Електронний кваліфікований підпис давно перестав бути інструментом лише для юристів, бухгалтерів чи держслужбовців. Зараз він дедалі частіше з’являється в повсякденних ситуаціях ‒ від податкової звітності до звернень до державних органів та підписання документів на відстані. Водночас для багатьох залишається відкритим питання, які правові наслідки має його використання і де проходить межа відповідальності власника.
Для того, щоб розібратися у правовій природі електронного кваліфікованого підпису, його можливостях і ризиках, наша редакція звернулася за коментарями до юристів адвокатського об’єднання «Репешко і партнери». Фахівці пояснили загальні підходи законодавства до КЕП, звернули увагу на ключові аспекти користування ним та окреслили, на що варто звернути увагу громадянам під час електронного документообігу.
Цифровізація все більше входить в наше життя, й наразі буденними є речі, про існування яких ще якихось років п’ятнадцять тому й не здогадувався. Наразі щоб скористатися цифровими сервісами або е-документообігом, вам треба мати електронний підпис. Це не аби як полегшує не тільки комунікацію з офіційними установами, але й життя загалом. Чимало пересічних українців вважають отримання електронного підпису складним та незрозумілим процесом. Насправді це не так важко. Кваліфікований електронний підпис (КЕП) — те, що раніше називали ЕЦП (Електронний цифровий підпис), можна отримати абсолютно безкоштовно. Це доступно в онлайн і в офлайн.
Електронний цифровий підпис (або скорочено – ЕЦП) за правовим статусом прирівняний до власноручного підпису або печатки. Тобто кожен громадянин може мати власник ЕЦП/КЕП. Він представляє собою дані в електронній формі, отримані за результатами криптографічного перетворення. Вони додаються до інших даних або документів і забезпечують їх цілісність та ідентифікацію автора.
За допомогою послуг ЕЦП можна підписувати електронні документи, користуватися електронними послугами, реєструватися на державних порталах тощо. Документи, підписані за допомогою ЕЦП, мають таку саму юридичну силу, як і звичайні. За чинним законодавством електронний підпис має чітке визначення. Йдеться про електронні дані, які додаються до інших електронних даних або логічно з ними пов’язуються і використовуються підписувачем як підпис. Тобто фактично це цифровий аналог власноручного підпису, який дозволяє підтвердити, хто саме підписав документ, і що його зміст не був змінений після підписання.
Окремо закон визначає поняття кваліфікованого електронного підпису. Це удосконалений електронний підпис, який створюється з використанням спеціального засобу кваліфікованого електронного підпису та базується на кваліфікованому сертифікаті електронного підпису. Саме цей різновид підпису має найвищий рівень довіри і повну юридичну силу, прирівняну до власноручного підпису або печатки. Таким чином, законодавство оперує двома назвами електронного підпису, які важливо розрізняти, адже вони не є тотожними за своїм технічним і правовим наповненням.
Окрім цього, у сфері електронного підпису варто розмежовувати ще два поняття ‒ надавача електронних довірчих послуг та надавача послуг електронної ідентифікації.
Надавач електронних довірчих послуг безпосередньо працює з електронними підписами та печатками. Саме він створює і перевіряє електронні підписи, видає сертифікати для них, а також забезпечує фіксацію часу накладення підпису. До таких надавачів, зокрема, належать сервіси, які видають ключі Дія.Підпис або надають відповідні послуги через банки, зокрема ПриватБанк. Фактично це ті суб’єкти, які формують і видають електронний підпис як інструмент.
Надавач послуг електронної ідентифікації виконує іншу функцію. Він використовує спеціальні схеми, наприклад BankID НБУ, для підтвердження того, що користувач дійсно є тією особою, за яку себе видає. Такі надавачі реєструють користувачів і допомагають застосовувати ЕЦП або КЕП для ідентифікації особи та реалізації його можливостей у цифрових сервісах. Тобто йдеться не про створення підпису, а про підтвердження особи, яка цим підписом користується.
Втім користувачі послуг мають певні права та обов’язки, закріплені на рівні законодавства.
Користувачі послуг електронної ідентифікації мають право на:
- отримання послуг електронної ідентифікації;
- вільний вибір засобів електронної ідентифікації з відповідним рівнем довіри для отримання електронних послуг;
- одноосібний контроль над використанням гаманця цифрової ідентифікації та своїх даних;
- вільне використання результатів отриманих послуг електронної ідентифікації з урахуванням обмежень, встановлених законодавством та надавачами послуг електронної ідентифікації;
- оскарження у судовому порядку дій чи бездіяльності надавачів послуг електронної ідентифікації та органів, що здійснюють державне регулювання у сфері електронної ідентифікації;
- відшкодування завданої їм шкоди та захист своїх прав і законних інтересів.
Зазначимо, що користувачі послуг електронної ідентифікації зобов’язані:
- забезпечувати конфіденційність та неможливість несанкціонованого доступу інших осіб до засобу електронної ідентифікації;
- невідкладно повідомляти надавача послуг електронної ідентифікації про підозру або факт компрометації засобу електронної ідентифікації;
- надавати достовірну інформацію, необхідну для отримання послуг електронної ідентифікації;
- своєчасно надавати надавачу послуг електронної ідентифікації інформацію про зміну ідентифікаційних даних, які містить засіб електронної ідентифікації;
- не використовувати засіб електронної ідентифікації у разі його компрометації.
Як бачимо, стеження особи за тим, аби хтось інший не використав її ЕЦП цілком покладається саме на власника ЕЦП. Тому вкрай важливо зберігати ЕЦП окремо від інших документів з умовою, що б ніхто не мав до нього доступу окрім вас. Бо ще раз наголошуємо – документ скріплений ЕЦП прирівнюється до підписаного власноруч.
Ми наполегливо рекомендуємо зберігати ЕЦП або КЕП на окремому флешносії з під’єднанням його до комп’ютера виключно у момент, коли підпис дійсно необхідний. Такий підхід зменшує ризик несанкціонованого доступу та відповідає логіці законодавства, яке покладає відповідальність за безпеку електронного підпису саме на його власника.
Саме з цієї причини закон визначає обов’язки користувачів ЕЦП або КЕП. Зокрема, вони зобов’язані забезпечувати конфіденційність особистого ключа та унеможливлювати доступ до нього інших осіб. Якщо виникає підозра або встановлюється факт компрометації особистого ключа, користувач повинен невідкладно повідомити про це надавача електронних довірчих послуг.
Окрім цього, на користувача покладається обов’язок надавати достовірну інформацію, яка необхідна для отримання електронних довірчих послуг, а також своєчасно здійснювати оплату таких послуг у разі, якщо вона передбачена договором між користувачем і надавачем електронних довірчих послуг.
Також користувач зобов’язаний своєчасно інформувати надавача електронних довірчих послуг про зміну ідентифікаційних даних, що містяться у сертифікаті відкритого ключа. У разі компрометації особистого ключа, а також у випадку скасування або блокування сертифіката відкритого ключа, використання такого ключа є забороненим.
Чому мати ЕЦП важливо? За допомогою даного документа можливо здати податкову звітність чи позовну заяву до суду з будь-якої частини світи, дистанційно вирішити питання в Пенсійному фонді, отримати чи замовити багато витягів з державних реєстрів, необхідних в повсякденному житті та навіть відіслати заяви до офіційних установ так, ніби ви їх подали власноруч.
Як отримати ЕЦП? Це можна зробити як особисто звернувшись до одного з акредитованих центрів сертифікації ключів (АЦСК), перелік яких є на офіційних ресурсах, так й онлайн через безліч сервісів. Так у ПриватБанку, клієнти банку можуть отримати КЕП безоплатно в особистому онлайн кабінеті Приват 24 або звернувшись у відділення. Також цю послугу, між іншим, надають «Ощадбанк» та сайт Дія.
Варто знати, що строк дії сертифікатів ЕЦП, не перевищує два роки. Після закінчення цього терміну, для накладення ЕЦП на документи, необхідно здійснити повторне отримання послуг. Причиною цього є вимоги захисту інформації, які висуваються до засобів, що використовуються для накладення ЕЦП.
Ідентифікація особи, яка звернулася за отриманням послуги формування кваліфікованого сертифіката відкритого ключа, здійснюється в один з таких способів:
1) за особистої присутності фізичної особи, фізичної особи – підприємця – за результатами перевірки відомостей (даних) про особу, отриманими у встановленому законодавством порядку з Єдиного державного демографічного реєстру, за паспортом громадянина України або іншими документами, виданими відповідно до законодавства про Єдиний державний демографічний реєстр та про документи, що посвідчують особу, підтверджують громадянство України чи спеціальний статус особи;
2) віддалено (без особистої присутності особи), з одночасним використанням засобу електронної ідентифікації, що має високий або середній рівень довіри, раніше виданого фізичній особі, фізичній особі – підприємцю чи уповноваженому представнику юридичної особи за особистої присутності, та багатофакторної автентифікації;
3) за ідентифікаційними даними особи, що містяться у кваліфікованому сертифікаті електронного підпису чи печатки, раніше сформованого (сформованої) та виданого (виданої) згідно з пунктом 1 або 2 цієї частини, за умови чинності такого сертифіката;
4) з використанням інших способів ідентифікації, визначених законом, надійність яких є еквівалентною особистій присутності та підтверджена органом з оцінки відповідності.
Окремо хочемо наголосити на тому, що право на отримання ЕЦП або КЕП мають не лише громадяни України. Законодавство передбачає можливість отримання електронного підпису іноземцями та особами без громадянства. У випадках, коли такі особи не мають документів, виданих відповідно до законодавства про Єдиний державний демографічний реєстр або документів, що посвідчують особу, підтверджують громадянство України чи спеціальний статус, їх ідентифікація здійснюється на підставі належним чином легалізованого паспортного документа іноземця або документа, що посвідчує особу без громадянства. Ці документи використовуються для підтвердження особи під час отримання електронного підпису.
Окремі вимоги закон встановлює і під час перевірки цивільної правоздатності. Йдеться, зокрема, про випадки формування кваліфікованого сертифіката електронної печатки або автентифікації веб-сайту, а також про фізичних осіб ‒ підприємців з метою формування відповідного сертифіката. У таких ситуаціях кваліфікований надавач електронних довірчих послуг зобов’язаний використовувати інформацію про фізичну особу ‒ підприємця з Єдиного державного реєстру юридичних осіб, фізичних осіб ‒ підприємців та громадських формувань.
Якщо ж ідеться про іноземну юридичну особу, перевірка здійснюється на підставі відомостей з торговельного, банківського або судового реєстру країни її резидентства. Водночас надавач електронних довірчих послуг повинен пересвідчитися, що обсяг цивільної правоздатності та дієздатності юридичної особи або фізичної особи ‒ підприємця є достатнім для формування та видачі кваліфікованого сертифіката відкритого ключа або для автентифікації веб-сайту.
Перевірити справжність електронного підпису можна досить просто. Для цього передбачена державна онлайн-перевірка, яка дозволяє переконатися, що підпис є дійсним і накладеним належним чином. Такий інструмент особливо корисний у ситуаціях, коли виникають сумніви щодо легітимності отриманого електронного документа.
Щоб скористатися перевіркою, необхідно зайти на офіційний сайт czo.gov.ua/verify, завантажити файл, підписаний електронним підписом, та натиснути кнопку «Перевірити». Після цього сервіс автоматично проаналізує документ і надасть інформацію про те, чи є підпис дійсним, ким саме і коли він був накладений.
Окрім державного сервісу, перевірка електронного підпису доступна також у застосунку «Дія» та на сайтах кваліфікованих надавачів електронних довірчих послуг. Це дає можливість користувачам обрати зручний спосіб перевірки і додатково впевнитися в юридичній силі електронного документа.
Радимо всім ставитися до електронного кваліфікованого підпису так само уважно, як і до власноручного підпису чи печатки. Використання КЕП значно спрощує доступ до державних сервісів і документообігу, однак водночас покладає на користувача повну відповідальність за його збереження та безпечне використання. Важливо дотримуватися вимог законодавства, своєчасно оновлювати сертифікати, контролювати конфіденційність особистого ключа та негайного реагувати у разі підозри на його компрометацію. Усвідомлене і відповідальне користування КЕП дозволяє уникнути правових ризиків і повною мірою скористатися можливостями цифрового середовища.
