Сразу несколько положений документа могут навредить национальной безопасности Украины
Во вторник, 16 января, Верховная Рада приняла закон об электронном реестре, призванный усовершенствовать порядок обработки и использования личных данных военнослужащих в госреестрах для военного учета и получения статуса участника боевых действий (УБД). Впрочем, по мнению правоведов и самих военнослужащих, новый закон не только сохраняет бюрократические процедуры для бойцов, но и подвергает их реальной опасности.
"Телеграф" обратился к юристам и правозащитникам, чтобы разобраться в недостатках документа, который в ближайшее время может быть введен в действие подписью президента Украины.
Что изменится?
Напомним, что закон о создании Единого государственного реестра военнообязанных "Оберіг" был принят еще весной 2017 года, а сам реестр формально запустили в работу в марте 2022-го. Он содержит данные обо всех призывниках, военнообязанных и резервистах в возрасте от 18 до 60 лет. Информация поступает в эту базу из разных государственных реестров, в том числе ТЦК и СП.
Благодаря автоматической передаче данных из других электронных реестров в "Оберіг" попадает следующая информация:
- фамилия имя отчество;
- дата и место рождения;
- паспортные данные, РНОКПП;
- сведения об образовании, состоянии здоровья (в объеме, необходимом для определения пригодности к военной службе и/или для реализации трудовых отношений), о семейном положении, фактическом месте жительства;
- номера телефонов;
- сведения, подтверждающие право на льготы и компенсации;
- фото- и видеоизображение;
- сведения о прохождении военной (государственной) службы, содержащиеся в личном деле;
- сведения о военном учете, содержащиеся в личных делах призывников или в учетных карточках военнообязанных резервистов;
- сведения о трудовой деятельности, содержащиеся в трудовой книжке, а также другие персональные данные, позволяющие идентифицировать личность и необходимость обработки которых определена действующим законодательством.
Новый закон №10062 предусматривает расширение персональных данных граждан в возрасте 18-60 лет, которые будут вноситься в уже действующий "Оберіг".
В частности, в Реестр будут вносить следующие сведения:
- персональные и служебные данные призывников, военнообязанных и резервистов;
- данные о необходимости в комплектовании личным составом ВСУ и других военных формирований, кроме информации, составляющей государственную тайну.
К служебным данным относятся сведения о:
- выполнении воинского долга и прохождение воинской службы;
- военно-учетные признаки;
- заключение (решения) о прохождении медицинского осмотра (военно-лекарственной экспертизы);
- прохождение гражданином Украины альтернативной (невоенной) службы;
- сведения об участии в боевых действиях
Кроме уже внесенных в "Оберег" личных данных, теперь будут собирать сведения о:
- родителях (усыновителях), опекунах, попечителях и других представителях, а также детях и других членах семьи;
- оформлении документов для выезда за границу;
- месте работы, должности, стаже;
- перемещении человека на временно оккупированную территорию Украины (дата и направление);
- привлечении к уголовной и административной ответственности;
- оцифрованный образ лица.
Таким образом, теперь в "Оберіг" будут вносить более расширенные персональные данные, причем без получения на это согласия от самого человека.
"Вишенка на торте" — норма о возможности использования облачных технологий стран НАТО для хранения и обработки данных из реестров Минобороны Украины. То есть персональные данные украинских военнослужащих будут размещены на зарубежных серверах.
По словам члена комитета Верховной Рады по вопросам правоохранительной деятельности Александры Устиновой от "Голоса", иностранные партнеры готовы выделить 100 млн долларов на реализацию этого проекта, который покроет расходы на хранение информации на длительный период, пишет "Судебно-юридическая газета". По замыслу это должно обеспечить защиту от возможных потерь данных вследствие ракетных атак или природных катастроф.
Пока в Украине принимаются подобные решения, сами европейцы признают незащищенность собственных данных. Так, 16 января министр обороны Великобритании Грант Шаппс рассказал о последствиях атак хакеров на государственные учреждения страны.
"Кибервойну ведут через вторжение в наши сети, и этого достаточно, чтобы создать экономический хаос. И мы это уже видим: в прошлом году почти треть британских предприятий подверглись кибератакам или взломам, что нанесло миллиардный ущерб экономике Британии. Мы знаем, что значительное количество этих атак осуществили из России и Китая", — заявил чиновник.
При этом одно из самых ожидаемых для военных изменений — упрощение процедуры присвоения статуса участника боевых действий — нардепы так и не довели до ума.
В частности, идея ввести автоматическое (через мобильное приложение) присвоение статуса УБД прибывающему в боевое распоряжение военнослужащему не была реализована. В то же время нардепы оставили в силе процедуру с подачей заявления о присвоении статуса УБД, добавлением к нему справки, свидетельствующей о непосредственном участии лица в боевых действиях, и рассмотрением этих документов специальной комиссией, которая решит, действительно ли боец имеет право получить данный статус.
Почему это небезопасно?
По словам исполнительного директора Украинского Хельсинкского союза по правам человека (УХСПЧ) Александра Павличенко, данный закон грозит не только личной безопасности военнослужащих и ставит под угрозу национальную безопасность, но и вступает в конфликт с положениями Конституции.
В действующем Законе о защите персональных данных четко прописан запрет на трансграничную передачу персональных данных, объясняет правозащитник. Каждый человек должен четко знать, где хранятся его данные, как они защищены, как их обрабатывают, кто имеет к ним доступ и как долго это продлится. Таким образом, нормы нового закона прямое нарушение национального законодательства.
Кроме того, они противоречат Общему регламенту о защите данных (GDPR-политике), который является основополагающим стандартом в европейском законодательстве.
"В Украине действует комплексная система защиты подобной информации (КСЗИ) трех уровней. Ее деятельность обеспечивает СБУ и внутренние реестры находятся под надежной защитой. Новый закон предусматривает хранение данных на зарубежных серверах, где наша система КСЗИ не работает, поэтому мы не можем быть уверены в защите этих данных.
Все осложняется тем, что речь идет о военных, а значит, об особо чувствительной информации, которая должна защищаться на самом высоком уровне. В случае ее утечки может быть причинен вред обороноспособности государства. На основе данных из этого Реестра можно будет определить количество украинских военнопленных и погибших, что является секретной информацией", — объясняет эксперт в комментарии "Телеграфу".
По словам Александра Павличенко, в УХСПЧ работают над этой темой с 2011 года, пытаясь предостеречь украинские власти от создания крупных баз персональных данных, которые могут быть использованы против граждан.
"Самым невинным" примером таких утечек является приобретение личных данных коммерческими организациями для расширения клиентских баз или аналитическими центрами, сотрудничающими с политтехнологами для формирования успешных политических кампаний.
Более серьезной проблема становится, когда такие реестры подвергаются хакерским атакам, как это недавно произошло с оператором мобильной связи "Киевстар". Никто не знает, куда именно и в каких объемах попадет чувствительная информация (например, о составе семьи военнослужащего и месте ее жительства, или же состоянии его здоровья, болезнях и зависимостях).
Как этого избежать?
Одним из многочисленных нарушений действующего законодательства в документе №10062 является сбор и внесение в Реестр личных данных человека без получения его согласия. Впрочем, по словам Александра Павличенко, с государственными учреждениями (и тем более армией) спорить относительно этой нормы крайне сложно.
"Представьте себе ситуацию: вы хотите получать пенсию. Приходите в учреждение для оформления необходимых документов, но предоставлять личные данные отказываетесь. Это же невозможно. Никто не будет выдавать деньги инкогнито.
То же и с военными. Не может мобилизованный контрактник сказать в ТЦК: я пойду служить, но записывать кто я вам не позволю. То есть, даже если бы это согласие было нужно по закону, фактически отказаться от сбора персональных данных в госучреждениях мы не можем. Конечно, если хотим получать от них услуги и участвовать в жизни страны", – говорит юрист.
Несмотря на то, что крайне сомнительный закон уже проголосован Верховной Радой, он вступит в силу только после подписания президентом. Есть надежда, что реакция общества (в том числе самих военных) заставит политическое руководство страны пересмотреть положения документа.
Если этого не произойдет, закон может быть пересмотрен постфактум на предмет его конституционности, говорит Александр Павличенко. В частности, положения, нарушающие основополагающее право на личную и частную жизнь. Также причиной для обжалования может стать нарушение директивы GDPR, что противоречит европейскому подходу к законотворчеству и курсу евроинтеграции Украины в целом.
Впрочем, несовершенство нового закона признают и в самом парламенте. По словам адвоката Gracers Law Firm Сергея Савинского, в результате анализа документа главным юридическим управлением аппарата ВРУ было определено, что некоторые его положения не согласуются с действующими нормами Конституции.
Так, для защиты права призывников, военнообязанных и резервистов, Порядок обработки и защиты персональных данных в Министерстве обороны должен содержать следующие требования:
- Каждый военнослужащий (субъект персональных данных) должен письменно сообщить о его правах, цели сбора данных и о третьих лицах, которым передают его персональные данные. В зависимости от того, кто будет совершать с персональными данными определенные действия, это обязанность владельца (Министерство обороны Украины) или распорядителя (воинские части по месту несения службы) данных.
- Сообщение должно содержать исчерпывающий перечень обрабатываемых персональных данных, описание конкретных действий с ними и уточнение, будут ли данные передавать третьим лицам, с какой целью.
- Доступ к персональным данным имеют только служащие, определенные в приказах командиров (начальников) воинских частей, и/или служащие, доступ к которым разрешен их должностными обязанностями.
- Персональные данные могут использовать служащие, которым по содержанию обязанностей предоставлено право их обрабатывать исключительно в необходимом объеме для проведения их обработки.
- Служащие, имеющие доступ к персональным данным, подписывают специальное обязательство об их неразглашении. Все обязательства регистрируются в отдельном журнале.
Исходя из комментариев правозащитников можно резюмировать, что закон №10062 может быть введен в действие исключительно после существенной доработки. В противном случае, высшему политическому руководству страны придется объяснять обществу и европейским партнерам, с какой целью и на каких основаниях они нарушают главный Закон Украины, подвергая опасности тех, кто ее защищает.