На тендерных площадках открыто хранятся паспорта, ИНН и другие документы ФОПов. Чем это опасно

Персональные данные предпринимателей, в том числе копии паспортов, ИНН, выписок из реестра, банковские реквизиты и другие уязвимые данные, хранятся в открытом доступе на украинских тендерных площадках. На это обратил внимание Engagement Manager/Business Analyst в Infopulse Антон Витязь.

«Далее стало ясно что имеем национальную масштабную дыру в безопасности наших личных данных — все поданные документы ФОПов по всем закупками доступным в интернете — самый большой и полный каталог личных данных. С точки зрения мошенников у них есть все — пример печати, пример подписи, наличие качественно отсканированных документов, реквизиты счетов», — отмечает Антон.

Чем это опасно для предпринимателей

Такие данные злоумышленники могут использовать для огромного количества мошеннических схем — от воровства денег со счетов в банках, до оформления кредитов.

Ранее мы писали об одном из таких кейсов: на СЕО Drone.ua Валерия Яковенко оформили мошеннический кредит на 9500 грн. Договор был составлен по документам, размещенным на сайте Prozorro. Поскольку предприниматель долгое время ничего об этом не знал, его «долг» по кредиту вырос до 12 000 грн.

Зачем заказчику паспорт ФОПа?

Закон Украины «О публичных закупках» не регулирует вопросы сбора, обработки и хранения персональных данных. Заказчики по своему усмотрению определяют, какие именно документы бизнес должен предоставить в составе тендерного предложения. Поставщик должен понимать, что все, что он загружает в систему ProZorro, становится публичной информацией — по закону.

Для участия в тендере поставщику не нужно подавать копию паспорта или ИНН. Но такие требования может выставить заказчик, которого площадка ограничить не может.

«Это архаизм, сохранившийся с эпохи бумажных тендеров. Но если участник не выполнит требования заказчика — его дисквалифицируют, — комментирует юрист торговой площадки Zakupki.Prom.ua Леся Михаленко.

— Поэтому мы постоянно общаемся с заказчиками и говорим им о том, чтобы они не выдвигали подобных требований. Есть также рекомендации от Министерства развития экономики, торговли и сельского хозяйства, в которых заказчикам рекомендуется избегать подобных требований».

Почему документы — в открытом доступе

«Система электронных публичных закупок ProZorro исповедует принцип „все видят все“. Иными словами, все, у кого есть доступ к интернету, могут мониторить и анализировать на портале prozorro.gov.ua, как государство тратит наши с вами деньги», — комментирует СЕО ProZorro Василий Задворный.

Согласно Закону Украины «О защите персональных данных», в сфере электронной коммерции обязательным является согласие на обработку персональных данных. Предприниматели, которые планируют участвовать в публичных закупках, должны подтвердить разрешение на обработку таких данных при регистрации на электронной площадке.

«Если поставщик принимает участие в закупке, в которой заказчик требует сканы его паспорта/идентификационного кода и т.д., значит, он добровольно соглашается на размещение своих персональных данных в открытом доступе системы», — акцентирует Задворный.

Все документы, которые участник подает в своем тендерном предложении — хранятся в центральной базе данных (ЦБД). На этапе открытия предложений — данные становятся публичными, если поставщик не указал, что они конфиденциальные.

«Но такая возможность есть не всегда. Например, в допороговых закупках (менее 200 000 грн для товаров и услуг и меньше 1,5 млн для работ) опция скрыть данные как конфиденциальные технически не реализована», — поясняет Леся Михаленко.

Площадка обязана отображать все данные, которые находятся в публичном доступе в ЦБД ProZorro. Причем неважно, с какой площадки участники и заказчики их загружали. Удалить данные из публичного доступа (если они там оказались) — нет возможности.

Что делать участникам тендера

По словам Задворного, у поставщика есть право обжаловать излишние требования заказчика или обратиться к нему с предложением исключить их из соответствующего перечня обязательных документов.

«ProZorro рекомендует бизнесам отстаивать право на обоснованный запрос персональных данных, а именно:

— внимательно изучать, какие именно документы спрашивает заказчик;

— в случае, если заказчик спрашивает ваши личные данные, обратиться к заказчику за разъяснениями через электронную систему. Часто такие требования могут быть исключены из тендерной документации заказчиком;

— обжаловать условия тендерной документации, если заказчик не предоставляет обоснованного запроса на документы, содержащие персональные данные;

— «Если ваши данные были неправомерно использованы — немедленно обращайтесь в полицию», — прокомментировал Задворный.

Еще один вариант, но уже для сверхпороговых закупок (от 200 000 для товаров и услуг и от 1,5 млн для работ) — подать жалобу в Антимонопольный комитет Украины (АМКУ).

«Есть немало прецедентов, когда АМКУ принимали решение в пользу поставщика и заказчик убирал требование о предоставлении скана паспорта и ИНН из документации. Если же участник не готов оспаривать требование заказчика, то мы рекомендуем сделать на сканированных копиях документов примечание „для участия в тендере UA ....“, чтобы их нельзя было использовать в других целях», — говорит Михаленко.