноборони, постанова, яка врегульовує функціонування реєстру “Оберіг” (включно з електронним кабінетом), прийнята 10 травня 2024 року. 

Проте наразі інформація про постанову має обмеження доступу, тому текст недоступний публічно. Як з’ясували журналісти, вірогідно, йдеться про постанову Кабінету Міністрів України “Про затвердження Порядку ведення Єдиного державного реєстру призовників, військовозобов’язаних та резервістів” від 10 травня 2024 р. № 523, яка наразі у публічному доступі відсутня.

Паралельно із постановою № 523, доступ до якої обмежений, продовжує бути чинним і наказ Міністерства оборони України “Про затвердження Порядку ведення Єдиного державного реєстру призовників, військовозобов’язаних та резервістів” від 28 березня 2022 р. № 94, прийнятий відповідно до попередньої редакції законодавства. Він регулює те ж питання, що і постанова № 523. Відповідно до частини сьомої статті 5 Закону 3783 порядок обробки та захисту відомостей про призовників, військовозобов’язаних та резервістів органами адміністрування Реєстру визначається Порядком ведення Реєстру, затвердженим Кабінетом Міністрів України. Натомість, редакція частини сьомої статті 5 до змін, внесених 16 січня 2024 р., передбачала, що процедуру обробки відомостей про призовників, військовозобов’язаних та резервістів органами адміністрування Реєстру визначає Порядок ведення Реєстру, затверджений володільцем Реєстру Міністерством оборони України.

Це створює певну правову колізію.

Відсутній у публічному доступі і наказ Міністра оборони України від 29 квітня 2024 р. про створення інформаційно-комунікаційної системи для доступу до електронного кабінету військовозобов’язаного.

Висновки

Прийняття нової законодавчої бази, яка регламентує збір та обробку персональних даних беззаперечний крок уперед у питанні актуалізації та збору інформації про призовників, військовозобов’язаних та резервістів. Такі рішення відповідають принципам GDPR  та підходам, закріпленим у Протоколі про внесення змін у Конвенцію 108 (персональні дані мають бути точними та, за необхідності, оновлюваними, мають вживатися заходи для актуалізації даних).

Водночас, дискусійним є питання щодо тривалості зберігання персональних даних. Наприклад, наказ Міноборони (який мав би втратити чинність), передбачає, що видалення відомостей про особу проводиться після проходження 105 років з дати її народження, з відповідним записом та особистим підписом адміністратора володільця Реєстру у журналі знищення відомостей, та з дозволу посадової особи володільця Реєстру, яка відповідає за захист інформації. Встановити термін обробки та зберігання персональних даних за новим Порядком ведення Єдиного державного реєстру призовників, військовозобов’язаних та резервістів, затвердженого постановою Уряду від 10 травня 2024 р. № 523 неможливо, бо сам документ відсутній у відкритому доступі.

Така прогалина не дозволяє встановити відповідність законодавства принципам, закріпленим у GDPR (персональні дані мають зберігатися у формі, що дозволяє ідентифікацію суб’єкта даних не довше, ніж це необхідно) та Протоколі про внесення змін до Конвенції 108.

Суперечливим є і обсяг персональних даних призовника, військовозобов’язаного та резервіста, які вносяться, обробляються та зберігаються в базі даних “Оберіг”, а також характер його взаємодії та відповідних державних органів, які володіють необхідними даними. Свої застереження на етапі розробки законопроєкту висловлювали у Головному науково-експертному управлінні Апарату Верховної Ради України, Головному юридичному управлінні Апарату Верховної Ради України, а після ухвалення до них долучилися і експерти. Фахівці застерігали, що закріплені норми можуть не узгоджуватися одразу з кількома принципами Протоколу про внесення змін до Конвенції 108 та GDPR щодо порушення пропорційності, обмеження щодо цілей збору персональних даних та мінімізації обсягу даних, який обробляється з огляду на законні цілі.

Реалізація закріплених норм та робота Реєстру можуть підсвітити і інші питання, які потребуватимуть регулювання чи перегляду законодавчої бази. Тож висловлені рекомендації можуть бути враховані при подальшому внесенні змін до законодавства.