Практика обеспечения юридической значимости электронного документооборота

Этот проект внедрения СЭД завершился, «как полагается»: Заказчик получил работающую под свои требования систему электронного документооборота и управления взаимодействием, а Исполнитель благодарность, опыт и денежное вознаграждение.

Все складывалось, как нельзя лучше, пока от руководителя проекта Заказчика не пришла копия документа «Приказ о признании СЭД не прошедшей опытную эксплуатацию (далее ОЭ)», который «отменил» действие всех приказов, выпущенных по ходу проекта внедрения системы и возвратил Организацию к ведению делопроизводства в бумажном виде.

Данный результат стал неожиданностью не только для нас, но и большинства представителей Заказчика, с кем мы взаимодействовали на протяжении всего проекта. Что же все-таки произошло Об этом и расскажем далее.

Итак, всему виной стала служебная записка, выпущенная правовым департаментом Заказчика. Основная претензия: отсутствие правовой значимости электронно-цифровой подписи, обеспечиваемой внутренним удостоверяющим центром Заказчика. В данной ситуации нам не оставалось ничего другого, как «бороться за Истину»: и возвращать Заказчика к использованию нашей системы при его, отметим (!), непосредственном желании и заинтересованности.

Результаты переписки и нескольких встреч с анализом замечаний Заказчика и нашими ответами / предложениями систематизированы и обобщены ниже.

Отсутствие сертификата ключа подписи, выданного в установленном федеральном законе (далее ФЗ) «Об электронной цифровой подписи (далее ЭЦП)» порядке, что не делает ЭЦП равнозначной собственноручной подписи.

Ответ:

• Чтобы придать ЭЦП юридическую силу внутри компании, необходимо разработать Положение об электронном документообороте и ввести его в действие, ознакомить сотрудников. В нем прописать порядок выдачи и использования сертификатов и функции удостоверяющего центра. Это было сделано в ходе внедрения. А также был предложен план по легализации внутреннего удостоверяющего центра (далее УЦ) (см. далее).
• При необходимости работы с внешними юридическими, физическими лицами или государственными органами необходимо заключать соответствующие соглашения, возможно потребуется использовать сертифицированный удостоверяющий центр.
• Выдачу и обслуживание сертификатов можно отдать на аутсорсинг. В России действует более 300 удостоверяющих центров, предоставляющих такие услуги. Адреса УЦ можно посмотреть на Портале доверенных услуг.
• Идентифицировать владельца сертификата можно по сведениям сертификата в каждой цифровой подписи.

ЭЦП не позволяет идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронных документах.

Ответ:

• ЭЦП выдается персонально. Идентифицировать владельца сертификата можно по сведениям сертификата в каждой цифровой подписи.
• Чтобы гарантировать, что подписант (автор ЭЦП) и есть то лицо, фамилия, имя, должность которого значатся в сертификате, необходимо, чтобы доступ к носителю с закрытым ключом имел только его владелец. Это организационно-техническая задача, которая должна решаться комплексно. Недопустима практика передачи, например, руководителем своих сертификатов главбуху, секретарю  и т.п. (разбор реального примера судебной практики)
• С технической точки зрения, например, ключ может храниться на компьютере, но доступ к нему будет осуществляться только по паролю (аутентификация доступа к компьютеру и СЭД). Существуют способы, еще больше повышающие защиту ЭЦП, например, помещение закрытого ключа на выделенный носитель (смарт-карта или e-Token).
• Технология ассиметричного криптопреобразования, используемая в ЭЦП DIRECTUM, позволяет однозначно установить авторство подписи и гарантировать неизменность документа.

Отсутствие удостоверяющего центра в виде, предусмотренном ФЗ, что не позволяет обеспечить легальность сертификатов ключей подписей, подтвердить подлинность ЭЦП, определить ответственного за убытки.

Ответ:

• Сертификаты издает удостоверяющий центр (далее - УЦ). Внутренний УЦ руководствуется положением об удостоверяющем центре и выпускает сертификаты в соответствии с установленной положением процедурой.
• Организованная процедура выдачи сертификата должна включать удостоверение личности обратившегося в УЦ и сверку сведений сертификата с предоставленными документами.
• Владелец сертификата подписывает собственноручной подписью бумажную копию сертификата, тем самым лично заверяя содержащиеся в сертификате сведения.
• Есть независимые, соответствующие ФЗ «Об ЭЦП», УЦ, для внешнего взаимодействия с использованием ЭЦП.

Для усиления правовой значимости внутреннего УЦ, рекомендуем комплексный план мероприятий:

Правовые:

• Определение прав и обязанностей пользователей, ответственных лиц УЦ.
• Приложение с перечнем документов, переводимых в электронный вид.
• Порядок выдачи, замены, отзыва, приостановления и возобновления действия сертификата ключа подписи.
• Положение о досудебном решении споров, связанных с использованием ЭЦП.

Организационно-технические:

• Создание удостоверяющих и регистрационных центров.

Технические:

• Использование аппаратных средств криптозащиты.

Организационные:

• Инструктаж пользователей и закрепление правил приказами по предприятию.

Несоблюдение действующего законодательства РФ (ТК РФ, НК РФ и пр.), а также локальных нормативных актов, согласно которых большинство документов должны содержать собственноручные подписи

Ответ:

• Если законодательство (налоговое, трудовое и т.п.) требует, чтобы документ имел собственноручные подписи, необходимо сохранить его в бумажном виде.
• В системе данное правило было реализовано: либо документ подписывался и в бумажном и в электронном виде; либо, задание на электронное подписание не создавалось.
• Выгоды использования системы даже в этом случае: на этапе разработки и согласования гораздо удобнее пользоваться электронной версией, протоколирование всех действий в системе, упрощается контроль согласования и исполнения, снижаются утери, осуществляется систематизация и архивное хранение.
• Внедрение системы может потребовать ревизии внутрикорпоративных регламентов: стоит ввести понятие «электронный образ документа» и оценить, какие документы можно перевести в электронный вид, а какие все же лучше оставить в бумажном виде.

Практика согласования и/или визирования электронных документов «за отсутствующих» при отсутствии соответствующего приказа не соответствует требованиям трудового законодательства РФ (ст.ст. 60.2, 151 ТКРФ).

Ответ:

• Ст.60.2 требует наличия письменного согласия работника на выполнение дополнительной работы, ст. 151 предусматривает оплату дополнительной работы, по соглашению сторон. Ни одно из этих требований неприменимо к системе.
• Правила использования механизма замещения прописывается в локальных нормативных документах в случае, если проектных решений и инструкций не достаточно.
• Замещающий в СЭД должен ставить только свою ЭЦП на документ (практика передачи недопустима – см. выше).

Итоги

Основной вывод, сделанный нами и доведенный до Заказчика, заключался в том, что аргументы приказа об отказе от использования системы касаются не конкретной системы, а принципов применения электронного документооборота в организации.

В итоге наших совместных совещаний с Заказчиком ситуацию удалось успешно разрешить: система будет и дальше приносить пользу Организации, пусть и в несколько этапов, описание которых приводим далее:

Приостановление действия приказа о признании системы не прошедшей опытную эксплуатацию (ОЭ) / выпуск приказа о продлении ОЭ.

Проведение Заказчиком внутреннего расследования с последующей реализацией по следующим вопросам:

• Изменения процессов в системе;
• Изменения регламентов;
• Изменения инструкций по процессам;
• Необходимость мероприятий по легализации УЦ;
• Необходимость привлечения внешних консультантов. 

Проведение опытной эксплуатации (ОЭ) по следующим процессам (внутренним документам, не требующим собственноручной подписи):

• Входящие (все документы);
• Исходящие (все документы);
• Служебные записки (по определенным видам, не требующим использование ЭЦП);
• Приказы и Распоряжения по ОД (все документы).

Промышленная эксплуатация системы и ее развитие:

• легализация внутреннего УЦ Заказчика по предложенному плану мероприятий;
• формирование внешнего УЦ для целей ведения в системе документов, где необходима «живая» подпись и ее упразднением;
• запуск в ОЭ приостановленных в использовании видов документов и процесса «Управление договорными документами» с применением сертификатов внутреннего удостоверяющего центра, а также с использованием сертифицированных внешних (с контрагентами и/или государственными органами) центров.

И вот теперь, наконец, можно с уверенностью сказать:

"Этот проект внедрения СЭД завершился, «как полагается»: Заказчик получил работающую под свои требования систему электронного документооборота и управления взаимодействием."

Оригинал записии  опубликован на DIRECTUM CLub.