logo-image
How to protect IT business in Ukraine
Author: Olena Roik
Source: Yuryst & Zakon. – №27. – 1 August 2019
Download

Хто винний?

Чи не щомісяця новинна стрічка рясніє повідомленнями про те, що в черговій IT-компанії СБУ або органи ДФС проводять обшуки й вилучають техніку. На жаль, за останні два роки статистика засвідчує, що понад 30 українських IT-компаній безпосередньо відчули всі "принади" обшуків і перевірок контролюючих органів.

Згідно з офіційною версією, озвученою спікерами правоохоронних органів, слідчі дії проводять для виявлення осіб, що фінансують тероризм, або злісних неплатників податків, або ж тих, хто використовує спеціальні технічні засоби негласного одержання інформації з порушенням чинного законодавства.

Задля виявлення останніх до Єдиного державного реєстру досудових розслідувань (далі – ЄДРДР) вносять відомості за ст. 359 Кримінального кодексу України (далі – КК України) з метою виявлення "спеціальних технічних засобів негласного одержання інформації", використовуваних для стеження за іншими особами. При цьому диспозиція ст. 359 КК України вказує, що до відповідальності можна притягувати не лише за використання та створення, а й за володіння цими спеціальними засобами.

Важливо! Українське законодавство не містить чіткого визначення "спеціальні засоби зв'язку", тому щоразу під час обшуку слідчий уповноважений самостійно визначати, яке програмне забезпечення, побутові прилади (радіоняня, смартфон, камери зовнішнього спостереження тощо) потрібно вилучити. На жаль, остаточне рішення про долю вилученого ухвалює експертиза, яку проводять лише органи СБУ.

Отже, очевидно, що від перспективи проведення обшуку за ст. 359 КК України не застрахована жодна IT-компанія через специфіку діяльності. Наприклад, навесні 2017 р. IT-компанію YouControl було обвинувачено в продажу "спеціальних засобів зв'язку", а в травні того ж року Прем'єр-міністр України навіть перервав нараду Кабінету Міністрів України через обшуки, які проводила СБУ в інвест-компанії Dragon Capital з метою пошуку "шпигунського програмного забезпечення, яке належить до спеціальних засобів зв'язку".

Показовим прикладом "фінансування тероризму" в Україні, на думку правоохоронних органів, є використання "ферм", де вирощують криптовалюту, і "заборонених в Україні" (згідно з офіційним прес-релізом Головного військового прокурора України щодо обшуків на підприємстві "Квазар".) електронних гаманців Qiwi і Яндекс.Гроші. 

Якщо ж раптом у діях айтішників угледіли склад злочину за ст. 212 КК України (ухиляння від сплати податків та інших обов'язкових платежів), то це практично завжди свідчить про мінімізацію оподаткування через організацію діяльності компанії з використанням фізичних осіб – підприємців.

Важливо! Правові підстави й мотиви проведення обшуків в IT-компанії можуть бути різноманітні й не пов'язані безпосередньо з її діяльністю. Мінімізувати негативні наслідки від обшуку можна через проведення попередньої роботи щодо захисту даних від можливості вилучення та через підвищення правової культури персоналу з метою забезпечення нормальної роботи компанії.

Хто вповноважений приходити з перевіркою?

IT-компанії нерідко стають об'єктом перевірок провадження господарської діяльності органами Держпраці або Державної податкової служби.

Варто взяти до уваги, що органи Держпраці (після рішення Шостого апеляційного адміністративного суду в справі № 826/8917/17) уповноважені проводити перевірки IT-бізнесу лише в порядку, визначеному Законом України "Про основні засади державного нагляду (контролю) у сфері господарської діяльності" на підставі затвердженого Кабінетом Міністрів України порядку визначення критеріїв ризиків від господарської діяльності, у якому буде також зазначено періодичність проведення перевірок.

Нормами вказаного вище Закону України визначено планові (не частіше ніж раз на рік тривалістю від 5 до 10 днів залежно від чисельності працівників) і позапланові перевірки бізнесу (критерії для проведення яких чітко визначено в ст. 6 Закону).

До початку перевірки інспектор Держпраці зобов'язаний повідомити підприємство про правові підстави, вид і строк проведення перевірки.

Важливо! Рішення про допуск перевіряльника до фактичного проведення перевірки має ґрунтуватися на підставі повідомлення про початок перевірки. Також не зайвим буде оцінити правові наслідки недопуску перевіряльника та невиконання його законних вимог.

Інспектор Держпраці в разі виявлення порушень законодавства під час перевірки складає припис, який роботодавець може оскаржити в адміністративному (начальникові відповідного органу Держпраці) або ж у судовому порядку.

Зазвичай компанія звільнена від відповідальності, якщо усуне зазначені в приписі порушення трудового законодавства в строк. Це правило не поширюється на:

– порушення, пов'язані з використанням праці осіб, що не перебувають у трудових відносинах з підприємством;

– несвоєчасну й неповну оплату праці;

– порушення мінімальних гарантій в оплаті праці (щодо строків і розміру оплати праці).

У цьому разі одночасно з приписом до порушника можуть застосувати й штрафи, розмір яких залежить від серйозності правопорушення (від 1 мінімальної зарплати та до 30 мінзарплат за допуск працівника без оформлення трудових відносин).

Важливо! Органи Держпраці вповноважені перевіряти дотримання лише трудового законодавства. Зазвичай в IT-сфері працівники взаємодіють із компаніями як фізичні особи – підприємці (попросту ФОП), тому компанії не можуть відповідати за порушення трудового законодавства самими ФОП.

Інакші справи з органами Державної податкової служби, уповноваженими проводити перевірки дотримання умов податкового законодавства.

Так, ст. 77 Податкового кодексу України та Порядком формування плану-графіка проведення документальних перевірок платників податків, затвердженим наказом Міністерства фінансів України від 02.06.2015 р. № 524, сформовано принцип, згідно з яким що меншими є ризики підприємницької діяльності платника податків, тим рідше в нього мають проводити перевірки органи податкової.

Набір критеріїв ризиків, визначених Державною податковою службою, розділяє підприємства на групи з низьким (яких перевіряють не частіше ніж раз на три роки), високим (можуть бути об'єктами перевірки щороку) і середнім рівнем ризику. При цьому однією з обов'язкових умов законності перевірки є внесення компанії до плану-графіка перевірок на наступний календарний рік, затвердженого Кабінетом Міністрів України, який опубліковують на сайті Державної фіскальної служби до 25 грудня поточного року.

Проаналізувавши порядок формування плану-графіка перевірок, можна припустити, що більшість IT-компаній за критеріями цілком підходять у групу високого ризику, адже всім їм притаманний ряд показників, наприклад:

– обсяг доходу багатьох компаній становить від 20 до 100 млн грн;

– сума закупівлі послуг ФОП становить понад 5 % від виручки від інших доходів компанії;

– різниця між собівартістю послуг, реалізованих компанією, не перевищує 10 % від чистого доходу компанії;

– провадження зовнішньоекономічної діяльності через засновників тощо.

Важливо! Податкова перевірка бізнесу неминуча, тому до неї варто готуватися щодня, приводячи діяльність у відповідність до норм закону. Не зайвим буде періодично перевіряти на сайті Державної податкової служби (не)внесення компанії до плану-графіка проведення перевірок на календарний рік, оскільки непоодинокими є випадки і його зміни.

Що робити?

Якщо на IT-підприємство прийшли з обшуком правоохоронці, важливо:

– негайно зв'язатися з адвокатом (ст. 236 Кримінального процесуального кодексу України (далі – КПК України) зобов'язує слідчого допустити адвоката на будь-якій стадії обшуку);

– до моменту прибуття адвоката самостійно розпочати відеофіксацію слідчої дії;

– дізнатися, який співробітник правоохоронного органу проводитиме обшук і записати його дані (згідно зі ст. 236 КПК України та постановою ВС у справі № 466/896/17 від 29.01.2019 проводити обшук уповноважений лише слідчий);

– уважно ознайомитися з ухвалою про проведення обшуку й одержати другий примірник;

– фіксувати в протоколі обшуку факти вилучення слідчим майна, прямо не передбаченого в ухвалі про проведення обшуку.

Важливо! Обшук проводять для виявлення та фіксації відомостей про обставини вчинення злочину. Відповідно до ст. 234 КПК України клопотання прокурора про обшук має вказувати на індивідуальні або родові характеристики речей, документів чи осіб, для виявлення яких його проводять. Крім того, вилучати електронні інформаційні системи або їхні частини, мобільні термінали зв'язку, прямо не зазначені в ухвалі про проведення обшуку, заборонено ч. 1 ст. 168 КПК України. Оскільки будь-яке програмне забезпечення, сервер, технічні засоби мають свої індивідуальні характеристики (адреси проксі-серверів, ip-адреса), згідно з ч. 2 ст. 235, ч. 1 ст. 168 КПК України слідчий суддя їх обов'язково повинен зазначити в тексті ухвали про проведення обшуку.

"Забороняється тимчасове вилучення електронних інформаційних систем або їх частин, мобільних терміналів систем зв'язку, крім випадків, коли їх надання разом з інформацією, що на них міститься, є необхідною умовою проведення експертного дослідження, або якщо такі об'єкти отримані в результаті вчинення кримінального правопорушення чи є засобом або знаряддям його вчинення, а також якщо доступ до них обмежується їх власником, володільцем або утримувачем чи пов'язаний з подоланням системи логічного захисту".

абз. 2 ч. 2 ст. 168 КПК України

Важливо! Навіть якщо слідчий ухвалив рішення вилучити техніку чи програмне забезпечення на підставі ч. 2 ст. 168 КПК України (для обов'язкового проведення експертного дослідження, або якщо такі об'єкти отримано в результаті кримінального правопорушення, або є засобом, знаряддям його вчинення, або якщо власник обмежує до них доступ), обов'язково вимагайте в слідчого вказати в протоколі обшуку, на підставі якої норми відбувається їх вилучення.

Якщо в ухвалі про проведення обшуку таких даних не зазначено, майно компанії має правовий статус тимчасово вилученого майна та може бути повернене законному власникові:

– на підставі постанови прокурора, якщо він визнає таке вилучення необґрунтованим;

– на підставі ухвали слідчого судді в разі відмови задовольнити клопотання прокурора про арешт тимчасово вилученого майна;

– на підставі ч. 5 ст. 171ч. 6 ст. 173 КПК України (порушення строків звернення з клопотанням про арешт майна);

– у разі скасування арешту, навіть якщо майно визнано речовим доказом (як приклад – постанова Апеляційного суду м. Києва від 10.05.2018 р. у справі № 11-cc/796/1803/2018).

ВИСНОВОК:

Звісно, проведення перевірок і обшуків IT-компаній має свою специфіку з огляду на спеціальну професійну діяльність останніх. Власникам бізнесу варто прийняти як факт, що обшуки й перевірки неминучі в будь-якій компанії, головне – уміти якісно захистити свої права й репутацію.