Радник у сфері публічних закупівель Оскарження сертифікатів ISO: (не)задоволені скарги ➤ Практика оскарження закупівель ➤ РАДНИК

Випадки, коли учасникам / скаржникам не вдалося вилучити вимогу щодо надання сертифіката ISO з тендерної документації шляхом оскарження, ми розглянули на порталі RADNUK.COM.UA у статті «Сертифікація ISO: практика Органу оскарження». Ми сподівалися, що завзятим скаржникам з часом вдасться змінити таку практику Постійно діючої адміністративної колегії Антимонопольного комітету України з розгляду скарг про порушення законодавства у сфері публічних закупівель (далі — Колегії) та учасникам не потрібно буде нести додаткові витрати на оформлення ISO-сертифікатів. Змінилася практика Колегії з цього питання чи ні? Чи можна вважати вимогу замовника щодо ISO-сертифікації дискримінаційною? Чи є сенс учасникам оскаржувати таку вимогу? Читайте далі.

Зупинимось на практиці оскарження вимоги щодо надання учасниками у складі тендерної пропозиції сертифікатів ISO на прикладі сертифіката на систему менеджменту інформаційної безпеки, за яким підтверджувалось би, що система менеджменту інформаційної безпеки відповідає ДСТУ ISO/IEC 27001:2015 «Інформаційні технології. Методи захисту системи управління інформаційної безпеки. Вимоги (ISO/IEC 27001:2013; Cor 1:2014, IDT)».

ДСТУ ISO/IEC 27001:2015 прийнято як національний стандарт України, гармонізований з міжнародними та європейськими нормативними документами, зокрема з ISO/IEC 27001:2013, затвердженим наказом Державного підприємства «Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості» від 18.12.2015 № 193.

Оскарження сертифікатів ISO: незадоволена скарга

Рішення Колегії від 15.07.2021 № 16218-р/пк-пз, оголошення № UA-2021-06-11-004579-b

Обставини розгляду скарги:

Скаржник оскаржує вимогу тендерної документації щодо надання у складі тендерної пропозиції документів, зокрема, сертифіката на систему менеджменту інформаційної безпеки, за яким підтверджувалось би, що система менеджменту інформаційної безпеки відповідає ДСТУ ISO/IEC 27001:2015.

Позиція скаржника:

Скаржник зазначає, що оригінал сертифіката на систему управління інформаційної безпеки ISO 27001:2013 виданий на ім’я учасника для сфери сертифікації: оптова торгівля твердим, рідинним та газоподібним паливом і подібними продуктами.

Скаржник додає, що система сертифікації якості ІSO (ICO) проводиться на відповідність міжнародним стандартам, встановленим Міжнародною організацією по стандартизації (ISO, International Organization for Standardization). Організація ISO не проводить сертифікацію, а тільки розробляє стандарти відповідності. Функція сертифікації переходить на національні акредитовані установи, які займаються впровадженням стандартів на підприємстві, видають сертифікати та проводять наглядовий аудит. Організацією ISO розроблено велику кількість стандартів у різних сферах діяльності, зокрема ДСТУ ISO/IEC 27001:2015 (або ISO/IEC 27001:2013).

Цей стандарт стосується безпосередньо менеджменту та бізнес-процесів, який у результаті опосередковано впливатиме на якість продукції, захист довкілля та безпеку праці. Організація ISO не сертифікує компанії на відповідність стандартам і відповідно до своїх повноважень не може зобов’язати сертифікувати в обов’язковому порядку ні певну компанію, ні певну галузь. Ці рішення приймаються виключно на рівні кожної окремої держави, а в Україні діє принцип добровільної сертифікації. Тобто ніхто не може зобов’язати бізнес у примусовому порядку сертифікувати товар чи підприємство, оскільки ця вимога відсутня в чинному законодавстві.

Скаржник наголошує, що стандарт інформаційної безпеки ДСТУ 27001:2015 розроблено з допомогою НБУ. Це адаптовані європейські стандарти з інформаційної безпеки, яких зобов’язані дотримуватись лише українські банки задля захисту інформації. Скаржник займається оптовою торгівлею твердим паливом. Оскільки замовником оголошено закупівлю «ДК 021:2015 09110000-3 – Тверде паливо (вугілля кам’яне ДГ (13-100), вугілля кам’яне ДГ/Ж (25-200), напівбрикети торф’яні для побутових потреб)», вищезазначений сертифікат не має жодного відношення до даної закупівлі і жодним чином не впливає на технічні характеристики предмета закупівлі, а також не дає замовнику додаткової гарантії щодо постачання.

Позиція Колегії:

Скаржник не довів та документально не підтвердив необхідність внесення змін до тендерної документації в цій частині, а також документально не підтвердив неможливість виконання вказаної умови тендерної документації та не довів, яким чином наведена вище умова порушує права та законні інтереси скаржника, пов’язані з участю у процедурі закупівлі, у зв’язку з чим відсутні підстави для задоволення скарги в цій частині.

Оскарження сертифікатів ISO: задоволена скарга

Рішення Колегії від 04.01.2022 № 111-р/пк-пз, оголошення № UA-2021-12-07-001032-b

Обставини розгляду скарги:

Скаржник оскаржує вимогу щодо надання у складі тендерної пропозиції документів, зокрема сертифіката на систему менеджменту інформаційної безпеки, за яким підтверджувалось би, що система менеджменту інформаційної безпеки відповідає ДСТУ ISO/IEC 27001:2015.

Позиція скаржника:

На підтвердження можливості учасника належним чином забезпечити інформаційну безпеку та кібербезпеку засобів провадження ліцензованої діяльності з постачання електричної енергії учасник у складі пропозиції повинен надати чинний сертифікат ДСТУ ISO/IEC 27001:2015, виданий на ім’я учасника, термін дії якого не може бути меншим ніж термін виконання зобов’язань за договором, який буде укладено за результатами даної закупівлі. Сфера діяльності, на яку поширюється сертифікована система управління, повинна включати постачання електричної енергії.

Цю вимогу скаржник вважає необґрунтованою та дискримінаційною.

Скаржник наголошує, що система сертифікації якості ISO (ІСО) проводиться на відповідність міжнародним стандартам, встановленим Міжнародною організацією по стандартизації (ISO, International Organization for Standardization). Організація ISO не проводить сертифікацію, а тільки розробляє стандарти відповідності. Функція сертифікації переходить на національні акредитовані установи, які займаються впровадженням стандартів на підприємстві, видають сертифікати та проводять наглядовий аудит. Організацією ISO розроблено велику кількість стандартів у різних сферах діяльності, зокрема і стандарту ДСТУ ISO/IEC 27001:2015 (або ISO/IEC 27001:2013).

Цей стандарт стосується безпосередньо менеджменту та бізнес-процесів, які в результаті опосередковано впливатимуть на якість продукції, захист довкілля та безпеку праці. Організація ISO не сертифікує компанії на відповідність стандартами і відповідно до своїх повноважень не може зобов’язати сертифікувати в обов’язковому порядку ні певну компанію, ні певну галузь. Ці рішення приймаються виключно на рівні кожної окремої держави, а в Україні діє принцип добровільної сертифікації. Тобто ніхто не може зобов’язати бізнес у примусовому порядку сертифікувати товар чи підприємство, оскільки дана вимога відсутня в чинному законодавстві.

Стосовно вимоги тендерної документації надати сертифікат 27001:2015 «Інформаційні технології. Методи захисту. Системи управління інформаційною безпекою. Вимоги», термін дії якого не може бути меншим ніж термін виконання зобов’язань за договором, то цей стандарт інформаційної безпеки ДСТУ ISO/ IEC 27001 розроблений з допомогою НБУ. Це адаптований європейський стандарт з інформаційної безпеки, якого зобов’язані дотримуватись лише українські банки задля захисту інформації.

Скаржник наголошує, що має сертифікат 27001:2013 «Інформаційні технології. Методи захисту. Системи управління інформаційною безпекою. Вимоги». Цей сертифікат аналогічний тому, що вимагається замовником, лише старішої версії стандарту. Цей сертифікат вважається чинним за умови щорічного його підтвердження за місяць до закінчення дії сертифіката. У випадку скаржника в разі планового підтвердження такий сертифікат буде чинний до 28.12.2022. Враховуючи, що строк поставки замовником передбачено до 31.12.2022, учасник не може виконати даної вимоги, оскільки не може вплинути на строки та терміни щорічного підтвердження сертифіката.

Також в умовах тендерної документації зазначено, що сертифікати мають бути видані лише на учасника процедури закупівлі, і відсутня можливість подання в складі тендерної пропозиції чинних сертифікатів ISO (ДСТУ), які видані на виробника товару.

Враховуючи вищевикладене, встановлення наведених вище вимог є дискримінаційним щодо суб’єктів господарювання, у тому числі скаржника, що унеможливлює підготовку ним тендерної пропозиції відповідно до вимог замовника і взагалі позбавляє можливості участі в цьому тендері. Тому замовник повинен внести зміни до тендерної документації, розширити коло можливих потенційних учасників процедури закупівлі, надати можливість учаснику подавати сертифікат старішої версії цього стандарту без прив’язки його терміну дії до терміну дії виконання зобов’язань за договором.

Позиція Колегії:

Замовник не довів необхідність встановлення наведеної вище умови тендерної документації саме в наведеній редакції. За таких умов зазначену вимогу тендерної документації зможуть виконати лише ті учасники процедури закупівлі, які мають в наявності або зможуть надати сертифікат ДСТУ ISO/IEC 27001:2015, виданий на ім’я учасника, термін дії якого не може бути меншим ніж термін виконання зобов’язань за договором, який буде укладено за результатами даної закупівлі, що є дискримінаційним щодо інших суб’єктів господарювання, у тому числі скаржника.

Коментар. Така ж позиція Колегії викладена в рішеннях від 04.01.2022 № 116-р/пк-пз, від 20.12.2021 № 28791-р/пк-пз, від 20.12.2021 № 28792-р/пк-пз, від 20.12.2021 № 28793-р/пк-пз, від 05.01.2022 № 182-р/пк-пз, від 05.01.2022 № 183-р/пк-пз, від 12.01.2022 № 582-р/пк-пз. Підбиваючи підсумки проаналізованих рішень, зауважимо таке:

Замовникам під час складання тендерної документації та встановлення умов закупівель слід ретельно і детально визначити необхідність витребування будь-якого документа, його необхідність у складі тендерної пропозиції та умови його надання.
Учасникам під час участі в процедурах закупівель у разі наявності згаданої вимоги варто виконувати її або оскаржувати.

На майбутнє можете завантажити: