Правила використання електронного підпису визначаються Законом України «Про електронні довірчі послуги». Він набрав чинності 7 листопада 2018 року. З цього моменту втратив чинність Закон «Про електронний цифровий підпис» 2003 року.

Багато хто продовжує використовувати термін «електронний цифровий підпис», оскільки вони звикли до цього формулювання, але в чинному законодавстві такого поняття немає. Новим законом було введено термін «кваліфікований електронний підпис» (далі КЕП). Основною метою нового Закону була гармонізація українського законодавства з європейським. Були затверджені нові формати даних, а також прийнято низку підзаконних актів, підвищені вимоги до безпеки

Христина Венгриняк, координаторка підкомітету з питань ЕДО та електронних довірчих послуг ІКТ комітету СУП

Для того, щоб отримати КЕП вперше, необхідно особисто з’явитися до кваліфікованого постачальника і пройти процедуру ідентифікації. Якщо ж електронний підпис у вас вже є, він ще чинний, а ваші дані, які містяться в КЕП не змінювалися, новий електронний підпис можна отримати дистанційно. Новий закон не скасував підписи, видані до його прийняття. Проте, термін їх дії обмежений двома роками, тож на початку листопада 2020 року останні старі електронні підписи в будь-якому випадку втратять чинність і доведеться міняти їх на нові КЕП.

Тепер перейдемо до питань, які найбільш часто задають представники бізнесу. Відповідає Христина Венгриняк.

Як перевірити, що людина, яка підписала документ від імені юридичної особи, мала право це робити? Чи може система електронного документообігу перевірити це автоматично?

Що стосується повноважень підписання документів. Закон України про електронні довірчі послуги передбачає презумпцію відповідності КЕП власноручному підпису людини. Повноваження ставити підпис від імені юридичної особи прописуються у відповідному документі: статуті підприємства або довіреності. При отриманні КЕП необхідно пред’явити документи, що підтверджують ваше право підпису.

У деяких системах документообігу є можливість перевіряти повноваження осіб підписувати документи конкретного підприємства. Реалізована вона може бути по-різному. Краще розглянути це на конкретному прикладі. Наприклад, в системі зовнішнього, юридично значущого документообігу Deals, є можливість завантажувати в програму копії документів, що підтверджують права підпису. І коли контрагент отримає на підпис файл, він зможе подивитися в системі, на якій підставі (статут або довіреність) був підписаний цей документ співробітником іншого боку. Крім того, система автоматично звіряє код організації, від імені якої підписується документ, з кодом, зазначеним у сертифікаті підписанта. І якщо дані не збігаються, система не дасть підписати документ.

Як виглядає підписаний документ і чим він відрізняється від непідписаного?

Сам документ нічим не відрізняється. Це той же файл, який вийшов в результаті узгодження його з двох сторін. Якщо відкрити його в системі документообігу, на ньому з’являться дані про підписи. Буде стояти позначка часу, яка свідчить про те, що документ не змінювався, а також дані про те, ким і коли він підписаний.

Як перевірити, що електронний документ підписаний правильно, без порушень?

Для перевірки документа необхідно вивантажити його з системи і зайти на сторінку перевірки КЕП сайту Міністерства цифрової трансформації. Після чого у вікні браузера завантажити файли самого документа і підпису до нього. На екрані з’явиться вичерпна інформація про результати перевірки підпису і цілісності даних.

З різних систем електронного документообігу приходять різні файли. Це може бути один PDF або три файли – PDF і два інших, буває ще просто один архівний ZIP файл. Як правильно?

Різні системи документообігу практикують різні підходи. Зараз існують два варіанти формування підписаного документа. У першому випадку сам документ і підписи до нього упаковуються в один PDF контейнер. Якщо є бажання, його теж можна перевірити на сайті Мінцифри. Мінус такого підходу в тому, що документ повинен бути сформований виключно в форматі PDF.

У разі, якщо ви хочете підписати документ у форматі Word, зберегти в ньому файл з підписом неможливо. Тому формуються окремі файли: документа і підписів до нього. Щоб вони зберігалися разом, створюється ZIP архів.

Таким чином, з різних систем документообігу вам може приходити як один PDF з упакованими в нього підписами, або файл документа і два підписи до нього окремо, або ж ZIP. З точки зору українського законодавства ці підходи однаково легітимні.

Що таке мітка часу, навіщо вона і як її перевірити?

Електронна мітка часу є обов’язковим реквізитом при підписанні електронного документа КЕП. Вона потрібна для фіксації точного часу створення документа і гарантує, що в певний момент документ був зафіксований і був справжнім. Коли ви підписуєте документ, система електронного документообігу відправляє запит туди, де був отриманий КЕП. Там дані приватного ключа звіряються з даними сертифіката, що зберігається у суб’єкта надання електронних довірчих послуг. Тільки після цього формується електронна мітка часу. Важливо, щоб мітка формувалася саме таким чином. Бувають випадки, коли вона формується на сервері самої компанії. Це неприпустимо, тому що в подібному випадку документ не матиме юридичної сили.

Що таке сертифікат і для чого він потрібен?

КЕП складається з особистого ключа та сертифіката відкритого ключа. На відміну від особистого ключа, сертифікат — це відкритий електронний документ, який містить інформацію про власника електронного підпису. В процесі підписання документа сертифікат завіряється тим суб’єктом надання електронних довірчих послуг, який видав КЕП. Копії сертифікатів зберігаються у відповідного суб’єкта. Саме за допомогою сертифіката відбувається перевірка даних про людину, що підписує документ особистим ключем. Без сертифіката система документообігу не може перевірити дані про те, що ви підписали документ саме своїм ключем. В законі та підзаконних актах чітко визначено, яка інформація про юридичну або фізичну особу повинна міститися в сертифікаті.

Чому електронний підпис видають на обмежений термін?

КЕП видається на термін не більше двох років. Цей термін обмежений з міркувань кібербезпеки. Вважається, що через два роки КЕП потенційно можна зламати.

Якщо співробітник з правом підпису і КЕП компанії звільнився, чи може він продовжувати підписувати документи до закінчення терміну дії електронного підпису?

Теоретично так. І керівники компаній обов’язково повинні пам’ятати про це, щоб уникнути негативних наслідків. При отриманні КЕП новим співробітником, підпис працівника, який звільняється підписанта необхідно анулювати. На підприємстві повинен бути розроблений чіткий регламент видачі та анулювання КЕП в разі прийняття на роботу, звільнення або переведення на іншу посаду співробітників з правом підпису документів. Пункт про необхідність анулювання КЕП потрібно включити в обхідний лист компанії при звільненні співробітника. Порядок анулювання електронного підпису регулюється законом і зробити це можна в найкоротші терміни.

📱 Читайте Na chasi у Facebook і Twitter, підписуйтесь на канал у Telegram.