адвокат, координатор з моніторингу медичних закупівель Transparency International Ukraine, Київ
За законодавством ніхто не має права обробляти персональні дані особи без отримання відповідної згоди на це. Однак, що таке згода на обробку персональних даних в закупівлях? Коли доцільно включають до тендерної документації вимогу надати дозвіл на обробку персональних даних? Озбройтеся роз’ясненням експерта та прикладами з судової практики
Збирати, зберігати, використовувати і поширювати інформацію про особисте життя фізичної особи без її згоди закон забороняє. Виняток можливий у випадках, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини (ст. 32 Конституції України).
В умовах воєнного або надзвичайного стану окремі права і свободи можуть обмежувати. У такому випадку стаття 64 Конституції України вимагає лише зазначити строк дії встановлених обмежень.
Воєнний стан в Україні був введений 24 лютого 2022-го — Указом Президента України від 24.02.2022 № 64/2022 (далі — Указ № 64/2022). На період дії правового режиму воєнного стану держава може обмежувати конституційні права і свободи людини і громадянина, передбачені, зокрема, статтею 32 Конституції України (п. 3 Указу № 64/2022).
Отже, Закон № 2297 регулює правові відносини щодо обробки персональних даних. Як застосовувати його норми під час закупівель та ще й з огляду на воєнний стан, розберемо докладно.
Визначення такого поняття, як «персональні дані» надає Закон № 2297. Відповідно до цього закону, персональні дані — це відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована. Фізична особа, персональні дані якої обробляються є суб’єктом персональних даних.
Що таке згода на обробку персональних даних? Обробка персональних даних — це будь-які дії з персональними даними фізичної особи: збирання, реєстрація, зберігання, використання, передача та видалення.
Закон № 2297 регулює правові відносини, пов’язані із захистом і обробкою персональних даних, і спрямований на захист основоположних прав і свобод людини і громадянина, зокрема права на невтручання в особисте життя, у зв’язку з обробкою персональних даних.
Передусім обробка персональних даних має бути сформульована в законах, інших нормативно-правових актах, положеннях, установчих чи інших документах, які регулюють діяльність володільця персональних даних, та відповідати законодавству про захист персональних даних.
Крім того, цей закон передбачає, що обробка персональних даних в закупівлях здійснюється для конкретних і законних цілей, визначених за згодою суб'єкта персональних даних, або у випадках, передбачених законами України, у порядку, встановленому законодавством.
Не допускається обробка персональних даних фізичних осіб, які є конфіденційною інформацією, без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.
Надання згоди на обробку персональних даних учасниками публічних закупівель є практично неминучим. Що ж саме говориться про це в Законі України «Про публічні закупівлі» від 25.12.2015 № 922-VIII (далі — Закон № 922).
Частина 2 статті 11 Закону передбачає, що під час користування електронною системою закупівель уповноважена особа вносить до електронної системи закупівель персональні дані, надає згоду на їх обробку та оновлює такі дані у разі їх зміни. Але персональні дані, внесені уповноваженою особою до електронної системи закупівель, не оприлюднюються.
Тут усе зрозуміло. А от з учасниками не все так просто.
У тендерній документації замовник може вимагати від учасника документи, що містять персональні дані. І це не тільки копія паспорту, яку для чогось традиційно вимагають більшість замовників. Так, на підтвердження наявності працівників відповідної кваліфікації, які мають необхідні знання та досвід, замовник може вимагати надати копії трудових книжок працівників, документів про освіту, свідоцтв/посвідчень про проходження певного навчання, підвищення кваліфікації тощо.
Крім того, якщо документи тендерної пропозиції підписує не керівник підприємства-учасника, а інша уповноважена особа, до тендерної пропозиції як правило, надається відповідна довіреність, де обов’язково зазначаються паспортні дані уповноваженої особи.
А виходячи із визначення поняття персональних даних, яке наводилося на початку, такими даними може вважатися навіть інформація про працівників, що надана у відповідній довідці — ПІБ, посада, стаж, освіта — всі ці дані у сукупності є відомостями про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована.
Згода про обробку персональних даних: що встановлює Закон
Законодавство дає можливість потенційному учаснику закупівлі частину інформації своєї пропозиції визначити як конфіденційну і закрити широкому загалу доступ до відомостей, оприлюднення яких учасник вважає небажаним.
Але є пряма заборона визначати інформацію, наприклад, про працівників (якщо замовник встановив відповідний критерій) як конфіденційну — адже це підтвердження відповідності кваліфікаційним критеріям.
Оскільки ніхто не має права обробляти персональні дані особи без отримання згоди від особи, замовники обов’язково включають до тендерної документації вимогу до учасника надати лист згода на обробку персональних даних. Такий лист вимагається надати або ж в довільній формі, або ж згідно з наданою замовником формою.
В останньому випадку скористайтеся зразком згоди на обробку персональних даних.
Звертаємо увагу, що у разі надання згоди про обробку персональних даних в довільній формі учасники інколи припускаються помилки: надають згоду не від імені фізичної особи — суб’єкта персональних даних, а від імені суб’єкта господарювання. Звісно, така пропозиція відхиляється замовником.
Подавати згоду на обробку чиїх саме персональних даних необхідно залежить від того, як саме замовник формулює свою вимогу в тендерній документації. Доводилося бачити різні варіанти:
згода від особи, уповноваженої на підписання тендерної пропозиції;
згода від осіб, чиї персональні дані вказані в документах тендерної пропозиції, підготовлених учасником;
згода від усіх осіб, чиї персональні дані вказані в тендерній пропозиції.
Допоможемо уникнути помилок в оприлюдненні інформації стосовно договорів про закупівлю з прозорого будівництва. Адже неправильне тлумачення вимог, які саме документи і дані публікувати, зокрема щодо ціни на матеріальні ресурси, і в якому форматі, не одного замовника привели аж у суд
В останньому випадку таку згоду треба отримати від осіб, чиї персональні дані оприлюднені у складі тендерної пропозиції, але які не є працівниками учасника. Такими особами можуть бути представник засновника, особа, уповноважена на підписання банківської гарантії (протокол загальних зборів, довіреність від голови правління банку-гаранта обов’язково містять паспортні дані вказаних осіб).
Стало традицією вимагати у складі пропозиції паспорт особи, що підписала тендерну пропозицію. Але ця вимога є зайвою та надлишковою, оскільки паспорт та код фізичної особи навряд чи нададуть замовнику якусь необхідну інформацію. Дані про керівника підприємства можна отримати за безплатним запитом до ЄДР, що стосується фізичних осіб-підприємців, в ЄДР міститься вся необхідна інформація про підприємця — код, адреса тощо.
Але якщо замовник все ж таки бажає отримати копії паспорта (та ідентифікаційного коду) суб’єкта персональних даних, дану інформацію можна позначити як конфіденційну, що відповідатиме нормам Закону. Ці дані не належать до інформації, яка згідно з Законом не може бути визначена як конфіденційна.
Інна Масляна, консультантка з публічних закупівель, Черкаси
Як забезпечена інформаційна безпека в ЕСЗ
До ЕСЗ входять вебпортал уповноваженого органу (центральна база даних; ЦБД) та авторизовані е-майданчики, між якими забезпечено автоматичний обмін інформацією та документами в електронному вигляді. Тож інформація про тендери потрапляє до ЦБД Prozorro й оприлюднюється одночасно на порталі prozorro.gov.ua та всіх акредитованих е-майданчиках.
У розділі «Інформаційна безпека» вебпорталу читаємо:
«Prozorro — відкритий вебпортал у сфері публічних закупівель, що забезпечує захист інформації щодо публічних закупівель та захист конфіденційної інформації від несанкціонованого доступу. Захист забезпечений неможливістю витоку, знищення та блокування інформації, порушення цілісності та режиму доступу до інформації. Prozorro має атестат відповідності комплексної системи захисту інформації (КСЗІ). Електронні майданчики, які підключені до ЕСЗ також повинні мати КСЗІ з підтвердженою відповідністю згідно з Законом України «Про захист інформації в інформаційно-телекомунікаційних системах» від 05.07.1994 № 80/94-ВР».
На прикладі е-майданчика zakupki.prom.ua ознайомимося з політикою конфіденційності. Вона визначає порядок отримання, зберігання, обробки, використання і розкриття персональних даних користувачів.
«Політика конфіденційності передбачає, що персональні дані користувачів, коли вони реєструються, автоматично розміщують, отримують і передають інформацію й документи під час процедур закупівель, аукціонів на е-майданчику отримує ТОВ «ЗАКУПКИ.ПРОМ.УА».
Користувач надає свою однозначну згодуз умовами Політики конфіденційності та надає ТОВ «ЗАКУПКИ.ПРОМ.УА» право на збирання, реєстрацію, накопичення, зберігання, адаптування, зміну, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення персональних даних користувача, у т. ч. з використанням інформаційних (автоматизованих) систем на умовах Політики конфіденційності. Також користувач погоджується з передачею персональних даних та даних авторизації адміністратору ЦБД, з якою співпрацює оператор в межах обраної процедури користувачем. ТОВ «ЗАКУПКИ.ПРОМ.УА» не передає персональні дані користувачів третім особам, окрім випадків:
виключно за згодою користувача;
визначених законом, і лише в інтересах нацбезпеки, економічного добробуту та прав людини, зокрема, але не обмежуючись, — за обґрунтованими запитами державних органів, що мають право подавати заявки та отримувати такі дані».
ДП «Прозорро» контролює функціонування ЕСЗ та одночасно з е-майданчиками є володільцем персональних даних їхніх користувачів
Обробка персональних даних: судова практика
Рішення від 16.03.2021 № 5169-р/пк-пз
Скаржник звернувся до Колегії з приводу встановлення Замовником дискримінаційних вимог в тендерній документації, а саме: учасник повинен надати у складі пропозиції: «Лист-згода на обробку персональних даних складений відповідно до вимог Закону України «Про захист персональних даних» від осіб, персональні дані яких містяться у складі тендерної пропозиції».
Скаржник стверджував, що така вимога є некоректною, оскільки незрозумілим є чи вважає Замовник необхідним надання у складі Пропозиції відповідних листів від працівників банку, які підписують банківську гарантію, нотаріуса, який посвідчував установчі документи учасника, колишніх та теперішніх засновників підприємства-учасника тощо.
В Рішенні Колегії зазначено, що Вказана вимога ставить учасників Процедури закупівлі у залежність від третіх осіб. Замовник не обґрунтував необхідність встановлення у Документації наведеної вище вимоги Документації у вказаній редакції.
Встановлення в тендерній документації вказаних вимог визнано порушенням, замовника зобов’язано усунути наведені невідповідності шляхом внесення відповідних змін до тендерної документації.
Скаржник звернувся до Колегії з приводу встановлення Замовником дискримінаційних вимог в тендерній документації, а саме: учасник повинен надати у складі своєї Пропозиції: посвідчення водія (із відповідними відкритими категоріями) особи, яка буде здійснювати перевезення вугілля та його навантаження…. Крім того, учасник повинен надати чинну медичну довідку щодо придатності до керування транспортним засобом відповідним водієм.
Крім того, Скаржник зазначив, що для поставки вугілля він має укладений договір із надання транспортних послуг, при яких контрагент дані послуги йому надає відповідною технікою із залученням кваліфікованих працівників. Проте, за твердженням Скаржника, він як учасник тендеру, не може підтвердити такі вимоги тендерної документації, оскільки не співпрацює з конкретними водіями і не має в штаті відповідних працівників з вищезазначеними документами, а має договір з фірмою, яка надає послуги.
Крім того, Скаржник підкреслив, що відповідно до статті 6 Закону № 2297 обробка персональних даних здійснюється для конкретних і законних цілей, визначених за згодою суб’єкта персональних даних, або у випадках, передбачених законами України, у порядку, встановленому законодавством.
Оскільки контрагент Скаржника не є учасником торгів, він не зобов’язаний надавати відповідні документи та розкривати персональні дані власних працівників, розпорядником яких (персональних даних) він є.
Для підтвердження неможливості участі в тендері згідно даної вимоги документації, Скаржник надав лист-відмову від контрагента, який здійснює надання транспортних послуг.
На думку Колегії, Скаржник не довів та документально не підтвердив необхідність внесення змін до Документації в цій частині, а також документально не підтвердив неможливість виконання вказаної умови Документації та не довів, яким чином наведена вище умова Документації порушує права та законні інтереси Скаржника пов’язані з участю у Процедурі закупівлі, у зв'язку з чим відсутні підстави для задоволення Скарги в цій частині.
Інна Масляна, консультантка з публічних закупівель, Черкаси
