«Повістки в «Дії»», «військкомат знатиме про мене все», «старший брат» стежить за моїм пересуванням» та безліч інших припущень шириться серед українців у зв’язку із здійсненням реформи у сфері цифровізації військового обліку. Що з них правда, а що ні, — розберемося.
Повноцінне запровадження Електронного реєстру призовників, військовозобов’язаних, резервістів, а також Електронного кабінету шляхом внесення змін до відповідного закону дійсно підіймає питання захисту персональних даних українців, які потраплять до цього Реєстру. Шукаємо відповіді на найбільш розповсюджені питання.
Звідки реєстр отримуватиме інформацію?
Відповідно до тексту законопроекту («Про внесення змін до деяких законів України щодо удосконалення порядку обробки та використання даних в державних реєстрах для військового обліку та набуття статусу ветерана війни під час дії воєнного стану») для формування бази даних, Реєстр наповнюється інформацією про призовників, військовозобов’язаних та резервістів з даних, якими володіє Центральна виборча комісія, податкова служба, органи міграції тощо. Ці відомства передають держателю Реєстру (Міністерству оборони України) відповідну інформацію.
З огляду, що профільний закон ухвалений ще в 2019 році, вся або ж частина інформації для формування загальної бази даних повинна була б бути вже переданою. Всі інші дані потрапляють в Реєстр та постійно актуалізуються через електронну взаємодію з іншими публічними електронними реєстрами.
Таким чином, держава створює пеєстр шляхом одноразового наповнення інформацією із найбільш повних публічних баз даних із подальшою електронною взаємодією із іншими публічними електронними реєстрами.
Чи має право реєстр збирати та обробляти персональні дані українців?
Як вже зазначалося, призовник, військовозобов’язаний або резервіст самостійно не надає свої персональні дані до реєстру. Міноборони має самостійно його наповнювати такими даними через взаємодію із іншими державними органами. Виходячи з цього, суб'єкт персональних даних не надає власної згоди на збирання та обробку своїх даних.
Водночас випереджуючи занепокоєння громадян, слід зазначити, що такий збір та обробка даних — цілком законні, оскільки як українське законодавство, так і законодавство Європейського Союзу (що є найбільш передовим в контексті захисту персональних даних) встановлює випадки, коли збір та обробка персональних даних може здійснюватися не на підставі згоди, а в силу закону.
Так, GDPR (Загальний регламент про захист даних для ЄС), Директива 95/46/ЄС, та й зрештою ст. 11 Закону України «Про захист персональних даних» допускають обробку персональних даних державним органом, коли така обробка необхідна для виконання ними їхніх офіційних повноважень. Сам навіть профільний закон у вже чинній редакції містить положення про те, що згода на обробку персональний даних не потрібна.
Що означає електронний кабінет призовника, військовозобов’язаного, резервіста?
Основним нововведенням змін до профільного закону є запровадження Електронного кабінету. Так, відповідно до тексту законопроекту Електронний кабінет — програмний інтерфейс Реєстру, призначений для відображення відомостей про призовника, військовозобов’язаного, резервіста.
Водночас Порядок та параметри доступу до електронного кабінету, перелік відомостей, які відображаються, а також перелік послуг, які надаються через електронний кабінет, визначається Порядком ведення Реєстру, що затверджується Міністерством оборони України, який поки ні слова про Електронний кабінет не містить.
Таким чином, станом на сьогодні, незрозуміло як буде виглядати цей Електронний кабінет: ні з технічної, ні з юридичної точки зору.
Чи можуть приходити повістки у «Дії»?
Представники Мінцифри чітко зазначали, що роздачі повісток в Дії не буде. Підкреслю, що, в принципі, будь-яка електронна роздача повісток є юридично нікчемною за своєю суттю у зв’язку із неможливістю встановлення факту належного повідомлення. Проте питання чи чекати інтеграції Реєстру та Електронного кабінету з Дією є досі відкритим, оскільки Кабінет Міністрів України у своїй Постанові від 30 грудня 2022 р. № 1487 допускає таку інформаційну взаємодію.
Чи може держава гарантувати захист персональних даних українців після запуску реєстру?
Станом на сьогодні, поки Реєстр повноцінно не запрацював, а Електронний кабінет взагалі перебуває лише в планах, говорити про реальні ризики важко. Найважливіші моменти щодо обробки персональних даних будуть визначатися в Порядку ведення Реєстру. Водночас вже сьогодні можна визначити потенційні перестороги перед можливими порушеннями.
Наприклад, відповідно до чинної редакції профільного закону, збираються та обробляються дані про стан здоров’я з метою визначення придатності для виконання військового обов’язку. Такі відомості Міноборони отримує від Міністерства охорони здоров’я та органів, що перебувають у його підпорядкуванні. Своєю чергою, дані про стан здоров’я мають чутливий характер і потребують посиленого захисту. І тут слід зазначити, що законодавець подбав про питання законності обробки даних про стан здоров’я, включивши у статтю 7 Закону України «Про захист персональних даних» положення, яке дозволяє обробляти такі відомості в цілях забезпечення ведення військового обліку.
Таким чином, з одного боку, можна дійти висновку, що правових колізій в питанні обробки медичних даних не виникає. Водночас слід звернутися до GDPR, який хоч і не є наразі обов’язковим документом для України, проте точно є актом, на який необхідно рівнятися та оглядатися. Так, GDPR допускає обробку чутливих даних для цілей превентивної медицини чи гігієни праці, для оцінювання працездатності працівника. Так виглядає, що мета обробки «для військового обліку» випливає саме із цього винятку GDPR.
Проте «не все так однозначно», адже для забезпечення правомірності обробки чутливих даних мало передбачити законодавчу підставу, потрібно ще й забезпечити належний рівень захисту із відповідними спеціальними заходами. Аналізуючи профільний закон, Закон «Про захист персональних даних» та Порядок ведення Реєстру, слід констатувати, що законодавець поки не передбачив спеціальних механізмів щодо збирання, обміну та обробки даних про стан здоров’я, які б захистили від неправомірного та свавільного втручання. Є надії, що з ухваленням змін до профільного закону, Міноборони все ж доопрацює Порядок ведення Реєстру та перетворить його на комплексний документ із усіма необхідними правовими механізмами.
Окрім чутливих даних, надзвичайно цікавим питанням є збирання та обробка даних про місцезнаходження призовника, військовозобов’язаного чи резервіста. Так, профільний закон нічого не говорить, що такі дані можуть чи будуть збиратися та оброблятися. Водночас з огляду на те, що поки незрозуміло, як буде виглядати Електронний кабінет, незрозуміло є і те, чи технічно можна буде витягувати приблизне місцезнаходження власника кабінету. Наприклад, Дія декларує, що вона не збирає дані про геолокацію, проте можна припустити, що вона може встановити приблизне місцезнаходження юзера через ІР-адресу, через яку відбувався вхід. Так само, якщо Електронний кабінет буде інтегрований із сайтом Міноборони, то аналіз цього сайту показує, що теоретично адміністратор, якщо захоче, то дані по ІР-адресах витягнути зможе.
Водночас слід наголосити, що будь-яке цілеспрямоване збирання та обробка даних про місцезнаходження призовників, військовозобов’язаних чи резервістів буде незаконним. Але використання VPN, як додатковий спосіб захисту персональних даних, зайвим не буде.
Кроткі висновки
Отже, не такий страшний вовк, як його малюють. Цифрові зміни у сфері військового обліку радше спрямовані на спрощення бюрократичних процесів та зниження корупційних ризиків, ніж на та щоб «мобілізувати всіх». Водночас будь-яка цифровізація потенційно може тягнути за собою порушення у сфері персональних даних, тому слід уважно стежити як за технічною, так і за юридичною стороною таких нововведень.