Электронная подпись для сотрудников компании

Электронная подпись может быть простой, неквалифицированной и квалифицированной. Любому сотруднику необходимо получить усиленную квалифицированную электронную подпись или УКЭП. В отличие от неквалифицированной электронной подписи, у неё есть ряд особенностей:

• Всегда имеет квалифицированный сертификат в бумажном или электронном виде, структура которого определена приказом ФСБ России № 795 от 27.12.2011.
• Программное обеспечение для работы с КЭП сертифицировано ФСБ России.
• Выдавать КЭП может только удостоверяющий центр, который аккредитован Минкомсвязи России.

Другие виды подписей мы описали в статье.

Квалифицированная ЭП или КЭП подтверждает, что документ подписан конкретным человеком и придает им юридическую силу. Она выдается только аккредитованными удостоверяющими центрами (УЦ). УЦ Контура прошел аккредитацию, поэтому мы можем выдавать КЭП.

Закон и государственные органы требуют от УЦ соблюдать правила безопасности — удостоверять личность будущего владельца ЭП и проверять его документы. А в случае нарушений УЦ несут материальную ответственность.

С 1 сентября 2023 года сотрудникам будет запрещено подписывать документы сертификатом с данными организации. Делать это они смогут только с помощью личных подписей, подкрепленных электронной доверенностью. Срок этого изменения переносили несколько раз. Последнюю дату утвердили Федеральным законом от 19.12.2022 № 536. 

Поэтому на текущий момент сотрудник может получить два вида ЭП:

• Подпись на юрлицо, она содержит ФИО владельца и данные организации, за которую сотрудник подписывает документы. Эти подписи будут действовать до 1 сентября 2023 года.
• Подпись на физлицо, в ней отсутствуют данные по организации (пп. 2 п.1 ст. 17.2 и п. 2 ст. 17.3 63-ФЗ). Такие подписи называются «электронная подпись физического лица», они действуют вместе с электронной доверенностью. 

Получить личную подпись физлица в аккредитованном УЦ и электронную доверенностьу руководителя сотрудник должен до 1 сентября 2023 года. Мы рекомендуем сделать переход на новые правила работы минимум за 2-3 недели до этого срока.

Руководитель все так же может использовать сертификат юрлица для подписи документов. А если его нет, то за получением необходимо обратиться в ФНС, для этого:

• подготовьте документы владельца подписи,
• приобретите сертифицированный токен (носитель, похожий на флэшку),
• подготовьте документацию на токен,
• посетите налоговую,
• подключите КриптоПро и настройте компьютер для работы с ЭП. 

Чтобы упростить эту процедуру, можно обратиться в Контур. Специалисты возьмут на себя заказ сертификата, его установку и настройку.

Если токен уже есть, можно использовать его, либо купить в удостоверяющем центре или у производителя. Подойдут Рутокен S, Рутокен Lite, Рутокен ЭЦП 2.0, JaCarta ГОСТ, JaCarta-2 ГОСТ и другие носители, которые соответствуют требованиям ФНС (пп.в п.22 Приказа ФНС).

Подробнее о получении сертификата ЭП в ФНС мы написали в инструкции.

Чтобы понять, как действует электронная подпись и можно ли её передавать, нужно знать из чего она состоит. ЭП состоит из трех файлов: 

• Закрытый ключ — длинный набор символов, который владелец генерирует самостоятельно с помощью средств криптографической защиты информации, например, с помощью КриптоПро. Эта часть подписи доступна только владельцу.
• Открытый ключ — тоже набор символов, как и закрытый ключ, но отличается тем, что информация из него общедоступна.
• Сертификат — документ, в котором содержатся данные открытого ключа, владельца и другие атрибуты. Именно он подтверждает, что открытый ключ принадлежит конкретному владельцу. 

Файлы можно записать на токен или в реестр компьютера. Затем с помощью закрытого ключа владелец подписывает документы. Сертификатом открытого ключа подтверждает, что именно он подписал документы. 

Ответственность за доступ к закрытому ключу ЭП несет его владелец. Это прописано в 63-ФЗ «Об электронной подписи» (п.1 ч.1 ст.10 63-ФЗ). Именно из-за передачи закрытого ключа другим людям, часто происходят мошеннические действия с подписями.

Бывают ситуации, когда злоумышленники намеренно завладевают чужими ЭП, берут кредиты, микрозаймы, совершают покупки от лица компании, меняют руководителя, а потом ликвидируют организацию. 

Мошенники могут завладеть электронной подписью несколькими способами:

• похитить носитель с закрытым ключом,
• найти, забытый владельцем в общественном месте, носитель с подписью,
• компания может забыть отозвать подпись уволенного сотрудника, он в свою очередь приобретает товары от имени компании и скрывается, оставив долг за организацией.

Существуют способы, чтобы себя обезопасить, один из них — это выпуск сертификата на сотрудника. Таким образом сотрудник становится уполномоченным представителем организации и действует от лица компании с личной ЭП. Он может подписывать отчетность, участвовать в торгах и закупках, регистрировать онлайн-кассы и многое другое. 

С начала 2022 года получить электронную подпись на сотрудника можно в аккредитованном УЦ. Информация об аккредитации наших УЦ есть на сайте Минцифры РФ в списке аккредитованных удостоверяющих центров.

Порядок получения сертификата простой:

1. Оформите заявку через сайт или обратитесь в удобный вам сервисный центр.
2. Оплатите счет после подтверждения заявки.
3. Соберите комплект документов и загрузите их сканы в Личный кабинет для онлайн-проверки.
4. Принесите оригиналы документов и получите сертификат в сервисном центре.

Получить сертификат может только будущий владелец (ч.1 ст. 18 63-ФЗ).

Для получения сертификата физлица нужны оригиналы или заверенные копии документов:

• Паспорт будущего владельца сертификата: разворот с фотографией. 
• СНИЛС или документ, подтверждающий регистрацию в системе индивидуального учета, на случай, если данные не пройдут проверку.
• ИНН будущего владельца сертификата. На случай, если данные не пройдут проверку в ФНС.

Так как сертификат выпускается на сотрудника организации, то при получении сертификата потребуется доверенность на получение. 

Мы подготовили инструкцию о том, как работать в личном кабинете. Наша техническая поддержка круглосуточно ответит на возникшие вопросы.

Так как сертификат электронной подписи приравнивается к собственноручной подписи, то владелец обязан обеспечивать её конфиденциальность (ст. 10 63-ФЗ). А обеспечивать конфиденциальность информации и не передавать её третьим лицам без согласия обладателя обязаны все лица получившие доступ к этой информации согласно п.7 ст. 2 149-ФЗ.

Поэтому подпись может быть передана только с согласия обладателя. Юристы советуют оформлять данное согласие приказом и доверенностью — это может быть приказ или доверенность от имени юрлица или ИП. Форму передачи полномочий организация определяет самостоятельно, как и оформление акта передачи носителя с закрытым ключом. В УЦ не нужно предоставлять доверенности или приказы.

Чтобы увеличить безопасность данных организации, избежать махинаций и утечки информации, рекомендуем выпускать подпись на каждого сотрудника, которому необходима работа с ней. Например, для предоставления отчетности — ЭП для бухгалтера, для заключения сделок — ЭП для менеджера по закупкам, для работы на государственных порталах — ЭП для уполномоченного сотрудника. Таким образом каждый сотрудник становится представителем организации, а директору будет легче контролировать процессы внутри компании. 

До 1 сентября 2023 года сотрудник может подписывать документы от лица компании двумя способами: сертификатом юрлица либо по новым правилам — подписью физлица, подкрепленной электронной доверенностью. 

Некоторые системы, например ФСС, ФНС уже принимают документы с МЧД. Другие — готовятся к переходу. Чтобы клиент мог подписывать документы с МЧД и без нее, Удостоверяющий центр Контура при покупке сертификата юрлица по желанию бесплатно выдает подпись физлица.

С 2023 года изменится порядок работы с электронными подписями (ЭП) и машиночитаемыми доверенностями (МЧД). Текущий 2022 год – переходный. Разберём, почему сотруднику организации важно пользоваться собственной ЭП, а не ЭП, принадлежащей первому лицу организации-работодателя.

I. Почему первое лицо организации не должно кому-либо передавать свою ЭП

С 1 января 2022 года индивидуальные предприниматели (ИП), нотариусы и первые лица коммерческих организаций получают ЭП в ФНС России. Здесь представлен актуальный перечень налоговых инспекций, где выдаются электронные подписи.

Передача ЭП лицам, отличным от владельца, противоречит ст. 10 Федерального закона № 63-ФЗ. Несмотря на это, распространена практика, когда первые лица передают свои ЭП сотрудникам и даже налоговым представителям или бухгалтерам, работающим на аутсорсе. Эти действия не наказуемы. Но наказываться могут последствия таких действий.

II. Чем опасна передача ЭП другим лицам?

1. Даже если электронный документ фактически заверяет с помощью ЭП кто-то кроме её владельца, то ответственность за такие действия, включая уголовную, несёт именно владелец ЭП. Например, сотрудник фирмы с помощью ЭП руководителя представил в ФНС некорректную отчётность, что стало причиной неполной уплаты суммы налога или нарушения по налоговому вычету. Такие действия могут повлечь судебное разбирательство и ответственность по ст. 122 Налогового кодекса РФ.

2.Недобросовестный сотрудник с помощью ЭП первого лица компании может совершить мошеннические действия с деньгами или активами организации.

3.Компрометация ЭП потенциально влечёт её отзыв по инициативе налоговых органов (пп. 1 п. 6.1 ст. 14 Федерального закона № 63-ФЗ). Электронные документы, подписанные скомпрометированной ЭП, могут быть признанными недействительными.

III. Почему налоговый представитель не должен использовать ЭП первых лиц организаций

Нередки случаи, когда организация или ИП пользуются услугами налоговых представителей или бухгалтеров-аутсорсеров, просто передавая им USB-токен с ЭП первого лица. Налоговые же представители с одного компьютера отправляют в госорганы отчётность нескольких организаций, заверяя её ЭП разных первых лиц.

В чём здесь риск? К примеру, при сдаче налоговой отчётности ФНС России отслеживает IP- и MAC-адреса компьютеров, с которых она направляется. Налоговики могут сделать вывод, что разные компании и ИП, по сути, не связанные между собой, подконтрольны какому-то одному лицу. Ведь все они сдают отчётность от своего имени с одного компьютера. Вдобавок такое использование ЭП – это признак фиктивного дробления бизнеса (см. п. 8 Письма ФНС России от 10.03.2021 № БВ-4-7/3060@, Письмо ФНС России от 31.10.2017 № ЕД-4-9/22123@, п. 11 Письма ФНС России от 13.07.2017 № ЕД-4-2/13650@).

IV. Как сотрудник организации должен применять ЭП

Напомним, что каждый руководитель или сотрудник отвечает за свои действия и использует только свою подпись.

Первые лица организаций подписывают электронные документы лично – полученной в ФНС электронной подписью.

Сотрудники организаций заверяют электронные документы сами – своей ЭП, оформленной в коммерческом удостоверяющем центре на основании доверенности от первого лица организации на получение такой ЭП.

Налоговый представитель или бухгалтер на аутсорсе заверяют отчётность исключительно собственными ЭП. Для этого заранее от первого лица организации-доверителя на налогового представителя/бухфирму оформляется доверенность по правилам госоргана, куда представляется отчётность.

Снизьте риски при получении в налоговой ЭП на первое лицо – воспользуйтесь услугой «Подготовка к получению ЭП в ФНС».

V. Какие ЭП необходимо оформлять сотрудникам

В течение 2022 года сотрудники организаций оформляют ЭП в коммерческих удостоверяющих центрах. Для оформления такой ЭП сотруднику нужны паспорт, СНИЛС и ИНН, а также доверенность от первого лица организации-работодателя на получение подписи.

С 2023 года сотрудники будут получать ЭП физического лица в коммерческих удостоверяющих центрах. Для использования такой ЭП в личных целях никаких дополнительных документов не нужно. А для применения по служебной необходимости потребуется электронная машиночитаемая доверенность, заверенная ЭП первого лица организации-работодателя.

Получите ЭП для сотрудников в удостоверяющем центре «Такском»

Как получить электронную подпись сотрудникам

С 2023 года работники, представляя интересы компании, будут заверять документы собственной электронной подписью (ЭП). Рассказываем, как ее оформить и где получить.

Работодатель оформляет ЭЦП на сотрудника или доверенное лицо. В зависимости от вида подписи, работник может вести внутренний документооборот или подписывать документы от лица организации. Важно, чтобы это была его личная подпись.

В статье подробно расскажем, какую электронную подпись можно оформить на уполномоченного сотрудника или доверенное лицо.

Какую подпись получает ИП или руководитель организации

Руководители организаций и индивидуальные предприниматели получают электронную подпись только в удостоверяющем центре ФНС и её доверенных лиц. Чтобы оформить ЭЦП в налоговой, нужно выбрать отделение, принести с собой пакет документов и сертифицированный токен. Услуга предоставляется бесплатно.

Руководителям и предпринимателям выдают в налоговой только усиленные квалифицированные электронные подписи (КЭП). Требования и порядок работы с такой ЭЦП регулируется государством. В законодательстве она равнозначна своему рукописному аналогу. Поэтому ей можно заверять любые электронные документы.

Предварительно записываться на приём в ФНС не требуется. Будущему владельцу нужно узнать график и часы работы выбранного филиала удостоверяющего центра ФНС. Явиться необходимо лично. По доверенности КЭП не выдадут. Обслуживание ведётся в порядке очереди, вследствие этого лучше выделить дополнительное время на данную процедуру.

Какая ЭП нужна уполномоченному сотруднику

Чтобы подписывать документы от своего имени, руководитель или предприниматель назначают уполномоченного сотрудника или доверенное лицо. Например, уполномоченным может быть кадровик, бухгалтер или ответственный работник, а доверенным является специалист компании, оказывающей подобные услуги. В любом случае на его имя нужно выпустить электронную подпись.

На уполномоченного можно оформить личную ЭЦП — простую (ПЭП), неквалифицированную (НЭП) или квалифицированную (КЭП). Вид выпускаемой электронной подписи зависит от того, какими обязанностями хотят наделить работника.

Простая ЭЦП для уполномоченного работника

Простая электронная подпись создаётся в той информационной системе, в которой её будут использовать. С такой ЭЦП нельзя подписывать документы, работать на госпорталах и участвовать в торгах. Она подходит только для авторизации на ресурсах и работы в личном кабинете.

Простая ЭЦП обычно представляет собой пару логин-пароль или функцию одноразовых паролей. Это минимальный уровень защиты.

Неквалифицированная ЭЦП для уполномоченного работника

Спектр возможностей усиленной неквалифицированной электронной подписи ограничен. Уполномоченный работник может вести кадровый документооборот и заверять внутренние электронные документы. Для взаимодействия с контрагентами и партнёрами стороны составляют дополнительное соглашение. Так, с неквалифицированной ЭЦП появится возможность подписывать накладные поставщиков.

Порядок работы с неквалифицированной электронной подписью утверждают в учредительных документах компании и должностных инструкциях. В них прописывают, в каких случаях подпись имеет юридическую силу, какой уполномоченный сотрудник и для чего её может использовать.

Отправлять отчётность в контролирующие органы и взаимодействовать с государственными органами с помощью неквалифицированной ЭЦП нельзя. Для этого понадобится квалифицированная ЭЦП.

Квалифицированная ЭЦП для уполномоченного работника

С квалифицированной электронной подписью уполномоченный сотрудник может работать не только с внутренними и внешними документами. Данный вид ЭЦП подтверждает личность владельца и позволяет заверять любые электронные документы. Поэтому с ней можно отправлять отчётность, работать с государственными порталами и участвовать в торгах от имени организации или ИП. Кроме того, такая подпись обладает самым высоким уровнем защиты, а значит, скомпрометировать её будет сложно, если только владелец не передаст носитель с ней в руки другому человеку.

Квалифицированная электронная подпись оформляется на имя владельца, то есть на физическое лицо. Поэтому уполномоченный работник может использовать её для своих целей. С квалифицированной ЭЦП физического лица можно дистанционно подать документы в вуз, оформить сделку или получить государственные услуги.

Как использовать электронные подписи уполномоченного сотрудника

Подписывать электронные документы без доверенности имеют право только руководители юридического лица и индивидуальные предприниматели. Документы заверяют личной квалифицированной подписью, полученной в ФНС. Для уполномоченных сотрудников им нужно выпустить электронную подпись физического лица. А чтобы такие работники могли действовать от имени своего руководителя, для них создают машиночитаемую доверенность (МЧД).

Машиночитаемые доверенности

Машиночитаемая доверенность даёт право уполномоченному сотруднику действовать от имени руководителя или ИП. Она создаётся в электронном виде. Имеет специальный формат, с помощью которого данные автоматически распознаются в информационной системе.

В МЧД прописывают данные о доверителе и работнике, обязанности уполномоченного лица и срок действия доверенности. После составления машиночитаемой доверенности её подписывают электронной подписью директора и загружают в информационную систему. Если у директора нет действующей ЭЦП, то МЧД может заверить нотариус своей электронной подписью. Потом данные о доверенности появляются в едином реестре МЧД.

Уполномоченный работник подписывает документ ЭЦП физлица, прикладывает машиночитаемую доверенность и отправляет контрагенту. Получатель сверяет данные МЧД, проверяет полномочия и срок действия доверенности.

Каким сотрудникам организации потребуется личная КЭП

КЭП физлица понадобится сотруднику, которого директор или предприниматель назначает уполномоченным. Им может быть ответственный работник, штатный или нанятый в сторонней фирме бухгалтер. Если для подтверждения полномочий необходима машиночитаемая доверенность, то при использовании КЭП в личных целях дополнительные документы не потребуются.

Сотруднику важно пользоваться собственной электронной подписью, так как с 1 сентября 2023 года работать с КЭП работника юрлица или ИП будет запрещено. Оформить машиночитаемую доверенность необходимо до 31.08.23.

Где ещё можно использовать личную электронную подпись

Подпись физлица подходит для личного пользования. Функционал, который может использовать владелец ЭЦП, тоже зависит от её вида.

Простая электронная подпись физического лица

С простой электронной подписью можно взаимодействовать, например, с сайтами развлекательного контента, интернет-магазинов, служб доставки или услуг связи. Хранится такая ЭЦП в информационной системе, в которой она используется. ПЭП позволяет подтверждать действия пользователя на веб-ресурсах: авторизовываться, списывать бонусы или оплачивать покупки в магазине и т.п.

Неквалифицированная электронная подпись физлица

Неквалифицированная электронная подпись тоже подходит для применения в личных целях. НЭП вправе получить любой пользователь личного кабинета физических лиц налоговой. Лично посещать ведомство не требуется, оформление происходит в дистанционном формате. Услуга предоставляется бесплатно. Данная ЭЦП работает только на сайте ФНС. Например, она позволяет гражданину сдавать налоговую декларацию. Согласно 347-ФЗ, электронные документы, переданные в ФНС с помощью «Личного кабинета налогоплательщика» и подписанные НЭП физлица, равнозначны их бумажным версиям

Электронная подпись налоговой записывается на компьютер владельца или в защищённое облачное хранилище налоговой. Во втором случае НЭП можно пользоваться с любого устройства, у которого есть доступ к личному кабинету ФНС.

Квалифицированная электронная подпись физлица

Владелец КЭП физлица может удалённо поступить в вуз, устроиться на работу, оформить договор купли-продажи квартиры, запросить госуслуги в соответствующих сервисах, зарегистрировать себя в качестве ИП и прочее. Также с помощью квалифицированной ЭЦП гражданин вправе участвовать в электронных торгах по банкротству и продаже имущества должников.

Использование КЭП руководителя

В некоторых организациях работники используют электронную подпись руководителя. Это не только небезопасно, но и запрещено законодательством. Руководитель несёт ответственность за любое действие, совершённое сотрудником с помощью его КЭП. Например, он может подписать не те документы или использовать подпись в своих личных целях.

Подпись уполномоченного лица должна быть оформлена на него самого, тогда он будет нести ответственность за действия, совершённые с её использованием. Если он подпишет какой-то документ, то в подписи эта информация будет запечатана и всегда можно доказать, что документ подписан именно этим сотрудником.

Передача ЭП другому лицу

Владелец квалифицированной ЭЦП не должен передавать её никому, даже своим коллегам и друзьям, так как это небезопасно. Правило относится не только к руководителям организаций, но и к сотрудникам. Подписать документ с её помощью сможет любой, у кого она окажется в руках.

Подпись юридического лица сравнима с печатью и рукописной подписью, поэтому после того, как кто-то подпишет ей документ, доказать, что это сделал не владелец ЭП, будет очень сложно. Личная электронная подпись работника обеспечит безопасность для руководителя.

Чем опасна передача КЭП другим лицам

Наказание за передачу КЭП третьим лицам в законодательстве не предусмотрено. Однако потеря подписи или передача его недобросовестным гражданам повлечёт за собой неприятные последствия.

Владелец несёт ответственность, в том числе уголовную, за подписанные его ЭП документы. Даже если заверение было совершено другим гражданином без его участия. Например, уполномоченный сотрудник сдаёт налоговую отчётность с ошибками от лица компании. В этом случае ФНС выпишет штраф директору или индивидуальному предпринимателю.

Завладев ЭП, мошенники могут похитить активы или денежные средства фирмы.
Удостоверяющий центр аннулирует сертификат ЭП, если:

• подтверждено, что его использует не владелец подписи;
• ключ проверки подписи совпадает с ключом ранее выданного сертификата.

Что делать при увольнении работника

При увольнении электронная подпись остаётся у бывшего сотрудника, даже если она была оплачена работодателем. Использовать электронную подпись от чужого имени запрещено. Если у сотрудника была только ПЭП, то его логин и пароль больше не используются в информационной системе. Сертификат КЭП содержит данные о владельце, и работать с этой ЭЦП может только он.

В трудовом договоре не могут быть прописаны случаи, когда при увольнении электронная подпись останется у работодателя. Наличие таких правил является прямым нарушением законодательства. Бывший работник вправе обратиться в суд, и работодателя оштрафуют.

Если использовалась МЧД, то работодатель её отзывает. При необходимости назначает другое уполномоченное лицо и создаёт для него новую цифровую доверенность. Несмотря на то что данный порядок работы вступает в силу 1 сентября 2023 года, использовать КЭП для физлиц вместе с МЧД можно уже сегодня.

Кроме того, до 31 августа 2023 года разрешено применять подпись сотрудника юрлица и индивидуального предпринимателя. В этом случае использование МЧД для сдачи отчётности и ЭДО с контрагентами не предусматривается.

Как получить электронную подпись уполномоченного сотрудника

Если юридическое лицо и ИП получают свои ЭЦП в ФНС, то физическое лицо вправе это сделать только в аккредитованном удостоверяющем центре, который имеет аккредитацию Минцифры. Работник организации — это физическое лицо, а значит, получить подпись уполномоченного должностного лица он может получить только там.

Аккредитованные удостоверяющие центры могут выпускать как квалифицированные, так и неквалифицированные электронные подписи. Всё зависит от нужд компании и обязанностей уполномоченного работника.

Если уполномоченный работник или доверенное лицо обязано отправлять документы в налоговую, Социальный фонд России или участвовать в торгах, ему понадобится квалифицированная электронная подпись. Использовать её можно только с МЧД.

Когда уполномоченный сотрудник занимается кадровыми или внутренними документами, ему будет достаточно неквалифицированной ЭЦП. С ней можно вести обмен документами с партнёрами, подписывать приказы, инструкции, заявления или справки.

«Контур» — экосистема продуктов для бизнеса. Ключевые направления деяельности: интернет-отчетность и онлайн-бухгалтерия, сервисы для ЭДО и работы с маркировкой, облачный товароучет и онлайн-кассы, проверка контрагентов и электронные подписи

1. Что такое электронная подпись и как ее получить? 

2. Какие документы можно подписать с помощью ЭП?

3. Где хранить электронную подпись и какой способ самый безопасный? 

4. Почему директору и всем сотрудникам компании нельзя пользоваться одной подписью?

5. Может ли один человек иметь несколько подписей?

6. Как компании быстро выпустить электронные подписи для всех сотрудников?

7. Если сотрудник получил электронную подпись в одной компании, сможет ли он использовать ее на другом месте работы?

8. Можно ли посмотреть все документы, подписанные определенной ЭП?

9. Можно ли использовать российскую подпись для сделок с иностранными компаниями?

В данной статье поговорим об электронной подписи сотрудника. Какая она бывает, в каких случаях проставляется, как и кем выпускаются ключи электронной подписи и сертификаты к ним, начиная с 2022 года. Разберем новые правила использования машиночитаемой доверенности на сотрудника (МЧД) и не только.

То, что сотрудник получает в УЦ ФНС или у доверенных лиц, это еще не подпись, а средства для ее создания и использования. Поэтому, говоря о получении ЭЦП или выпуске ЭЦП, речь идет немного о более затейливом действии

Несмотря на то, что термины эти существуют уже довольно продолжительное время, все равно во многих материалах и даже на сайте регуляторов встречаем подобные словосочетания: получить ЭЦП, выпустить ЭЦП, ЭЦП на сотрудника, ЭЦП работника, ЭЦП для торгов и т.д. Хотя речь идет не о как таковых созданных электронных подписях, ЭП (и уже даже не о цифровых – слово убрали из официальных формулировок), а о средствах, с помощью которых эти подписи могут создаваться.

В данной статье независимо от привычных формулировок будем говорить именно о ключевой информации (ключах электронной подписи, состоящих из открытой части ключа проверки ЭП и закрытой части ключа), а также о сертификатах к ним. Поговорим об ЭЦП сотрудника, т.к. в связи с переводом кадрового документооборота в электронный вид и развитием систем внутреннего документооборота такая подпись становиться все более востребованной.

Что такое ЭП, сертификат ключа ЭП

Электронная подпись сотрудника – это созданный сотрудником реквизит (специальный файл) к подписываемому документу (информации) с помощью средств, полученных в удостоверяющем центре (а точнее, с помощью закрытой части ключа) и специальных программ шифрования информации. Этот созданный файл и будет файлом электронной подписи владельца сертификата к конкретному подписанному документу и будет защищать подписанный файл от внесения в него изменений. Он также несет информацию о лице, подписавшем документ.

Сертификат ключа проверки электронной подписи выпускается в удостоверяющем центре (УЦ) и содержит информацию, которая включена в состав открытой части ключа.

В зависимости от аккредитации УЦ и тех целей, для которых будут использоваться ключи, с их помощью могут создаваться квалифицированные и неквалифицированные электронные подписи (КЭП и НЭП) и выпускаться квалифицированные или неквалифицированные сертификаты.

Сценарии проставления электронной подписи сотрудниками организации

1. Представление интересов организации

Рассмотрим сценарии, когда сотрудник получает полномочия совершать юридически значимые действия от имени организации и использует для подписания документов в электронном виде (для входа в систему электронного взаимодействия, участия в торгах и т.д.) квалифицированный сертификат электронной подписи:

1. Первый сценарий: использование ключей электронной подписи руководителя. Не секрет, что до недавнего времени во многих организациях носители (флешка или токен) с ключом ЭП руководителя перемещались по офису из рук бухгалтера в тендерный отдел. Более того, часто ключевая информация копировалась и одновременно использовалась разными сотрудниками для выполнения разного рода задач. Т.е. фактически задачи выполняли сотрудники, но документы подписывались электронной подписью руководителя. Также руководитель мог получить несколько сертификатов в разных УЦ или в одном, чтобы разделить их применение, так как у каждого есть свой серийный номер и отпечаток. В этом варианте доверенность у сотрудника была «виртуальная», он это делал, просто потому, что так было удобно и руководитель ему доверял.
   
2. Второй сценарий: использование электронной подписи, выданной непосредственно на ответственного исполнителя. Как правило, если сотрудник подписывал, например, отчетность, то в контролирующий орган заблаговременно направлялась доверенность на сотрудника. Бумажный оригинал подписывал руководитель, а в самой доверенности были указаны действия, которые могло совершать доверенное лицо. Если подписание происходило на торговой площадке, то при аккредитации прикреплялся файл скана доверенности с указанием полномочий на подписание договора и ограничение суммы контракта сотрудника. Если сертификат выпускался на сотрудника юридической службы, то при подаче документов в суд прикладывался скан бумажной доверенности, который впоследствии предоставлялся на обозрение суда в оригинале.
   
3. Третий сценарий тот, к которому идет планомерное движение. В нем используется сертификат электронной подписи, выданный на имя физического лица + МЧД (машиночитаемая доверенность) на действия, которые может совершить указанное доверенное лицо в отношении документов или при взаимодействии с тем органом или организацией, для которой такая доверенность выдана.

Рассчитать на сайте стоимость автоматизации кадрового электронного документооборота под ключ!

Отличия в сценариях и перспективы развития

Какие же отличия существуют во всех сценариях и какие перспективы их дальнейшего существования:

1. Использование сотрудником сертификата руководителя (мы понимаем, что это еще практикуется).

Особенность: Все документы, подписанные сертификатом руководителя вне зависимости, кто непосредственно нажал «подписать», считаются подписанными руководителем. Если, конечно, на момент проставления подписи не было сообщения о компрометации ключа или отзыва сертификата.

Риски:

• Руководитель полностью несет ответственность за правовые последствия такого подписания;
• Существует риск неправомерного использования ключа ЭП руководителя, в том числе риск финансовых потерь;
• Оформление передачи ключа ответственному сотруднику с указанием: серийного номера сертификата, списка разрешенных действий с использованием ЭЦП руководителя хотя бы чисто психологически «повышает» ответственность сотрудника при использовании ключей.

Перспективы:

• В 2022 году сертификаты на руководителей, ИП и нотариусов выпускаются по новым правилам – только УЦ ФНС России – и выдаются в его точках выдачи, или его доверенных лиц;
• Все вновь получаемые ключи ЭП на руководителя коммерческой организации (ИП, нотариуса) формируются некопируемыми (неизвлекаемыми) на токенах;
• С 31 марта 2023 года у всех организаций (ИП, нотариусов) будут действовать только ключи, выданные по новым правилам, и они будут в единственном экземпляре, нельзя будет оформить ЭЦП дополнительный и передать сотруднику.

2. Использование квалифицированного сертификата, выданного на сотрудника.

Особенности:

• Сертификат получает сотрудник в удостоверяющем центре ФНС РФ;
• Заявление на выпуск сертификата для УЦ подписывает руководитель организации;
• В сертификате в поле «Общее имя» (CN) указано наименование, ОГРН (ОГРИП для ИП), ИНН и адрес организации:
  
• В сертификате есть указание на сотрудника, указаны его ФИО, ИНН, СНИЛС;
• Сертификат используется без применения МЧД, бумажные оригиналы предоставляются по требованию. Например, при подписании налоговой отчетности оригинал доверенности должен быть на момент передачи декларации в ИФНС. Для торговых площадок требуется прикрепить скан бумажной доверенности;
• В других случаях работает допущение того, что у сотрудника с таким типом сертификата есть полномочия (мнение регулятора на Форуме ЭДО 2022 в июне);
• Срок сертификата возможен от 1 года до 15 месяцев;
• Сертификат на сотрудника не может быть использован для личных целей физического лица.

Риски:

• Сотрудник самостоятельно несет ответственность за хранение ключа и его надлежащее использование;
• Во избежание претензий со стороны руководителя в превышении полномочий на подписание тех или иных документов, рекомендуется запросить доверенность, в которой будут изложены полномочия сотрудника;
• Существуют риски при использования сертификата на сотрудника для автоматического проставления ЭП.

Перспективы:

• Ранее срок действия квалифицированных сертификатов на сотрудников был определен датой 31 декабря 2022 года. К этому времени ожидался повсеместный запуск механизма использования МЧД в правоотношениях B2G, B2B;
• В связи с переносом срока обязательного применения МЧД на 1 сентября 2023 года в случае использования сертификатов, выданных на доверенное лицо, сроки выдачи АУЦ КЭП на сотрудников и сроки действия таких сертификатов также будут продлены и ограничены этой датой;
• Ожидается, что начиная с 1 сентября 2023 года квалифицированные сертификаты на сотрудников (ЭЦП сотрудника) с указанием в сертификате реквизитов организации более не будут применяться.

3. Квалифицированный сертификат ЭП выдан на физическое лицо

Особенности:

• Состав сертификата, выданного на физическое лицо не содержит указания на организацию. Все данные принадлежат только физическому лицу:
  
• Если сотрудник использует собственный сертификат для выполнения рабочих задач, то его обычно оплачивает работодатель (компенсирует стоимость). В остальных случаях сотрудник оплачивает самостоятельно;
• Сертификат можно получить в АУЦ, список которых размещается на сайте Минцифры.

Риски:

• Использование сотрудником собственного сертификата в комбинации с МЧД для целей организации может предполагать необходимость использовать такой сертификат для автоматического формирования подписи. В этом случае существует риск компрометации ключа для физического лица;
• Выпуск, перевыпуск, отзыв КЭП полностью контролируются сотрудником и для организации существуют риски остаться в какой-то момент без возможности подписать документы или выполнить другие действия из-за отсутствия действующего сертификата;
• Необходимо помнить, что сертификат позволяет осуществить юридически значимые действия в отношении имущества физического лица (например, подписать договор купли продажи личного имущества), а также принять на себя обязательства (подписать кредитный договор и т.п.).

Перспективы:

• Поскольку в сертификате нет указания на юридическое лицо (ИП), то такой сертификат может быть использован как самим физлицом для личных целей, так и совместно с машиночитаемой доверенностью. Представлять интересы доверителя можно в соответствии с полномочиями, указанными в МЧД;
• Важно различать типы сертификатов и их назначение;
• Есть возможность получения квалифицированных и неквалифицированных сертификатов с облачным размещением закрытой части ключа (в специальной ячейке на стороне удостоверяющего центра) и идентификацией через Госуслуги.

2. Использование ЭП сотрудника для КЭДО и внутреннего ЭДО

В этом случае ключи и сертификаты выпускаются на физическое лицо.

Если организация планирует перейти на ведение кадрового документооборота в электронном виде (КЭДО), прежде всего, нужно будет решить несколько вопросов. Посмотрим, что в результате может получиться:

1. В какой системе (среде) будет осуществляться документооборот.

Вариант 1:

• Типовые возможности существующих программ учета.

Возможности и ограничения:

• использовать типовое решение можно без дополнительных затрат;
• в организации могут быть ограничения по доступу в программу кадрового учета для всех сотрудников.

Что нужно сделать: анализ решений по организации кадрового ЭДО и выбрать оптимальное.

Вариант 2:

• Отдельное решение интегрированное с системой кадрового учета, позволяющее использовать личные кабинеты сотрудников.

Возможности и ограничения:

• можно адаптировать решение «под себя»;
• дополнительные затраты на интеграцию.

Что нужно сделать: анализ решений по организации кадрового ЭДО и выбрать оптимальное.

2. Определиться с видом электронной подписи.

Вариант 1:

• Простая электронная подпись (ПЭП).

Ограничение: при использовании ПЭП существует ряд ограничений при подписании документов и придания им юридической значимости.

Что нужно сделать: необходим анализ возможности использования того или иного вида ЭП.

Вариант 2:

• Усиленная электронная подпись: квалифицированная, неквалифицированная (УКЭП, УНЭП).

Ограничение: усиленные сертификаты ЭП создаются с участием Удостоверяющего Центра.

Что нужно сделать: необходим анализ возможности использования того или иного вида ЭП.

Калькулятор стоимости внедрения КЭДО. Скидки 50% на WA:Личный кабинет сотрудника

3. Какой тип хранения ключей ЭП будет использоваться.

Вариант 1:

• Ключи будут храниться на физической носителе (токене, флешке).

Возможности и ограничения:

• может быть ограничение на использование usb носителей в связи с информационной безопасностью, а хранение иным способом (в реестре на компьютере владельца) может привести к компрометации ключа;
• у части сотрудников по роду деятельности нет компьютера на рабочем месте;
• есть возможность использовать ключи для взаимодействия владельца от своего имени для внутреннего и кадрового ЭДО;
• есть возможность использовать ключи для взаимодействия владельца от своего имени для других юридически значимых действий, если они не содержат ограничений по виду ЭП.

Что нужно сделать: При использовании «железных» сертификатов необходимо настроить рабочее место сотрудника, установить программы криптозащиты информации для создания файла подписи. Дополнительные расходы и администрирование.

Вариант 2:

• Хранение ключей будет в облачном хранилище УЦ ФНС.

Ограничение: хранение ключей в облаке может ограничить их применение только в той системе, с которой выполнена интеграция.

Что нужно сделать: необходима интеграция с облаком УЦ и использование второго фактора для подтверждения (программы myDSS или кода из СМС). Возможны дополнительные затраты.

4. Определиться, где и по какой схеме сотрудники будут получать ключи для создания подписи.

Вариант 1:

• Самостоятельно в любом коммерческом УЦ.

Возможности и ограничения:

• временные трудопотери для посещения точки выдачи УЦ;
• стоимость сертификата.

Что нужно сделать:

• необходим анализ для выбора УЦ;
• выбор интегратора для реализации использования облачных сертификатов в типовых решениях в учетных системах, а также для автоматизации формирования запросов для выпуска ЭП.

Вариант 2:

• Централизованно с использованием инструментов интеграции с ресурсами выбранного УЦ (т.е. через корпоративный центр регистрации – КЦР).

Возможности и ограничения:

• схема формирования запросов на выпуск сертификатов предусматривает минимальные трудозатраты сотрудников;
• стоимость облачных сертификатов ключей ЭП значительно ниже «железных»;
• интеграция с УЦ может сопровождаться ежегодными затратами на использование ресурсов КЦР (лицензии);
• первичные затраты на интеграцию.

Что нужно сделать:

• необходим анализ для выбора УЦ;
• выбор интегратора для реализации использования облачных сертификатов в типовых решениях в учетных системах, а также для автоматизации формирования запросов для выпуска ЭП.

В завершении хочется отметить, что без делегирования полномочий невозможно будет успешно вести бизнес. И сотрудники, осуществляя доверенные действия, помогут успешно решать поставленные задачи. Главное, используя новые инструменты, хорошо понимать границы ответственности и риски.