ЭП (ЭЦП) работника

В данной статье поговорим об электронной подписи сотрудника. Какая она бывает, в каких случаях проставляется, как и кем выпускаются ключи электронной подписи и сертификаты к ним, начиная с 2022 года. Разберем новые правила использования машиночитаемой доверенности на сотрудника (МЧД) и не только.

То, что сотрудник получает в УЦ ФНС или у доверенных лиц, это еще не подпись, а средства для ее создания и использования. Поэтому, говоря о получении ЭЦП или выпуске ЭЦП, речь идет немного о более затейливом действии

Несмотря на то, что термины эти существуют уже довольно продолжительное время, все равно во многих материалах и даже на сайте регуляторов встречаем подобные словосочетания: получить ЭЦП, выпустить ЭЦП, ЭЦП на сотрудника, ЭЦП работника, ЭЦП для торгов и т.д. Хотя речь идет не о как таковых созданных электронных подписях, ЭП (и уже даже не о цифровых – слово убрали из официальных формулировок), а о средствах, с помощью которых эти подписи могут создаваться.

В данной статье независимо от привычных формулировок будем говорить именно о ключевой информации (ключах электронной подписи, состоящих из открытой части ключа проверки ЭП и закрытой части ключа), а также о сертификатах к ним. Поговорим об ЭЦП сотрудника, т.к. в связи с переводом кадрового документооборота в электронный вид и развитием систем внутреннего документооборота такая подпись становиться все более востребованной.

Что такое ЭП, сертификат ключа ЭП

Электронная подпись сотрудника – это созданный сотрудником реквизит (специальный файл) к подписываемому документу (информации) с помощью средств, полученных в удостоверяющем центре (а точнее, с помощью закрытой части ключа) и специальных программ шифрования информации. Этот созданный файл и будет файлом электронной подписи владельца сертификата к конкретному подписанному документу и будет защищать подписанный файл от внесения в него изменений. Он также несет информацию о лице, подписавшем документ.

Сертификат ключа проверки электронной подписи выпускается в удостоверяющем центре (УЦ) и содержит информацию, которая включена в состав открытой части ключа.

В зависимости от аккредитации УЦ и тех целей, для которых будут использоваться ключи, с их помощью могут создаваться квалифицированные и неквалифицированные электронные подписи (КЭП и НЭП) и выпускаться квалифицированные или неквалифицированные сертификаты.

Сценарии проставления электронной подписи сотрудниками организации

1. Представление интересов организации

Рассмотрим сценарии, когда сотрудник получает полномочия совершать юридически значимые действия от имени организации и использует для подписания документов в электронном виде (для входа в систему электронного взаимодействия, участия в торгах и т.д.) квалифицированный сертификат электронной подписи:

1. Первый сценарий: использование ключей электронной подписи руководителя. Не секрет, что до недавнего времени во многих организациях носители (флешка или токен) с ключом ЭП руководителя перемещались по офису из рук бухгалтера в тендерный отдел. Более того, часто ключевая информация копировалась и одновременно использовалась разными сотрудниками для выполнения разного рода задач. Т.е. фактически задачи выполняли сотрудники, но документы подписывались электронной подписью руководителя. Также руководитель мог получить несколько сертификатов в разных УЦ или в одном, чтобы разделить их применение, так как у каждого есть свой серийный номер и отпечаток. В этом варианте доверенность у сотрудника была «виртуальная», он это делал, просто потому, что так было удобно и руководитель ему доверял.

   

2. Второй сценарий: использование электронной подписи, выданной непосредственно на ответственного исполнителя. Как правило, если сотрудник подписывал, например, отчетность, то в контролирующий орган заблаговременно направлялась доверенность на сотрудника. Бумажный оригинал подписывал руководитель, а в самой доверенности были указаны действия, которые могло совершать доверенное лицо. Если подписание происходило на торговой площадке, то при аккредитации прикреплялся файл скана доверенности с указанием полномочий на подписание договора и ограничение суммы контракта сотрудника. Если сертификат выпускался на сотрудника юридической службы, то при подаче документов в суд прикладывался скан бумажной доверенности, который впоследствии предоставлялся на обозрение суда в оригинале.

   

3. Третий сценарий тот, к которому идет планомерное движение. В нем используется сертификат электронной подписи, выданный на имя физического лица + МЧД (машиночитаемая доверенность) на действия, которые может совершить указанное доверенное лицо в отношении документов или при взаимодействии с тем органом или организацией, для которой такая доверенность выдана.

Отличия в сценариях и перспективы развития

Какие же отличия существуют во всех сценариях и какие перспективы их дальнейшего существования:

1. Использование сотрудником сертификата руководителя (мы понимаем, что это еще практикуется).

Особенность: Все документы, подписанные сертификатом руководителя вне зависимости, кто непосредственно нажал «подписать», считаются подписанными руководителем. Если, конечно, на момент проставления подписи не было сообщения о компрометации ключа или отзыва сертификата.

Риски:

• Руководитель полностью несет ответственность за правовые последствия такого подписания;
• Существует риск неправомерного использования ключа ЭП руководителя, в том числе риск финансовых потерь;
• Оформление передачи ключа ответственному сотруднику с указанием: серийного номера сертификата, списка разрешенных действий с использованием ЭЦП руководителя хотя бы чисто психологически «повышает» ответственность сотрудника при использовании ключей.

Перспективы:

• В 2022 году сертификаты на руководителей, ИП и нотариусов выпускаются по новым правилам – только УЦ ФНС России – и выдаются в его точках выдачи, или его доверенных лиц;
• Все вновь получаемые ключи ЭП на руководителя коммерческой организации (ИП, нотариуса) формируются некопируемыми (неизвлекаемыми) на токенах;
• С 31 марта 2023 года у всех организаций (ИП, нотариусов) будут действовать только ключи, выданные по новым правилам, и они будут в единственном экземпляре, нельзя будет оформить ЭЦП дополнительный и передать сотруднику.

2. Использование квалифицированного сертификата, выданного на сотрудника.

Особенности:

• Сертификат получает сотрудник в удостоверяющем центре ФНС РФ;
• Заявление на выпуск сертификата для УЦ подписывает руководитель организации;
• В сертификате в поле «Общее имя» (CN) указано наименование, ОГРН (ОГРИП для ИП), ИНН и адрес организации:

  

• В сертификате есть указание на сотрудника, указаны его ФИО, ИНН, СНИЛС;
• Сертификат используется без применения МЧД, бумажные оригиналы предоставляются по требованию. Например, при подписании налоговой отчетности оригинал доверенности должен быть на момент передачи декларации в ИФНС. Для торговых площадок требуется прикрепить скан бумажной доверенности;
• В других случаях работает допущение того, что у сотрудника с таким типом сертификата есть полномочия (мнение регулятора на Форуме ЭДО 2022 в июне);
• Срок сертификата возможен от 1 года до 15 месяцев;
• Сертификат на сотрудника не может быть использован для личных целей физического лица.

Риски:

• Сотрудник самостоятельно несет ответственность за хранение ключа и его надлежащее использование;
• Во избежание претензий со стороны руководителя в превышении полномочий на подписание тех или иных документов, рекомендуется запросить доверенность, в которой будут изложены полномочия сотрудника;
• Существуют риски при использования сертификата на сотрудника для автоматического проставления ЭП.

Перспективы:

• Ранее срок действия квалифицированных сертификатов на сотрудников был определен датой 31 декабря 2022 года. К этому времени ожидался повсеместный запуск механизма использования МЧД в правоотношениях B2G, B2B;
• В связи с переносом срока обязательного применения МЧД на 1 сентября 2023 года в случае использования сертификатов, выданных на доверенное лицо, сроки выдачи АУЦ КЭП на сотрудников и сроки действия таких сертификатов также будут продлены и ограничены этой датой;
• Ожидается, что начиная с 1 сентября 2023 года квалифицированные сертификаты на сотрудников (ЭЦП сотрудника) с указанием в сертификате реквизитов организации более не будут применяться.

3. Квалифицированный сертификат ЭП выдан на физическое лицо

Особенности:

• Состав сертификата, выданного на физическое лицо не содержит указания на организацию. Все данные принадлежат только физическому лицу:

  

• Если сотрудник использует собственный сертификат для выполнения рабочих задач, то его обычно оплачивает работодатель (компенсирует стоимость). В остальных случаях сотрудник оплачивает самостоятельно;
• Сертификат можно получить в АУЦ, список которых размещается на сайте Минцифры.

Риски:

• Использование сотрудником собственного сертификата в комбинации с МЧД для целей организации может предполагать необходимость использовать такой сертификат для автоматического формирования подписи. В этом случае существует риск компрометации ключа для физического лица;
• Выпуск, перевыпуск, отзыв КЭП полностью контролируются сотрудником и для организации существуют риски остаться в какой-то момент без возможности подписать документы или выполнить другие действия из-за отсутствия действующего сертификата;
• Необходимо помнить, что сертификат позволяет осуществить юридически значимые действия в отношении имущества физического лица (например, подписать договор купли продажи личного имущества), а также принять на себя обязательства (подписать кредитный договор и т.п.).

Перспективы:

• Поскольку в сертификате нет указания на юридическое лицо (ИП), то такой сертификат может быть использован как самим физлицом для личных целей, так и совместно с машиночитаемой доверенностью. Представлять интересы доверителя можно в соответствии с полномочиями, указанными в МЧД;
• Важно различать типы сертификатов и их назначение;
• Есть возможность получения квалифицированных и неквалифицированных сертификатов с облачным размещением закрытой части ключа (в специальной ячейке на стороне удостоверяющего центра) и идентификацией через Госуслуги.

1С:Кабинет сотрудника для перехода на КЭДО

Современный сервис для онлайн взаимодействия сотрудников с отделом кадров и бухгалтерией. Интеграция с типовыми 1С

от 280 руб./мес.

Подробнее

Гарантия качественной установки 1С

Корректная установка и настройка 1С снижает риск дальнейших ошибок в учете в 2 раза. Работаем с 2003 года!

от 1600 ₽

Подробнее

2. Использование ЭП сотрудника для КЭДО и внутреннего ЭДО

В этом случае ключи и сертификаты выпускаются на физическое лицо.

Если организация планирует перейти на ведение кадрового документооборота в электронном виде (КЭДО), прежде всего, нужно будет решить несколько вопросов. Посмотрим, что в результате может получиться:

1. В какой системе (среде) будет осуществляться документооборот.

Вариант 1:

• Типовые возможности существующих программ учета.

Возможности и ограничения:

• использовать типовое решение можно без дополнительных затрат;
• в организации могут быть ограничения по доступу в программу кадрового учета для всех сотрудников.

Что нужно сделать: анализ решений по организации кадрового ЭДО и выбрать оптимальное.

Вариант 2:

• Отдельное решение интегрированное с системой кадрового учета, позволяющее использовать личные кабинеты сотрудников.

Возможности и ограничения:

• можно адаптировать решение «под себя»;
• дополнительные затраты на интеграцию.

Что нужно сделать: анализ решений по организации кадрового ЭДО и выбрать оптимальное.

2. Определиться с видом электронной подписи.

Вариант 1:

• Простая электронная подпись (ПЭП).

Ограничение: при использовании ПЭП существует ряд ограничений при подписании документов и придания им юридической значимости.

Что нужно сделать: необходим анализ возможности использования того или иного вида ЭП.

Вариант 2:

• Усиленная электронная подпись: квалифицированная, неквалифицированная (УКЭП, УНЭП).

Ограничение: усиленные сертификаты ЭП создаются с участием Удостоверяющего Центра.

Что нужно сделать: необходим анализ возможности использования того или иного вида ЭП.

3. Какой тип хранения ключей ЭП будет использоваться.

Вариант 1:

• Ключи будут храниться на физической носителе (токене, флешке).

Возможности и ограничения:

• может быть ограничение на использование usb носителей в связи с информационной безопасностью, а хранение иным способом (в реестре на компьютере владельца) может привести к компрометации ключа;
• у части сотрудников по роду деятельности нет компьютера на рабочем месте;
• есть возможность использовать ключи для взаимодействия владельца от своего имени для внутреннего и кадрового ЭДО;
• есть возможность использовать ключи для взаимодействия владельца от своего имени для других юридически значимых действий, если они не содержат ограничений по виду ЭП.

Что нужно сделать: При использовании «железных» сертификатов необходимо настроить рабочее место сотрудника, установить программы криптозащиты информации для создания файла подписи. Дополнительные расходы и администрирование.

Вариант 2:

• Хранение ключей будет в облачном хранилище УЦ ФНС.

Ограничение: хранение ключей в облаке может ограничить их применение только в той системе, с которой выполнена интеграция.

Что нужно сделать: необходима интеграция с облаком УЦ и использование второго фактора для подтверждения (программы myDSS или кода из СМС). Возможны дополнительные затраты.

4. Определиться, где и по какой схеме сотрудники будут получать ключи для создания подписи.

Вариант 1:

• Самостоятельно в любом коммерческом УЦ.

Возможности и ограничения:

• временные трудопотери для посещения точки выдачи УЦ;
• стоимость сертификата.

Что нужно сделать:

• необходим анализ для выбора УЦ;
• выбор интегратора для реализации использования облачных сертификатов в типовых решениях в учетных системах, а также для автоматизации формирования запросов для выпуска ЭП.

Вариант 2:

• Централизованно с использованием инструментов интеграции с ресурсами выбранного УЦ (т.е. через корпоративный центр регистрации – КЦР).

Возможности и ограничения:

• схема формирования запросов на выпуск сертификатов предусматривает минимальные трудозатраты сотрудников;
• стоимость облачных сертификатов ключей ЭП значительно ниже «железных»;
• интеграция с УЦ может сопровождаться ежегодными затратами на использование ресурсов КЦР (лицензии);
• первичные затраты на интеграцию.

Что нужно сделать:

• необходим анализ для выбора УЦ;
• выбор интегратора для реализации использования облачных сертификатов в типовых решениях в учетных системах, а также для автоматизации формирования запросов для выпуска ЭП.

В завершении хочется отметить, что без делегирования полномочий невозможно будет успешно вести бизнес. И сотрудники, осуществляя доверенные действия, помогут успешно решать поставленные задачи. Главное, используя новые инструменты, хорошо понимать границы ответственности и риски.