20 кадровых процедур, которые можно подписать ЭЦП, и о каких рисках надо помнить

Разберем 3 базовых вопроса для HR: какие виды подписей бывают, что именно можно подписывать цифровой подписью и какие риски может нести такой способ.

Закон выделяет простую и усиленную ЭЦП. Простая – посредством кодов, паролей и т.д. подтверждает факт формирования подписи определенным человеком. Эта подпись приравнивается к собственноручной, если это предусмотрено внутренними документами компании или соглашением об электронном взаимодействии. По сути, этих документов вам достаточно, чтобы начать использовать простую ЭЦП в компании, скажем, на базе электронной почты. Для 95% процессов этого будет достаточно, хотя надо понимать, что простая подпись – наименее защищенная.

Усиленная подпись образуется в результате криптографического преобразования информации с использованием ключа (токена). Она разделяется на квалифицированную и неквалифицированную подпись. Квалифицированная – самый надежный вариант, и он автоматически приравнивается к личной подписи. Но у нее должен быть сертификат, выданный аккредитованным удостоверяющим центром. Неквалифицированная подпись надежнее простой, но также приравнивается к личной, если это предусмотрено локальным актом и соглашением. Внедрение, поддержка и обновление таких подписей работодателю может обойтись в крупную сумму, и важно считать затраты и выгоды.

С использованием усиленной квалифицированной подписи рекомендуем подписывать: трудовые и ученические договоры, договоры о материальной ответственности, соглашения, должностные инструкции, соглашения о расторжении договоров, приказы о приеме и увольнении. Это разрешает делать ТК РФ, и такая подпись исключают возможность изменить документ любым другим лицом. А значит, не будет риска дальнейших спекуляций со стороны работника по содержанию документа.

Остальные кадровые документы можно подписывать и простой, и усиленной подписью. Перечислим 20 главных документов, которые можно подписывать простой ЭЦП.

1. отпуска (ежегодные, дополнительные, за свой счет, учебный): предоставление отпуска, перенос, продление, отзыв из отпуска

2. Замена дополнительного отпуска денежной компенсацией

3. Формирование графика отпусков – учет пожеланий работников и получение согласия на деление

4. Оформление донорских дней

5. Оформление любых выходных дней (для ухода за ребенком-инвалидом, родителям и т.д.

6. Ознакомление с графиком отпусков

7. Командировки

8. Привлечение к работе вне рабочего времени (выходные, праздники, сверхурочка)

9. Отчеты о работе.

10. Ознакомление с ЛНА.

11. Привлечение к дисциплинарной ответственности.

12. Ознакомление с приказами по основной деятельности.

13. Согласия на обработку персональных данных.

14. Предупреждение об окончании испытательного срока.

15. Уведомление о сокращении численности (штата) работников

16. Введение простоя

17. Ознакомление с расчетными листками по заработной плате

18. График сменности.

19. Оформление авансовых отчетов

20. Ознакомление с документами по охране труда: инструкции, приказы о возложении

Риски от такого формата взаимодействия по сути отсутствуют. Например, при подписании кадровых документов их в общем-то и нет. Закон такой вид подписи разрешает, а главное – документ электронно подписан обеими сторонами трудовых отношений.

Однако надо помнить о некоторых нюансах в связи с использованием ЭЦП. Прежде всего, это хранение информации. Работодатель обязан локализовать обработку персональных данных о работниках. Т.е. базы данных должны находиться в нашей стране. Это серьезная норма, нарушение которой грозит серьезными последствиями: - штраф на должностное лицо до 200 тыс. рублей, на компанию – до 6 млн. рублей (ч. 8 ст. 13.11 КоАП РФ). Повторное нарушение приведет к еще большему штрафу – до 800 тыс. и до 18 млн. рублей соответственно.

Кроме того, при трансграничной передаче данных компания должна убедиться в том, что это государство обеспечивает защиту информации должным образом. Как это определить? Государство будет вне зоны риска, если оно ратифицировало Конвенцию о защите прав физических лиц при автоматизированной обработке персональных данных от 28.01.1981, ETS N 108. Этот документ на сегодня подписали многие страны, в т.ч. Австрия, Бельгия, Великобритания, Германия, Испания, Италия, Португалия, Финляндия, Швейцария и др. Кроме того, Роскомнадзор утверждает перечень государств, не подписавших Конвенцию, но обеспечивающих необходимую защиту данных (приложение N 1 к Приказу Роскомнадзора от 15.03.2013 N 274). Если страна не обеспечивает должный уровень защиты, передавать данные можно лишь в нескольких случаях: письменное согласие сотрудника, наличие договора между странами, для исполнения договора, для обеспечения защиты и безопасности государства и защиты жизни и здоровья людей.