Трудовой кодекс РФ, а также профильный федеральный закон позволяют работодателям и сотрудникам использовать электронную подпись для подписания документов. Использование простой и усиленной ЭЦП предусматривает ст.5 Федерального закона от 06.04.2011 № 63-ФЗ «Об электронной подписи».
Разберем 3 базовых вопроса для HR: какие виды подписей бывают, что именно можно подписывать цифровой подписью и какие риски может нести такой способ.
Виды подписей
Закон выделяет простую и усиленную ЭЦП. Простая – посредством кодов, паролей и т.д. подтверждает факт формирования подписи определенным человеком. Эта подпись приравнивается к собственноручной, если это предусмотрено внутренними документами компании или соглашением об электронном взаимодействии. По сути, этих документов вам достаточно, чтобы начать использовать простую ЭЦП в компании, скажем, на базе электронной почты. Для 95% процессов этого будет достаточно, хотя надо понимать, что простая подпись – наименее защищенная.
Усиленная подпись образуется в результате криптографического преобразования информации с использованием ключа (токена). Она разделяется на квалифицированную и неквалифицированную подпись. Квалифицированная – самый надежный вариант, и он автоматически приравнивается к личной подписи. Но у нее должен быть сертификат, выданный аккредитованным удостоверяющим центром. Неквалифицированная подпись надежнее простой, но также приравнивается к личной, если это предусмотрено локальным актом и соглашением. Внедрение, поддержка и обновление таких подписей работодателю может обойтись в крупную сумму, и важно считать затраты и выгоды.
Что можно подписывать с помощью ЭЦП
С использованием усиленной квалифицированной подписи рекомендуем подписывать: трудовые и ученические договоры, договоры о материальной ответственности, соглашения, должностные инструкции, соглашения о расторжении договоров, приказы о приеме и увольнении. Это разрешает делать ТК РФ, и такая подпись исключают возможность изменить документ любым другим лицом. А значит, не будет риска дальнейших спекуляций со стороны работника по содержанию документа.
Остальные кадровые документы можно подписывать и простой, и усиленной подписью. Перечислим 20 главных документов, которые можно подписывать простой ЭЦП.
1. отпуска (ежегодные, дополнительные, за свой счет, учебный): предоставление отпуска, перенос, продление, отзыв из отпуска
2. Замена дополнительного отпуска денежной компенсацией
3. Формирование графика отпусков – учет пожеланий работников и получение согласия на деление
4. Оформление донорских дней
5. Оформление любых выходных дней (для ухода за ребенком-инвалидом, родителям и т.д.
6. Ознакомление с графиком отпусков
7. Командировки
8. Привлечение к работе вне рабочего времени (выходные, праздники, сверхурочка)
9. Отчеты о работе.
10. Ознакомление с ЛНА.
11. Привлечение к дисциплинарной ответственности.
12. Ознакомление с приказами по основной деятельности.
13. Согласия на обработку персональных данных.
14. Предупреждение об окончании испытательного срока.
15. Уведомление о сокращении численности (штата) работников
16. Введение простоя
17. Ознакомление с расчетными листками по заработной плате
18. График сменности.
19. Оформление авансовых отчетов
20. Ознакомление с документами по охране труда: инструкции, приказы о возложении
Риски использования электронной подписи
Риски от такого формата взаимодействия по сути отсутствуют. Например, при подписании кадровых документов их в общем-то и нет. Закон такой вид подписи разрешает, а главное – документ электронно подписан обеими сторонами трудовых отношений.
Однако надо помнить о некоторых нюансах в связи с использованием ЭЦП. Прежде всего, это хранение информации. Работодатель обязан локализовать обработку персональных данных о работниках. Т.е. базы данных должны находиться в нашей стране. Это серьезная норма, нарушение которой грозит серьезными последствиями: - штраф на должностное лицо до 200 тыс. рублей, на компанию – до 6 млн. рублей (ч. 8 ст. 13.11 КоАП РФ). Повторное нарушение приведет к еще большему штрафу – до 800 тыс. и до 18 млн. рублей соответственно.
Кроме того, при трансграничной передаче данных компания должна убедиться в том, что это государство обеспечивает защиту информации должным образом. Как это определить? Государство будет вне зоны риска, если оно ратифицировало Конвенцию о защите прав физических лиц при автоматизированной обработке персональных данных от 28.01.1981, ETS N 108. Этот документ на сегодня подписали многие страны, в т.ч. Австрия, Бельгия, Великобритания, Германия, Испания, Италия, Португалия, Финляндия, Швейцария и др. Кроме того, Роскомнадзор утверждает перечень государств, не подписавших Конвенцию, но обеспечивающих необходимую защиту данных (приложение N 1 к Приказу Роскомнадзора от 15.03.2013 N 274). Если страна не обеспечивает должный уровень защиты, передавать данные можно лишь в нескольких случаях: письменное согласие сотрудника, наличие договора между странами, для исполнения договора, для обеспечения защиты и безопасности государства и защиты жизни и здоровья людей.