Як Мінфін ігнорує Конституцію, або Чи вдасться КСУ вдруге захистити персональні дані громадян

Минулого року, а саме 11 жовтня, Конституційний Суд України визнав неконституційними окремі положення Бюджетного кодексу України, які надавали Міністерству фінансів право отримувати та обробляти інформацію з персональними даними громадян без їхньої на те згоди.

Зокрема, положення абзацу першого пункту 40 розділу VI “Прикінцеві та перехідні положення” кодексу передбачало, що під час здійснення повноважень з контролю за дотриманням бюджетного законодавства в частині моніторингу пенсій, допомог, пільг, субсидій, інших соціальних виплат Міністерство фінансів України має право на безоплатне отримання інформації, що містить банківську таємницю, персональні дані, та на доступ до автоматизованих інформаційних і довідкових систем, реєстрів та банків даних, держателем (адміністратором) яких є державні органи або органи місцевого самоврядування. Окремо передбачалось, що збір і обробка персональних даних такої інформації здійснюється без згоди суб’єкта персональних даних.

На думку КСУ, міністерство може бути наділене повноваженнями щодо отримання та обробки персональних даних лише для досягнення легітимної мети. Проте через відсутність будь-яких встановлених законом меж повноважень на подальші дії із зібраними персональними даними стає неможливим навіть мінімальний захист суб’єкта персональних даних, не забезпечується передбачуваність застосування норми.

Іншими словами, міністерство могло збирати будь-які дані, зберігати їх протягом будь-якого періоду, не повідомляти особу про те, що дані зібрані, про те, яким чином вони обробляються тощо. Це й називається необмеженими повноваженнями (дискрецією) державного органу, надання яких забороняється міжнародними стандартами у сфері прав людини, зокрема Конвенцією з прав людини. Утім, рідна Конституція України також забороняє надання таких безмежних повноважень.  

КСУ зазначив, що оспорюваними положеннями Кодексу не передбачено критеріїв визначення:

• змісту та обсягу інформації, що містить персональні дані;
• категорій осіб як суб’єктів персональних даних;
• проміжків часу, яких мають стосуватися персональні дані;
• строків, порядку та умов їх зберігання.

Відсутність усього цього в Бюджетному кодексі й призвела до визнання КСУ положення неконституційним.

Ура, прогресивне рішення!

І як ви думаєте, відреагував державний орган? Наступного дня у своєму офіційному повідомленні Мінфін вказав, що моніторинг проводиться на благо суспільству і під час його здійснення міністерство в жодному разі не збирає персональних даних! Перша реакція “в штангу”…

Ніхто ж не вказав, що моніторинг неможливий як такий, ніхто й не оскаржував його необхідність. Просто ретельніше треба старатися під час написання законодавства у сфері прав людини. Це ж не заповіт, де людина пише все, що хоче, щоб було після неї. У сфері прав людини правові конструкції мають виглядати трохи складніше… гарантії там всякі прописуються.

Але водночас, щоб там не думав Мінфін про персональні дані, норма була визнана неконституційною і інформацію міністерству на підставі неї не мали надавати.

І Мінфін це, очевидно, зрозумів, оскільки дуже скоро після рішення КСУ Верховна Рада внесла до Бюджетного кодексу зміни.

Так, 22 листопада 2018 року парламент, проголосувавши законопроект “Про внесення змін до Бюджетного кодексу України”, повернув Мінфіну “забраковані” повноваження в тому самому обсязі, але вже із двома застереженнями. А саме, вказується, що під час здійснення відповідних повноважень “обробка та захист персональних даних здійснюються з додержанням законодавства про захист персональних даних та в порядку, визначеному Кабінетом Міністрів України”.

Ні, Мінфін іспит зі спецкурсу щодо гарантій захисту персональних даних не склав!

Повертаємось до матчастини. КСУ чітко зазначив, що має бути в законі для того, щоб збір персональних даних Мінфіном не порушував вимог Конституції. Всього чотири пункти, щоб їх прочитати, навіть можна не вміти рахувати до п’яти.

У законі має бути вказано: зміст інформації, категорії суб’єктів персональних даних, строки й умови обробки, період, за який збираються персональні дані. Яке “законодавство про захист персональних даних” містить вищевказане в контексті діяльності Мінфіну? Ніяке.

Спроба прикритися порядком, визначеним КМУ, також не витримує критики, оскільки права і свободи людини і громадянина, гарантії цих прав і свобод, основні обов’язки громадянина визначаються виключно законами (п.1 ч. 1 статті 92 Конституції). До того ж будь-яке втручання, наприклад збереження персональних даних, має відбуватися згідно із законом. І де той закон, який визначає, приміром, строк збереження Мінфіном персональних даних, зібраних під час моніторингу? Я вже не кажу про дивність практики передбачення повноважень центральних органів виконавчої влади у Перехідних положеннях. Норми, включені в цей розділ закону, є тимчасовими – тому й розділ називається перехідним.

Найсмішніше те, що моніторинг Мінфіну дійсно потрібен і має робитись, але для того, щоб ця діяльність не порушувала права, необхідно якісно прописати норми закону. Будівництво, зокрема й демократії, має свої правила. Якщо технологи їх дотримуються, у них усе працює, а якщо фундамент на шмарклях будувати… то й виходить, що нічого не виходить. 

Дуже сподіваюсь, що ініціатива ГО “Український інститут з прав людини”, Асоціації УМДПЛ та ГО “Правозахисна Ініціатива” щодо зібрання підписів народних депутатів під новим поданням до Конституційного Суду для оскарження внесених змін буде успішною і ми все ж таки навчимося створювати якісні закони з урахуванням стандартів цивілізованого суспільства.