В данной статье поговорим об электронной подписи сотрудника. Какая она бывает, в каких случаях проставляется, как и кем выпускаются ключи электронной подписи и сертификаты к ним, начиная с 2022 года. Разберем новые правила использования машиночитаемой доверенности на сотрудника (МЧД) и не только.
То, что сотрудник получает в УЦ ФНС или у доверенных лиц, это еще не подпись, а средства для ее создания и использования. Поэтому, говоря о получении ЭЦП или выпуске ЭЦП, речь идет немного о более затейливом действии
Несмотря на то, что термины эти существуют уже довольно продолжительное время, все равно во многих материалах и даже на сайте регуляторов встречаем подобные словосочетания: получить ЭЦП, выпустить ЭЦП, ЭЦП на сотрудника, ЭЦП работника, ЭЦП для торгов и т.д. Хотя речь идет не о как таковых созданных электронных подписях, ЭП (и уже даже не о цифровых – слово убрали из официальных формулировок), а о средствах, с помощью которых эти подписи могут создаваться.
В данной статье независимо от привычных формулировок будем говорить именно о ключевой информации (ключах электронной подписи, состоящих из открытой части ключа проверки ЭП и закрытой части ключа), а также о сертификатах к ним. Поговорим об ЭЦП сотрудника, т.к. в связи с переводом кадрового документооборота в электронный вид и развитием систем внутреннего документооборота такая подпись становиться все более востребованной.
Что такое ЭП, сертификат ключа ЭП
Электронная подпись сотрудника – это созданный сотрудником реквизит (специальный файл) к подписываемому документу (информации) с помощью средств, полученных в удостоверяющем центре (а точнее, с помощью закрытой части ключа) и специальных программ шифрования информации. Этот созданный файл и будет файлом электронной подписи владельца сертификата к конкретному подписанному документу и будет защищать подписанный файл от внесения в него изменений. Он также несет информацию о лице, подписавшем документ.
Сертификат ключа проверки электронной подписи выпускается в удостоверяющем центре (УЦ) и содержит информацию, которая включена в состав открытой части ключа.
В зависимости от аккредитации УЦ и тех целей, для которых будут использоваться ключи, с их помощью могут создаваться квалифицированные и неквалифицированные электронные подписи (КЭП и НЭП) и выпускаться квалифицированные или неквалифицированные сертификаты.
Сценарии проставления электронной подписи сотрудниками организации
1. Представление интересов организации
Рассмотрим сценарии, когда сотрудник получает полномочия совершать юридически значимые действия от имени организации и использует для подписания документов в электронном виде (для входа в систему электронного взаимодействия, участия в торгах и т.д.) квалифицированный сертификат электронной подписи:
- Первый сценарий: использование ключей электронной подписи руководителя. Не секрет, что до недавнего времени во многих организациях носители (флешка или токен) с ключом ЭП руководителя перемещались по офису из рук бухгалтера в тендерный отдел. Более того, часто ключевая информация копировалась и одновременно использовалась разными сотрудниками для выполнения разного рода задач. Т.е. фактически задачи выполняли сотрудники, но документы подписывались электронной подписью руководителя. Также руководитель мог получить несколько сертификатов в разных УЦ или в одном, чтобы разделить их применение, так как у каждого есть свой серийный номер и отпечаток. В этом варианте доверенность у сотрудника была «виртуальная», он это делал, просто потому, что так было удобно и руководитель ему доверял.
Пример визуализации электронной подписи руководителя на документе - Второй сценарий: использование электронной подписи, выданной непосредственно на ответственного исполнителя. Как правило, если сотрудник подписывал, например, отчетность, то в контролирующий орган заблаговременно направлялась доверенность на сотрудника. Бумажный оригинал подписывал руководитель, а в самой доверенности были указаны действия, которые могло совершать доверенное лицо. Если подписание происходило на торговой площадке, то при аккредитации прикреплялся файл скана доверенности с указанием полномочий на подписание договора и ограничение суммы контракта сотрудника. Если сертификат выпускался на сотрудника юридической службы, то при подаче документов в суд прикладывался скан бумажной доверенности, который впоследствии предоставлялся на обозрение суда в оригинале.
Пример визуализации электронной подписи сотрудника при подписании документов от имени юридического лица - Третий сценарий тот, к которому идет планомерное движение. В нем используется сертификат электронной подписи, выданный на имя физического лица + МЧД (машиночитаемая доверенность) на действия, которые может совершить указанное доверенное лицо в отношении документов или при взаимодействии с тем органом или организацией, для которой такая доверенность выдана.
Отличия в сценариях и перспективы развития
Какие же отличия существуют во всех сценариях и какие перспективы их дальнейшего существования:
1. Использование сотрудником сертификата руководителя (мы понимаем, что это еще практикуется).
Особенность: Все документы, подписанные сертификатом руководителя вне зависимости, кто непосредственно нажал «подписать», считаются подписанными руководителем. Если, конечно, на момент проставления подписи не было сообщения о компрометации ключа или отзыва сертификата.
Риски:
- Руководитель полностью несет ответственность за правовые последствия такого подписания;
- Существует риск неправомерного использования ключа ЭП руководителя, в том числе риск финансовых потерь;
- Оформление передачи ключа ответственному сотруднику с указанием: серийного номера сертификата, списка разрешенных действий с использованием ЭЦП руководителя хотя бы чисто психологически «повышает» ответственность сотрудника при использовании ключей.
Перспективы:
- В 2022 году сертификаты на руководителей, ИП и нотариусов выпускаются по новым правилам – только УЦ ФНС России – и выдаются в его точках выдачи, или его доверенных лиц;
- Все вновь получаемые ключи ЭП на руководителя коммерческой организации (ИП, нотариуса) формируются некопируемыми (неизвлекаемыми) на токенах;
- С 31 марта 2023 года у всех организаций (ИП, нотариусов) будут действовать только ключи, выданные по новым правилам, и они будут в единственном экземпляре, нельзя будет оформить ЭЦП дополнительный и передать сотруднику.
2. Использование квалифицированного сертификата, выданного на сотрудника.
Особенности:
- Сертификат получает сотрудник в удостоверяющем центре ФНС РФ;
- Заявление на выпуск сертификата для УЦ подписывает руководитель организации;
- В сертификате в поле «Общее имя» (CN) указано наименование, ОГРН (ОГРИП для ИП), ИНН и адрес организации:
Поля квалифицированного сертификата ЭП на сотрудника с наименованием, ИНН и адреса организации - В сертификате есть указание на сотрудника, указаны его ФИО, ИНН, СНИЛС;
- Сертификат используется без применения МЧД, бумажные оригиналы предоставляются по требованию. Например, при подписании налоговой отчетности оригинал доверенности должен быть на момент передачи декларации в ИФНС. Для торговых площадок требуется прикрепить скан бумажной доверенности;
- В других случаях работает допущение того, что у сотрудника с таким типом сертификата есть полномочия (мнение регулятора на Форуме ЭДО 2022 в июне);
- Срок сертификата возможен от 1 года до 15 месяцев;
- Сертификат на сотрудника не может быть использован для личных целей физического лица.
Риски:
- Сотрудник самостоятельно несет ответственность за хранение ключа и его надлежащее использование;
- Во избежание претензий со стороны руководителя в превышении полномочий на подписание тех или иных документов, рекомендуется запросить доверенность, в которой будут изложены полномочия сотрудника;
- Существуют риски при использования сертификата на сотрудника для автоматического проставления ЭП.
Перспективы:
- Ранее срок действия квалифицированных сертификатов на сотрудников был определен датой 31 декабря 2022 года. К этому времени ожидался повсеместный запуск механизма использования МЧД в правоотношениях B2G, B2B;
- В связи с переносом срока обязательного применения МЧД на 1 сентября 2023 года в случае использования сертификатов, выданных на доверенное лицо, сроки выдачи АУЦ КЭП на сотрудников и сроки действия таких сертификатов также будут продлены и ограничены этой датой;
- Ожидается, что начиная с 1 сентября 2023 года квалифицированные сертификаты на сотрудников (ЭЦП сотрудника) с указанием в сертификате реквизитов организации более не будут применяться.
3. Квалифицированный сертификат ЭП выдан на физическое лицо
Особенности:
- Состав сертификата, выданного на физическое лицо не содержит указания на организацию. Все данные принадлежат только физическому лицу:
Данные на физическое лицо в квалифицированном сертификате ЭП, выданном сотруднику - Если сотрудник использует собственный сертификат для выполнения рабочих задач, то его обычно оплачивает работодатель (компенсирует стоимость). В остальных случаях сотрудник оплачивает самостоятельно;
- Сертификат можно получить в АУЦ, список которых размещается на сайте Минцифры.
Риски:
- Использование сотрудником собственного сертификата в комбинации с МЧД для целей организации может предполагать необходимость использовать такой сертификат для автоматического формирования подписи. В этом случае существует риск компрометации ключа для физического лица;
- Выпуск, перевыпуск, отзыв КЭП полностью контролируются сотрудником и для организации существуют риски остаться в какой-то момент без возможности подписать документы или выполнить другие действия из-за отсутствия действующего сертификата;
- Необходимо помнить, что сертификат позволяет осуществить юридически значимые действия в отношении имущества физического лица (например, подписать договор купли продажи личного имущества), а также принять на себя обязательства (подписать кредитный договор и т.п.).
Перспективы:
- Поскольку в сертификате нет указания на юридическое лицо (ИП), то такой сертификат может быть использован как самим физлицом для личных целей, так и совместно с машиночитаемой доверенностью. Представлять интересы доверителя можно в соответствии с полномочиями, указанными в МЧД;
- Важно различать типы сертификатов и их назначение;
- Есть возможность получения квалифицированных и неквалифицированных сертификатов с облачным размещением закрытой части ключа (в специальной ячейке на стороне удостоверяющего центра) и идентификацией через Госуслуги.
2. Использование ЭП сотрудника для КЭДО и внутреннего ЭДО
В этом случае ключи и сертификаты выпускаются на физическое лицо.
Если организация планирует перейти на ведение кадрового документооборота в электронном виде (КЭДО), прежде всего, нужно будет решить несколько вопросов. Посмотрим, что в результате может получиться:
1. В какой системе (среде) будет осуществляться документооборот.
Вариант 1:
- Типовые возможности существующих программ учета.
Возможности и ограничения:
- использовать типовое решение можно без дополнительных затрат;
- в организации могут быть ограничения по доступу в программу кадрового учета для всех сотрудников.
Что нужно сделать: анализ решений по организации кадрового ЭДО и выбрать оптимальное.
Вариант 2:
- Отдельное решение интегрированное с системой кадрового учета, позволяющее использовать личные кабинеты сотрудников.
Возможности и ограничения:
- можно адаптировать решение «под себя»;
- дополнительные затраты на интеграцию.
Что нужно сделать: анализ решений по организации кадрового ЭДО и выбрать оптимальное.
2. Определиться с видом электронной подписи.
Вариант 1:
- Простая электронная подпись (ПЭП).
Ограничение: при использовании ПЭП существует ряд ограничений при подписании документов и придания им юридической значимости.
Что нужно сделать: необходим анализ возможности использования того или иного вида ЭП.
Вариант 2:
- Усиленная электронная подпись: квалифицированная, неквалифицированная (УКЭП, УНЭП).
Ограничение: усиленные сертификаты ЭП создаются с участием Удостоверяющего Центра.
Что нужно сделать: необходим анализ возможности использования того или иного вида ЭП.
Подключение сервиса 1С:Кабинет сотрудника от официального партнера 1С3. Какой тип хранения ключей ЭП будет использоваться.
Вариант 1:
- Ключи будут храниться на физической носителе (токене, флешке).
Возможности и ограничения:
- может быть ограничение на использование usb носителей в связи с информационной безопасностью, а хранение иным способом (в реестре на компьютере владельца) может привести к компрометации ключа;
- у части сотрудников по роду деятельности нет компьютера на рабочем месте;
- есть возможность использовать ключи для взаимодействия владельца от своего имени для внутреннего и кадрового ЭДО;
- есть возможность использовать ключи для взаимодействия владельца от своего имени для других юридически значимых действий, если они не содержат ограничений по виду ЭП.
Что нужно сделать: При использовании «железных» сертификатов необходимо настроить рабочее место сотрудника, установить программы криптозащиты информации для создания файла подписи. Дополнительные расходы и администрирование.
Вариант 2:
- Хранение ключей будет в облачном хранилище УЦ ФНС.
Ограничение: хранение ключей в облаке может ограничить их применение только в той системе, с которой выполнена интеграция.
Что нужно сделать: необходима интеграция с облаком УЦ и использование второго фактора для подтверждения (программы myDSS или кода из СМС). Возможны дополнительные затраты.
4. Определиться, где и по какой схеме сотрудники будут получать ключи для создания подписи.
Вариант 1:
- Самостоятельно в любом коммерческом УЦ.
Возможности и ограничения:
- временные трудопотери для посещения точки выдачи УЦ;
- стоимость сертификата.
Что нужно сделать:
- необходим анализ для выбора УЦ;
- выбор интегратора для реализации использования облачных сертификатов в типовых решениях в учетных системах, а также для автоматизации формирования запросов для выпуска ЭП.
Вариант 2:
- Централизованно с использованием инструментов интеграции с ресурсами выбранного УЦ (т.е. через корпоративный центр регистрации – КЦР).
Возможности и ограничения:
- схема формирования запросов на выпуск сертификатов предусматривает минимальные трудозатраты сотрудников;
- стоимость облачных сертификатов ключей ЭП значительно ниже «железных»;
- интеграция с УЦ может сопровождаться ежегодными затратами на использование ресурсов КЦР (лицензии);
- первичные затраты на интеграцию.
Что нужно сделать:
- необходим анализ для выбора УЦ;
- выбор интегратора для реализации использования облачных сертификатов в типовых решениях в учетных системах, а также для автоматизации формирования запросов для выпуска ЭП.
самые свежие новости 1 раз в месяц
В завершении хочется отметить, что без делегирования полномочий невозможно будет успешно вести бизнес. И сотрудники, осуществляя доверенные действия, помогут успешно решать поставленные задачи. Главное, используя новые инструменты, хорошо понимать границы ответственности и риски.
консультация эксперта
самые свежие новости 1 раз в месяц
