Персональні дані уповноваженої особи: надавати чи ні на вимогу ДАСУ
Кожного замовника (його посадових / службових осіб) хвилює питання відповідальності. Для того, щоб залишатися спокійним у будь-якій ситуації, необхідно знати механізм притягнення до адміністративної відповідальності. Оскільки, Державна аудиторська служба України (далі – ДАСУ, Держаудитслужба) здійснює моніторинг закупівель без виходу на об’єкт контролю, через автоматизоване робоче місце, яким є електронний сервіс в електронній системі закупівель, то у разі виявлення адміністративного правопорушення, для складення протоколу ДАСУ звернеться до замовника / його посадових / службових осіб, з вимогою (проханням) надати копію паспорту, реєстраційного номеру облікової картки платника податків, наказу про призначення та / або положення про уповноважену особу, також у разі необхідності ДАСУ може запросити у свій відповідний офіс уповноважену особу для складення протоколу. Що в такому випадку робити та чи надавати персональні дані щодо уповноваженої особи, а також переваги та ризики таких рішень, розкриє нижченаведена стаття.
Що таке персональні дані?
Персональні дані - відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована (стаття 2 Закону України «Про захист персональних даних» від 01.06.2010 № 2297 (далі – Закон № 2297).
Інформація про фізичну особу (персональні дані) - відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована (стаття 11 Закону України «Про інформацію» від 01.10.1992 № 2657).
Відповідно пункту 2 частини 1 статті 11 Закону № 2297, персональні дані обробляються на підставі закону — зокрема, Кодексу законів про працю України. Тому, якщо перед обробкою персональних даних працівників роботодавець отримав їх згоду, працівники не мають право її відкликати.
Аргументи проти надання персональних даних
1. Замовник як розпорядник інформації, не має права надавати конференційну інформацію без наявності встановлених законом підстав.
Інформація про фізичну особу та членів її сім’ї є конфіденційною і може бути поширена тільки за їх згодою, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини (Рішення Конституційного Суду України № 2-рп/2012 від 20.01.2012).
Частина 2 статті 14 Закону № 2297, визначає, що поширення персональних даних без згоди суб’єкта персональних даних або уповноваженої ним особи дозволяється у випадках, визначених законом, і лише (якщо це необхідно) в інтересах національної безпеки, економічного добробуту, прав людини та для проведення Всеукраїнського перепису населення.
Відповідно до статті 16 Закону № 2297, встановлений порядок доступу до персональних даних третіх осіб, який передбачає наявність запиту, щодо доступу до персональних даних до володільця персональних даних, та згоду суб’єкта персональних даних на обробку цих даних, наданої володільцю персональних даних відповідно до вимог закону.
Отже, замовник повинен для надання конфіденційної інформації, в тому числі персональних даних уповноваженої особи, третій особі повинен отримати:
- згоду суб’єкта персональних даних або уповноваженої ним особи на передання інформації третій особі,
або
- отримати запит, який оформлений відповідно до вимог статті 16 Закону № 2297, та згоду суб’єкта персональних даних на обробку цих даних.
Згода суб’єкта персональних даних – добровільне волевиявлення фізичної особи (за умови її проінформованості) щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки, висловлене у письмовій формі або у формі, що дає змогу зробити висновок про надання згоди (стаття 2 Закону № 2297).
2. Ненадання персональних даних Держаудитслужбі допомагає уникнути притягнення відповідної уповноваженої особи до адміністративної відповідальності.
Посадові особи Держаудитслужби складають протокол за встановленою формою, яка наведена у додатку 1 до Порядку № 168. Затверджена форма передбачає, що ревізори мають внести до протоколу відомості про особу, на яку склали протокол (фактично персональні дані), а саме:
- прізвище, ім’я, по-батькові;
- дату і місце народження, місце проживання;
- посаду,
- місце роботи;
- реєстраційний номер облікової картки платника податків або серію та номер паспорта.
Таким чином, якщо Держаудитслужба не отримує даних, які необхідні для складання протоколу, притягнення осіб до відповідальності не можливе, а натомість строк притягнення до адміністративної відповідальності, передбачений статтею 38 КУпАП, продовжує спливати.
3. Якщозамовник, як розпорядник інформації, або сама уповноважена особа не надає Держаудитслужбі відповідні персональні дані на їх звернення або запит, як показує практика,Держаудитслужба не використовує механізм передбачений статтею 18 Закону № 2297, а саме не звертається до Уповноваженого Верховної Ради України з прав людини або суду з відповідними скаргами.
Відповідно, замовник як розпорядник інформації, або сама уповноважена особа фактично не притягуються до адміністративної відповідальності за ненадання персональної інформації Держаудитслужбі.
Аргументи за надання персональних даних
1. Держаудитслужба потребує персональних даних уповноваженої особидля здійснення своєї законної діяльності.
Відповідно до статті 255 Кодексу України про адміністративні правопорушення (далі – КУпАП), уповноважені на те посадові особи органів державного фінансового контролю мають право складати протоколи про адміністративні правопорушення, визначені статтями статті 163-12, 164-12, 164-14 цього Кодексу.
Відповідно до Порядку оформлення Держаудитслужбою та її міжрегіональними територіальними органами матеріалів про адміністративні правопорушення, затвердженого наказом ДАСУ від 01.12.2016 № 168 (далі - Порядок № 168) протоколи від імені органів державного фінансового контролю відповідно до статті 255 КУпАП за встановленою формою мають право складати уповноважені на те посадові особи органів державного фінансового контролю.
Виявляти факти порушення законодавства Держаудитслужба уповноважена в ході державного фінансового контролю, який забезпечується через проведення державного фінансового аудиту, перевірки державних закупівель та інспектування.
Оскільки моніторинг процедури закупівлі здійснюється за місцезнаходженням органу державного фінансового контролю, тобто без виходу на об’єкт контролю, через автоматизоване робоче місце органів державного фінансового контролю, яким є електронний сервіс в електронній системі закупівель, доступ до якого здійснюється за допомогою мережі інтернет, протокол про адміністративні правопорушення складається у відповідному офісі Держаудитслужби.
Посадові особи Держаудитслужби складають протокол за встановленою формою, яка наведена у додатку 1 до Порядку № 168. Затверджена форма передбачає, що ревізори мають внести до протоколу відомості про особу, на яку склали протокол (фактично персональні дані), а саме:
- прізвище, ім’я, по-батькові;
- дату і місце народження, місце проживання;
- посаду,
- місце роботи;
- реєстраційний номер облікової картки платника податків або серію та номер паспорта.
Ненадання Держаудитслужбі інформації про особу, яка притягується до адміністративної відповідальності, фактично є перешкоджанням їх законній діяльності, що за статтею 164-2 КУпАП тягне за собою накладення штрафу від восьми до п'ятнадцяти неоподатковуваних мінімумів доходів громадян (136 грн – 255 грн).
2. У рішенні Конституційного Суду України у справі № 2-рп/2012 від 20.01.2012 року, здійснено наступне офіційне тлумачення норм законодавства, в аспекті конституційного подання положення частин 1, 2 статті 32, частин 2,3 статті 34 Конституції України:
– інформацією про особисте та сімейне життя особи є будь-які відомості та / або дані про відносини немайнового та майнового характеру, обставини, події, стосунки тощо, пов’язані з особою та членами її сім’ї, за винятком передбаченої законами інформації, що стосується здійснення особою, яка займає посаду, пов’язану з виконанням функцій держави або органів місцевого самоврядування, посадових або службових повноважень.
Отже, за наявності оформленого належним чином запиту про надання персональних даних, який оформлений відповідно до вимог статті 16 Закону № 2297, у розпорядника інформації виникає обов’язок надати запитувану інформацію.
3. Замовникам слід розуміти, що ненадання персональних даних уповноваженої особи на запит Держаудитслужби, може стати «подразнюючим» фактором для органів фінансового контролю.
Згідно пункту 4 Порядку проведення перевірок закупівель Державною аудиторською службою, її міжрегіональними територіальними органами, затвердженого постановою Кабінету Міністрів України від 01.08.2013 № 631, встановлено, що перевірки закупівель проводяться за письмовим рішенням керівника органу державного фінансового контролю або його заступника, зокрема у випадку виникнення потреби у документальній та фактичній перевірці питань, які не можуть бути перевірені під час моніторингу процедури закупівлі, а саме: стану виконання умов договору, внесення змін до нього, в тому числі вимог щодо якості, кількості (обсягів) предмета закупівлі, ціни договору.
Отже,Держаудитслужба може провести перевірку фактично будь-якого замовника, якщо договір про закупівлю продовжує виконуватись.
Також, Держаудитслужба може більш уважно відшукувати підстави для проведення позапланової виїзної ревізії згідно закону «Про основні засади здійснення державного фінансового контролю в Україні» № 2939-XII від 26.01.1993
Підсумки
Якщо у замовника (його посадових / службових осіб), ДАСУ після оприлюднення висновку моніторингу запитує персональні дані для складення протоколу, необхідно, з’ясувати, за порушення якої частини статті 164-14 КУпАП уповноважену особу притягають до відповідальності. Якщо це частина 1 статті 164 КУпАП, то ризики ненадання інформації вищі, ніж ризики надання такої інформації. Оскільки строк притягнення до відповідальності – 2 місяці з моменту виявлення порушення (оприлюднення в електронній системі висновку моніторингу), а процес відповіді на запит щодо надання персональних даних (у разі направлення такої інформації рекомендованим листом з повідомленням), складення протоколу, постанови також займає певний час, що може стати підставою для закриття провадження, у зв’язку з закінченням строків притягнення до адміністративної відповідальності.
Однак, якщо уповноважену особу замовника притягають до відповідальності, за частиною 3 статті 164-14 КУпАП, то ризики ненадання інформації гіпотетично однакові з ризиками надання такої інформації. Так, мінімальна санкція за цією частиною статті, 25 500 грн (штраф накладається на уповноважену особу), а ризики перевірки замовника, хоча й існують, однак, не зі 100 % вірогідністю.
Поради замовнику, якщо надійшов запит від ДАСУ щодо надання персональних даних уповноваженої особи:
- проаналізуйте кому цей запит адресовано: до уповноваженої особи особисто чи до замовника (юридичної особи);
- строк вивчення запиту не може перевищувати десяти робочих днів з дня його надходження;
- замовник / уповноважена особа може вступити в переписку з ДАСУ, оскільки строк притягнення до адміністративної відповідальності за частиною 3 статті 164-14 КУпАП – протягом 6 місяців з дня його виявлення (складення висновку ДАСУ), але не пізніше двох років з дня його вчинення. У відповіді на запит (якщо запит адресовано до замовника) зазначивши, що доступ до персональних даних третій особі не надається, якщо зазначена особа відмовляється взяти на себе зобов’язання щодо забезпечення виконання вимог Закону № 2297 або неспроможна їх забезпечити. Однак, у такому випадку будьте готові до можливої перевірки.
пов'язані статті
05 верес.
Нікчемність договору про закупівлю у зв’язку з тим, що назва предмета закупівлі із зазначенням коду за Єдиним закупівельним словником не відповідає товарам, роботам чи послугам, що фактично закуплені замовником: позиція ВСУ28 серп.
Практика ДАСУ та АМКУ щодо формування та оприлюднення ТД з урахуванням останніх змін22 серп.
Чи можна під час проведення моніторингу закупівлі органами ДАСУ звітувати про виконання договору про закупівлю?21 серп.
Контролюючі органи та суди щодо правомірності здійснення закупівель як «додаткова потреба»16 серп.
Чи може УО використовувати приватний КЕП фізичної особи та де отримати КЕП?