В соответствии со ст. 5 Федерального закона № 63-ФЗ от 06.04.2011 г. электронная подпись может быть 3-х видов: простая, усиленная неквалифицированная и усиленная квалифицированная. УКЭП полностью заменяют собственноручную подпись, и может использоваться для подписания почти всех кадровых и иных документов как во внутреннем, так и внешнем электронном документообороте. УНЭП подходит не для всех документов внутреннего ЭДО, но при наличии соглашения с определением условий признания такой электронной подписи равнозначной собственноручной подписи она получает юридическую силу, т.е. можно применять во внутреннем документообороте и при обмене документами с контрагентами.
Читайте, что такое простая электронная подпись, какие формы (виды) она имеет и есть ли какие-то рабочие процессы, где её можно использовать, как применять ее в ЭДО.
Определение
Простая электронная подпись (ПЭП) – электронная подпись, подтверждающая факт формирования электронной подписи посредством одноразовых кодов, паролей и иных ключей электронной подписи.
Ключ электронной подписи – уникальная последовательность символов (букв, цифр, знаков, специальных символов), предназначенная для создания электронной подписи.
Простую электронную подпись можно выпускать для рядовых сотрудников, подключенных к модулю “Добыто. КЭДО”.
Суть и назначение простой электронной подписи
Любая электронная подпись предназначена для замены подписи собственноручной с целью подтверждения какого-либо факта – отправки запроса на выписку, ознакомление с документом, согласие на определенные действия или условия и т.д. Т.е. при подписании документа посредством ЭП в случаях, определенных законодательством, можно говорить о равнозначности данного процесса в ЭДО подписания бумажного документа собственноручной подписью. Это справедливо для усиленной электронной подписи (квалифицированной или неквалифицированной), где методом криптографического шифрования создается уникальная последовательность символов, связанная как с владельцем ЭП, так и с конкретным документом.
Простыми словами, усиленная ЭП указывает на лицо, подписавшее электронный документ, и на сам документ, чтобы можно было выявить факт внесения в него изменений уже после подписания. Эта последовательность «прикрепляется» к электронному документу. Что касается простой электронной подписи, то определения, данные в ФЗ-63, приводят к путанице, и трудно понять, что же она собой представляет. «Размытая» информация, множество трактовок лишь усугубляют проблему.
Действительно, как логин и пароль могут «подписывать» документ – например, как эта комбинация может использоваться сотрудниками для подтверждения факта знакомства с приказом или иным локальным нормативным актом?
Для начала нужно дать более понятное определение простой электронной подписи. ПЭП – это электронная подпись, в которой комбинация открытого и закрытого ключа ЭП позволяет идентифицировать человека, подписывающего документ в электронном виде. Помимо прочего, работники компании могут оформить ее при получении доступа к системе модулю “Добыто. КЭДО”.
Если на корпоративную почту приходит электронное письмо сотруднику, и в отдельном ЛНА определено, что адрес отправителя является ПЭП, то считается, что вложение в письмо является подписанным ПЭП. Если сотрудник отвечает на письмо, например, текстом «Ознакомлен» и отправляет ответ отправителю, то при условии, что такой подход изначально определен в соглашении, документ, т.е. вложение к письму будет считаться подписанным, где ПЭП будет выступать e-mail отправителя и получателя.
На практике указанный выше способ практически не применяется, поскольку при ведении электронного документооборота в организации, как правило, используются соответствующие информационные системы (ИС), в которых почти всегда есть функция выпуска и использования простой электронной подписи. Например, сотруднику в ИС приходит уведомление о новом документе на ознакомление. Сотрудник, как зарегистрированный в ИС пользователь, открывает электронный документ на рабочем месте (за рабочим компьютером, в мобильном приложении ИС).
Для подписания электронного документа с помощью простой электронной подписи в информационной систем достаточно будет нажать соответствующую кнопку («Подписать»). К документу в системе прикрепляется соответствующая информация (последовательность символов, указывающая, что конкретный пользователь в своем личном кабинете ознакомился с документом и подтвердил факт ознакомления посредством нажатия кнопки «Подписать» в определенную дату и время). Такая информация называется идентификатором – уникальным набором символов, соответствующих конкретному документу и лицу (лицам), его подписавшему.
Разновидности ПЭП
Выделяют 2 вида простой электронной подписи:
- добавляемая непосредственно в сам документ;
- генерируемая в информационной системе, в которой осуществляется электронный документооборот;
Оба варианта работы доступны при использовании системы кадрового электронного документооборота “Добыто. КЭДО”.
Примеры ПЭП
Примеры простой электронной подписи, добавляемой в электронный документ:
- Функция в Microsoft Word для подтверждения авторства документа.
- Корпоративная электронная почта – при получении письма e-mail выступает в качестве идентификатора отправителя, и может считаться подписью.
- Уникальный набор символов или цифр, генерируемый в стороннем приложении, в том числе в модуле “Добыто. КЭДО” – например, в документе указан цифровой код, пользователь для подписи вводит этот код в специальное приложение, которое генерирует число-ответ, и указывает это число в документе (приложении к документу).
Примеры простой электронной подписи, генерируемой в информационной системе:
- Логин, пароль и СМС, код в мессенджере – для подтверждения подписи пользователь нажимает кнопку в форме в информационной системе («Согласен», «Подписать» и пр.), после чего на номер мобильного телефона приходит одноразовый пароль. Введение пароля в форму в системе – факт подписания электронного документа.
- Логин и пароль в информационной системе с предварительным получением ПЭП в этой ИС – пользователь регистрируется в системе, проходит идентификацию установленным способом (по номеру телефона, отправка сканов документов и пр.), после чего в этой ИС для него генерируется ПЭП. Далее при подписании документов уже не потребуется вводить коды из СМС – достаточно будет нажать на соответствующую кнопку в этой системе.
Что считать простой электронной подписью в компании? Работодатель устанавливает это в отдельном локальном нормативном акте, с которым должны будут ознакомиться сотрудники. Чаще всего в информационных системах используется трехфакторная аутентификация при подписании электронных документов: логин, пароль и одноразовый код из СМС. Такой функционал доступен в модуле “Добыто. КЭДО”.
Простая электронная подпись в кадровом ЭДО
В соответствии с 377-ФЗ работодателю запрещено использовать ПЭП. Сотрудники компании могут подписывать кадровые документы простой электронной подписью, но есть исключения:
- Трудовой договор.
- Договор о материальной ответственности.
- Ученический договор и договор на получение образования с отрывом от работы или без отрыва.
- Приказ о дисциплинарном взыскании.
- Заявление об увольнении и отзыв этого заявления.
- Согласие на перевод.
В остальных случаях сотрудник имеет право использовать ПЭП, но только при одновременном выполнении следующих условий:
- Применение простой электронной подписи, случаи, когда её можно применять, и юридическая сила такой ЭП определены в локальном нормативном акте – изданном, и с которым сотрудники ознакомлены под подпись.
- Между сторонами документооборота заключено соглашение о признании простой электронной подписи.
Удобно использовать ПЭП для подтверждения факта ознакомления с какими-либо кадровыми документами, изменениями в проектах документов при совместной работе над ними. такое процессы можно организовать в модуле “Добыто. КЭДО”ю В этом случае сотрудник в системе кадрового электронного документооборота, получив документ, может одним нажатием кнопки подписать его. Не требуется выпуск УНЭП для этого – генерируемые в системе простые электронные подписи бесплатные.
Приказы на отпуска, табели учета рабочего времени, приказы на командировки, расчетные листки и иные кадровые документы сотрудники могут подписывать с помощью ПЭП. Удобство простой ЭП еще и в том, что она не задействуется в юридически значимом документообороте, при согласовании финансовых документов – меньшая защита подписи, но и меньшая ответственность в случае кражи логина, пароля, мобильного телефона, на который приходят СМС с одноразовым кодом.
Мнение эксперта. Соглашение о признании простой электронной подписи желательно оформить в бумажном виде и поставить на нем собственноручные подписи. Устное соглашение (например, согласие 2-х юридических лиц или сотрудника и работодателя) по видеосвязи, при телефонном разговоре недействительно, и никакой юридической силы не имеет.
ПЭП и законодательство
В ст. 9 ФЗ-63 указано, что в локальных нормативных актах и/или соглашениях для признания простой электронной подписи равнозначной собственноручной подписи необходимо указать следующее:
- Правила, позволяющие идентифицировать лицо, подписывающее документ, по его электронной подписи.
- Обязанность лица, создающего и/или использующего ключ электронной подписи, соблюдать его конфиденциальность.
Правила идентификации – это условия, при которых ПЭП выпускается на конкретного сотрудника. Поскольку сотрудник компании уже прошел идентификацию при устройстве на работу, и предъявил все необходимые документы, то можно указать, что простая электронная подпись принадлежит конкретному лицу, если:
- Документ, требующий подписи, отправлен с корпоративной электронной почты конкретного сотрудника (тут адрес электронный почты является простой электронной подписью).
- Для подписания документа в системе КЭДО приходит одноразовый пароль в виде кода в СМС-уведомлении на определенный номер мобильного телефона (как правило, корпоративный, а не личный).
Сотрудник при подписании ЛНА и/или соглашения обязуется никому не сообщать ключ простой электронной подписи. Что это означает на практике? При наличии ключа и определенных условиях (например, на рабочем месте выполнен вход в систему КЭДО) документ может подписать третье лицо.
Мнение эксперта. Часто сотрудники по взаимному согласию подписывают ПЭП кадровые документы друг за друга. Впоследствии возникают ситуации, когда владелец электронной подписи не согласен с теми условиями в документе, который за него подписали, поскольку не ознакомился с ним лично (с тем же графиком отпусков или приказом о командировке), и начинаются внутренние ненужные разбирательства, просьбы со стороны работников и пр. Оспорить собственную ЭП в таком случае будет практически невозможно. Это нужно объяснить всем сотрудникам.
Юридическая значимость
В соглашении и/или ЛНА прописываются условия, когда ПЭП признается сторонам равнозначной собственноручной подписи. Но простая электронная подпись наименее защищенная, поскольку при её выпуске не используются криптографические алгоритмы шифрования информации. Подписать документ за другого сотрудника без его ведома очень легко (пример: оставить без присмотра рабочее место, где ПК с выполненным входом в информационную систему, и мобильный телефон с корпоративным номером).
ПЭП может быть признана равнозначной собственноручной подписи только при условиях, определенных в соглашении и/или локальном нормативном акте – во всех остальных случаях такая электронная подпись юридической силы не имеет. Данные документы работодатель может оформить в модуле “Добыто. КЭДО”.
Мнение эксперта. На практике сотрудники с ПЭП менее защищены, чем те, кто подписывает электронные документы с УНЭП. Простая подпись не позволяет выявить изменения в документе после его подписания, и этим могут воспользоваться недобросовестные работодатели.
«Подводные камни» простой электронной подписи
Преимущества простой электронной подписи очевидны – почти мгновенный выпуск, бесплатное использование (разве что плата за СМС на корпоративные номера), ускорение процесса ознакомления и подписания сотрудниками некоторых кадровых документов. Но у ПЭП есть и «подводные камни», которые можно отнести к недостаткам:
- Отсутствие юридической значимости. В суде документы, подписанные ПЭП, не признаются в качестве доказательства.
- Возможность внесения изменений в уже подписанный документ. В отличие от УНЭП и УКЭП простая электронная подпись не позволяет выявить факт внесения изменений в документ.
Заключение
- Простая электронная подпись подходит для некоторых кадровых документов, которые должны подписывать сотрудники при ведении электронного документооборота в компании: графики отпусков, приказы о командировках и др.
- Нужно учитывать ограниченность использования ПЭП – для юридически значимых документов она не применяется, как не применяется и для документов, защищающих права самих работников или работодателя (трудовой, ученический договор, договор о материальной ответственности и пр.).
- Зачастую в системе кадрового электронного документооборота предусмотрен функционал, позволяющий бесплатно выпускать простые электронные подписи для сотрудников. С помощью ПЭП можно существенно упростить процесс подписания некоторых документов. Главное – четко определить условия, когда простая электронная подпись признается равнозначной собственноручной подписи на бумажном носителе.
Вопросы и ответы
Может ли собственноручная подпись, выполненная на скане или электронном документе посредством устройств ввода (графический планшет и перо), считаться цифровой?
Нет. Хотя такая подпись и будет де-факто максимально приближенной к собственноручной на бумажном носителе, но де-юре в России электронной подписью являться не будет. Использование графического планшета или монитора с возможностью ввода информации посредством цифрового пера позволяют ставить на документах цифровую рукописную подпись (ЦРП), но законодательно применение в РФ ЦРП не закреплено.
Обязательно ли нужно соглашение между работодателем и работником о признании ПЭП?
Да. Обе стороны документооборота должны подписать соглашение, в котором определяются условия признания (непризнания) простой электронной подписи, обязанности лица, подписывающего электронные документы ПЭП.
Допускается ли верификационный платеж в качестве ПЭП?
В соответствии с п. 3 ст. 438 ГК РФ акцепт может выражаться конклюдентными действиями. Верификационный платеж может использоваться в качестве подтверждения номера телефона сотрудника, с которого он впоследствии будет подписывать электронные документы.