Код электронной подписи согласия с обработкой пд что это значит
прочитал вроде несколько раз но так и не понял в чем заключается
«электронная подпись согласия»
для меня электронная подпись это когда я купил
квалифицированный сертификат электронной подписи у одного из аккредитованных удостоверяющих центров
и с генерировал на своем компьютере пару закрытый/открытый ключ
и подписываю этим колючем юридически значимые документы.
а у Вас?
СМС-кой согласие берется?
возможно у меня проблемы с пониманием
по моему чтобы использовать простую электронную подпись нужно это как регламентировать
или какое то соглашение между участниками сторон о том по каким правилам это будет использоваться
Просто в смс-ке не будет текста согласия, а просто сам факт подписи непонятно чего.
а на стороне сервера можно и подделать текст согласия итд итп со всеми вытекающими.
и подписанный КЭП документ думаю подделать невозможно.
ничего личного возможно это моя фантазия…
Вы правы:
1) Использование ПЭП должно быть регламентировано между участниками обмена. Это должно быть зафиксировано на бумаге собственноручными подписями или подписано КЭП (порочный круг :). Не уточнено, как в данном случае реализовано если учесть, что клиент по сути первым подписывает Согласие и до этого никаких соглашений не подписывал.
2) Если договорились подписывать OTP-SMS, то в тексте СМС должна быть или ссылка на подписываемый документ или его реквизиты, позволяющие клиенту однозначно понять, что он подписывает (можно еще весь текст документа, но это сложно реализуемо).
2) Согласен с Вами.
Я об этом сразу подумал после того как отправил коммент.
Клиент должен как то удостовериться что подписывает и то что он подписал сейчас не измениться.
Я думаю в данном случае ПЭП должна соответствовать свойствам КЭП как целостность, авторство, неотказуемость.
Возможно этот вопрос как то и решили.
В общем мало технических деталей в статье.
Процесс между участниками электронного взаимодействия, устанавливающие случаи признания электронных документов, подписанных простой электронной подписью регламентируется соглашением об использовании простой электронной подписи в соответсвии с ФЗ-63 «Об электронной подписи».
Никакого соглашения клиент до «Согласия на обработку ПДн» (как я предполагаю) не подписывал.
Т.е., теперь достаточно сломать только один централизованный сервер, чтобы получить все собранные персональные данные граждан России?
На сегодняшний день сервис позволяет организовать единый реестр сведений о сборе согласий, присваивая уникальный номер (ID) отслеживания статуса по каждому из субъектов персональных данных.
Больше уникальных идентификаторов для бога уникальных идентификаторов. А как же ЕСИА?
Вот с учетом того, что в тексте проскальзывает, что на данный момент обработка ПД не производится в целях рекламы, то есть большое подозрение, что с обработкой персональных данных есть определенные проблемы.
Скорее всего брать согласие на обработку ПД вообще не требуется, а если следовать логике авторов комментариев к европейскому закону, то взятие согласия, когда оно не требуется, само по себе является нарушением.
Вот это само по себе не правильно. В большинстве случаев основанием для законной обработки ПД являются исключения прописанные в законе, при которых брать согласие не требуется.
В большинстве случаев в отношениях организаций с гражданами основанием для обработки ПДн является договор, одной из сторон которого является субъект ПДн. Правда тут есть одно «но», если ПДн передаются третьим лицам (любой другой организации, кроме различных узаконенных передач — в ПФР, в ходе оперативно-розыскной деятельности и тд), то нужно брать согласие, несмотря на исключение. А сейчас очень редко бывает, когда ПДн никуда дальше не передается. В статье конечно корявенько сформулировано, согласен.
Кстати, общепринятое сокращение «персональных данных» это все-таки ПДн, а не ПД. На этом в свое время настояли ФСТЭК России, тк у них сокращение ПД уже занято по ПротивоДействие. Например, ПД ИТР — ПротивоДействие Иностранным Техническим Разведкам. Странно конечно, но уж как есть.
5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
3) обработка персональных данных — любое действие (операция) или совокупность действий (операций),… передачу (распространение, предоставление, доступ), .
Вот из этих двух положений закона следует, что и при передачи третьим лицам исключительно в целях исполнения договора брать согласие не следует.
Дальше в этой же статье:
3. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее — поручение оператора).
Да, написано коряво. И можно подумать, что если есть договор есть, то согласие не нужно в этих случаях. Но практика проверок наших клиентов показала, что наличие договора не отменяет обязательность согласия на передачу третьим лицам. Отменяют только положения других ФЗ.
От того, что есть незаконные требования конкретных региональных отделений РКН, положения закона никак не меняются. Аргументировать в суде придется. Но… Надо поставить 2 вопроса:
1) Если я взял согласие на обработку ПД при наличии договора, а клиент взял и сразу отозвал это согласие. Что мне делать?
2) А если я вообще не знаю, кому буду передавать данные клиента? А это часто встречающаяся ситуация ситуация при агентских договорах. А я в правильном согласии обязан указать всех, кому я буду передавать.
В целом в законе вынесены в исключения все случаи, когда обработка ПД неизбежна и производится в интересах клиента. Аргументацию для суда легко можно получить из европейских разъяснений аналогичного закона. Я не говорю, что надо ссылаться, но они там очень логично все описывают, почему это именно так, а не иначе.
А как Вы доказываете получение согласия, если оно дано не в письменной форме и без использования ЭЦП? Вот, допустим, некто дал согласие через SMS или по уникальной ссылке, а потом заявил, что ничего не давал, РКН требует доказательств, что у Вас реально есть? Только логи собственного сервера? Так Вы можете в них нарисовать что угодно (это не обвинение, а просто констатация факта). Кто практически может выступить независимым и незаинтересованным «арбитром»? Под фактически я подразумеваю, что вопрос не стоит о подрыве госстроя и делом не занимается ФСБ/МВД с выемкой логов у операторов связи на обоих концах.
Согласие дается в форме электронного документа, подписанного простой электронной подписью (ПЭП) в соответствии с ФЗ-63 «Об электронной подписи». Все аспекты взаимоотношения между участниками электронного обмена, которые возникают в связи и в процессе формирования, отправки и получения электронного документа определяются Соглашением об использовании ПЭП.
В соответсвии с ч.1 ст. 8 ФЗ-152 «О персональных данных» согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
Доказывать в суде, что не верблюд. Тут уже оператор ПДн взвешивает риски или получать согласие путем галочки «Я согласен» или обязать своих потенциальных клиентов обзавестись квалифицированной ЭП и тем самым этих клиентов распугать. Обычно выбирают первое, штрафы за отсутствие согласия пока все еще мизерные.
А как Вы отрабатываете ситуацию если идет отказ от подписания?
Откажете в предоставлении услуги?
Является такой отказ правомерным?
Обработка персональных данных в ДомКлик осуществляется с соблюдением принципов и правил, предусмотренных ФЗ-152 «О персональных данных». Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.
По объяснению европейского регулятора фраза: «свободно, своей волей и в своем интересе» означает, что согласие может быть дано или не дано при заключении договора. Если контора отказывается заключить договор без согласия на обработку ПД, тогда считается, что согласие навязано. И вы хоть упишитесь в тексте согласия, что оно дано «свободно».
Электронная подпись, кроме удобства и возможности удаленно работать, таит в себе и риски для владельца стать жертвой мошенников. Чаще всего от этого страдают представители бизнеса. Электронная подпись является аналогом собственноручной подписи человека. Но, в отличие от подделки подписи на бумаге, доказать, что подписью пользовался кто-то другой значительно сложнее.
Что говорит закон
В законе «Об электронной подписи» от 06.04.2011 № 63-ФЗ, в статье 14, указано, что электронная подпись может выдаваться юридическому лицу. Руководитель организации, действующей от ее лица без доверенности, в этом случае является владельцем сертификата ключа проверки электронной подписи, наряду с самим юридическим лицом.
Точно также от имени юрлица можно действовать и по доверенности, и на этого представителя также можно оформить электронную подпись от юрлица. К примеру, по уставу есть единоличный исполнительный орган — генеральный директор. И есть исполнительный директор, он действует по доверенности от генерального. И на него получена электронная подпись, чтобы он мог от лица компании заключать сделки.
Однако в законе толком не урегулирована передача полномочий по электронной подписи другому лицу.
Так, тем же законом (статья 10) неявно предусмотрена возможность передачи ключа подписи другому лицу:
При использовании усиленных квалифицированных электронных подписей участники
электронного взаимодействия обязаны:
1) . не допускать использование принадлежащих им ключей
электронных подписей без их согласия ;
В законе не уточняется, каким образом должно быть выражено это согласие .
На практике это выливается в две ситуации — передача полномочий по доверенности, либо посредством организационно-распорядительного документа.
Кстати говоря, в предыдущем законе об ЭЦП такие действия были прямо запрещены. Правда, от передачи электронной подписи другим лицам это особо не спасало.
При получении электронной подписи удостоверяющий центр обязан установить личность владельца, а если ЭП получают на юрлицо — установить правомочие уполномоченного лица получать ЭП (ст. 18 Закона). Крупные УЦ дорожат репутацией, аккредитацией и тщательно подходят к проверке данных. Поэтому обращаться нужно в те центры, которые уже имеют имя, продолжительный опыт работы и несут реальную ответственность за свою работу.
Некоторые вопросы получения согласия субъекта ПД на их обработку
Когда условие об обработке ПД является неотъемлемой частью подписываемого документа:
- Содержание согласия должно быть конкретным и информированным, то есть включать сведения, позволяющие субъекту ПД однозначно сделать вывод о целях, способах обработки с указанием действий, совершаемых с персональными данными, объеме обрабатываемых персональных данных. Законом о персональных данных установлены требования к форме такого согласия (которые разберем ниже).
- Документ должен предусматривать возможность отказа от данного условия, поскольку согласие добровольное.
Получатель жилищной субсидии не дает согласия на обработку персональных данных по религиозным соображениям. Имеет ли он право на получение госуслуги?
Когда обработка персональных данных необходима для предоставления государственной или муниципальной услуги в соответствии с Законом о госуслугах[4], для обеспечения предоставления такой услуги, для регистрации субъекта ПД на едином портале государственных и муниципальных услуг, согласие субъекта ПД на обработку указанной информации не требуется.
Статьей 6 Закона о персональных данных определены условия обработки персональных данных, в том числе указаны случаи, когда допускается обработка ПД без согласия на это субъекта ПД, среди которых и получение госуслуги. Из буквального толкования названной нормы следует, что каждый из таких случаев является самостоятельным основанием обработки персональных данных.
Обращаясь с заявлением о предоставлении жилищной субсидии и указывая в нем необходимые данные, а также прилагая к нему предусмотренные законодательством документы, получатель госуслуг фактически выражает согласие на передачу и обработку своих персональных данных, требуемых для предоставления услуги.
Ни Законом о персональных данных, ни Законом о госуслугах не установлено, что обработка персональных данных гражданина в целях предоставления ему государственных или муниципальных услуг должна осуществляться только с его письменного согласия. Гражданин имеет право получать госуслуги даже без предоставления письменного заявления на обработку своих персональных данных.
Рассмотрим Апелляционное определение Костромского областного суда от 16.05.2012 по делу № 33-703А. При подаче документов в МФЦ гражданка не стала подписывать заявление о согласии на сбор ее персональных данных, в связи с чем ей было отказано в выплате субсидии. Суд первой инстанции признал действия сотрудников МФЦ правильными, поскольку обработка персональных данных заявителя сотрудниками МФЦ может осуществляться только с письменного согласия. Нежелание дать такое согласие – основание для отказа в приеме заявления и комплекта документов на предоставление государственных и муниципальных услуг.
Вывод суда о том, что МФЦ как оператор персональных данных обязан обеспечить их защиту, соответствовал нормам Закона о персональных данных и Закона о госуслугах. Вместе с тем последующие выводы о невозможности обработки персональных данных без письменного согласия получателя госуслуг и обоснованности отклонения документов на предоставление субсидии апелляционный суд признал ошибочными, поскольку заявление о предоставлении госуслуги с приложенными к нему документами получатель не отзывал, от предоставления услуги не отказывался. А отзыв заявления о согласии на обработку персональных данных, получение которого в силу закона необязательно, не являлся основанием для невозможности предоставления госуслуги. Тем более что у оператора были основания продолжить обработку персональных данных без согласия субъекта ПД.
Субъект ПД уклоняется от исполнения договора (не платит по счетам) и не хочет, чтобы кредитор беспокоил его звонками. Может ли субъект отозвать согласие на обработку своих персональных данных?
Обработка персональных данных может быть продолжена даже после того, как субъект ПД направил требование о ее прекращении, если правоотношения, возникшие между сторонами, продолжаются.
Рассмотрим в качестве примера Апелляционное определение Пермского краевого суда от 14.10.2015 по делу № 33-11127/2015. При заключении кредитного договора гражданин дал согласие на обработку ПД, а впоследствии обратился с заявлением об отзыве этого согласия. Банк отказался исполнить требования клиента, поскольку у него имелась просроченная задолженность. Суд первой инстанции, а затем и апелляционный суд, куда обратился должник, указали, что согласие на обработку персональных данных действительно может быть отозвано субъектом персональных данных (п. 2 ст. 9 Закона о персональных данных). Однако в случае отзыва субъектом ПД согласия на обработку оператор все равно может ее продолжить при наличии на то законных оснований.
Одно из таких оснований установлено п. 5 ч. 1 ст. 6 Закона о персональных данных: обработка ПД необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПД, для заключения договора по инициативе субъекта ПД или договора, по которому субъект ПД будет выгодоприобретателем или поручителем.
Как следует из содержания данной нормы закона, согласие субъекта ПД на обработку персональных данных не требуется, если она осуществляется в целях исполнения договора, одной из сторон которого является субъект ПД. Поскольку субъект ПД задолженность перед банком не погасил – договор не расторгнут, для взыскания недостающих сумм кредитная организация вправе продолжать обработку ПД и после отзыва субъектом ПД своего согласия.
Случается и другое – оператор обрабатывает персональные данные лица, не участвующего в договоре, которые предоставлены другой стороной при заключении сделки. Например, получатель кредита указывает телефоны своих близких родственников, по которым можно с ним связаться. Оператор может получить такие данные иным путем, если другая сторона не выполняет обязательства по договору. Но следует помнить, что в рассматриваемом случае обработка полученных оператором персональных данных незаконна, несмотря на то, что это могло бы помочь исполнению договора.
Объект ПД, не давший своего согласия на обработку ПД и не являющийся стороной договора, имеет право потребовать прекратить незаконно использовать полученные сведения, а также компенсировать моральный и материальный вред, полученный в результате указанных действий. Рассмотрим Апелляционное определение Верховного Суда Республики Карелия от 14.09.2015 по делу № 33-3094/2015. При заключении договора по просьбе сотрудника банка клиент предоставил телефон своей супруги. После несвоевременного внесения очередной суммы обязательного платежа сотрудники банка стали звонить женщине с требованием посодействовать в возвращении долга. В первом же разговоре жена должника сообщила, что не согласна на использование ее персональных данных, и просила прекратить их обработку. Однако звонки с угрозами и требованиями продолжали поступать. Суд, куда обратилась истица, признал действия банка незаконными, потребовал прекратить обработку персональных данных и выплатить женщине компенсацию морального вреда, поскольку ст. 17, 24 Закона о персональных данных предусмотрено право субъекта ПД на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
Вправе ли прокурор потребовать от медучреждения предоставить персональные данные пациентов, больных наркоманией, если согласия на такую обработку ПД эти пациенты не давали?
Прокурор или иное должностное лицо имеет право на получение персональных данных в том числе пациентов больницы, если обработка данных необходима для осуществления и выполнения возложенных на него законодательством РФ функций, полномочий и обязанностей.
В качестве примера рассмотрим Апелляционное определение Челябинского областного суда от 17.07.2014 по делу № 11-6845/2014. Районный прокурор в интересах неустановленного круга лиц через суд лишил водителя права на управление транспортным средством. Причиной послужило наличие у гражданина заболевания, запрещающего вождение автомобиля. Информация была получена прокурором посредством предоставления выписки из истории болезни.
Водитель решил, что его персональные данные были обработаны без согласия, и обратился в суд, указав, что не давал согласия на обработку ПД во время лечения от алкоголизма в районной больнице. Суд счел правильными действия прокурора, а также действия администрации больницы, предоставившей должностному лицу выписку из истории болезни пациента. Суд установил, что администрация больницы предоставила список лиц, состоящих на диспансерном учете с диагнозом «наркомания» районному прокурору по его требованию.
В силу толкования ст. 1, 21, 22 Закона о прокуратуре [5] прокурор при осуществлении возложенных на него функций вправе в том числе требовать от руководителей организаций и других должностных лиц представления необходимых для выяснения возникших вопросов сведений.
В соответствии с п. 2 ч. 1 ст. 6 Закона о персональных данных обработка ПД допускается для достижения целей, указанных в законе, для осуществления и выполнения возложенных законодательством РФ функций, полномочий и обязанностей. Таким образом, Закон о персональных данных, которым предусмотрена обработка персональных данных с согласия их носителя, не препятствует удовлетворению запроса прокурора на истребование сведений в отношении лиц, состоящих на учете в медучреждениях с диагнозами, не позволяющими иметь разрешение на управление транспортными средствами.
Имеет ли право медучреждение заключить договор с ритуальным агентством на предмет перевозки умерших? Не будет ли это расценено как нарушение врачебной тайны и незаконная передача персональных данных?
Если доказательств получения ритуальным агентством в качестве встречного обязательства информации о родственниках умершего суду не будет представлено, то есть если будет доказано, что договор с медучреждением заключен без обязательной передачи персональных данных, действия участников договора будут признаны правомерными.
Рассмотрим в качестве примера Постановление ФАС УО от 26.03.2013 № Ф09-1909/13. Между ритуальным агентством и муниципальной больницей был заключен договор на оказание безвозмездных услуг по обеспечению перевозок умерших в морг специализированным транспортом. ФАС посчитала, что данный договор противоречит п. 5 ч. 1 ст. 14 Закона о защите конкуренции [6] , что выражается в совершении действий, направленных на незаконное получение и использование информации (персональных данных), и вынесла постановление о прекращении нарушения. По мнению антимонопольного органа, ритуальное агентство оказывало услуги в обмен на контакты родственников умершего.
Кроме того, обработка персональных данных не допускается без согласия субъекта ПД, а в случае его смерти – без согласия его наследников (п. 1 ст. 6, п. 7 ст. 9 Закона о персональных данных). Также в силу ст. 7 Закона о персональных данных операторы и иные лица, получившие доступ к указанной информации, обязаны не раскрывать третьим лицам и не распространять персональные данные без соответствующего согласия.
Еще один запрет на передачу информации третьим лицам (в нашем случае – ритуальному агентству) содержат п. 1, 2 ст. 13 Закона о здоровье [7] , не допускающие разглашение врачебной тайны (сведений о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иных сведений, полученных при медицинском обследовании и лечении) в том числе после смерти человека. Таким образом, по мнению антимонопольного органа, передавать информацию об умерших ритуальному агентству больница не имела права.
Однако суды указали, что из текста заключенного договора не следует, что ритуальное агентство в качестве встречного предоставления получило от больницы информацию об умерших. В договоре также не указано, что перевозчик получает какие-либо документы, содержащие персональные данные умерших. При этом антимонопольный орган не установил, каким способом осуществляется документооборот в больнице. Соответственно, доказательств, подтверждающих передачу от больницы ритуальному агентству персональных данных в период исполнения договора, антимонопольный орган предоставить не смог – суд первой инстанции, а впоследствии и апелляционный суд посчитали действия ФАС незаконными.
Итак, обратите внимание, что именно оператор – то есть организация или лицо, обрабатывающие персональные данные (производящие с ними любые действия), – обязан доказать, что согласие субъекта ПД на их обработку получено или что обработка данных возможна на основаниях, установленных законом [8] .
В силу п. 2 ст. 24 Закона о персональных данных моральный вред, причиненный субъекту ПД вследствие нарушения его прав, правил обработки персональных данных подлежит возмещению в соответствии с законодательством РФ. Причем возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом ПД убытков.
[1] Статья 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных).
[2] Пункты 6, 7 Закона о персональных данных.
[4] Федеральный закон от 27.07.2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг».
[5] Федеральный закон от 17.01.1992 № 2202-1 «О прокуратуре Российской Федерации».
[6] Федеральный закон от 26.07.2006 № 135-ФЗ «О защите конкуренции».
[7] Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации».
Перед началом проектирования необходимо систематизировать имеющиеся описания архитектуры и собрать требования заинтересованных сторон. В первую очередь отметим, что в системной инженерии, требования федерального законодательства, регионального законодательства, различных ведомственных и корпоративных нормативных актов не являются требованиями заинтересованных сторон. Государство не является заинтересованной стороной проекта, государство выступает в роли аналитика и проектировщика и закон предоставляет высокоуровневое описание архитектуры, концепцию, а не требования. Эта концепция должна быть обязательно воплощена в готовом продукте, чтобы считать проект успешным с точки зрения государства в лице исполнительных и контролирующих органов.
Концепция, которая описана в нормативных актах, практически всегда бывает разбросана по различным документам. Единую концепцию из всех этих разрозненных описаний формируют с помощью выписок и разъяснений. Выписка – это часть документа, которая трассируется на исходный документ с помощью реквизитов выписки – номер, дата и заголовок исходного документа и положение в исходном документе (номер раздела, пункта, абзаца). Иногда на практике случается, что выписка имеет неопределенность, в таком случае используется дополнительный документ – разъяснение, обычно оформленное в виде письма государственного органа.
Реальными требованиями, придающими любому проекту уникальность, являются только ожидания и потребности конкретных физических лиц, чью жизнь может изменить или на чью жизнь может повлиять жизненный цикл результата проекта — проектирование, планирование, воплощение и эксплуатация результата проекта. В данной статье такие требования рассматриваться не будут, так как являются специфичными и уникальными для каждого проекта.
Система оформления подписи
Реестр обеспечивает и другую важную возможность системы оформления подписи – конвертацию документа с подписью из электронного вида в бумажный. Во многих организациях, например в судах, принят бумажный документооборот. Для того, чтобы, при необходимости, можно было представить в такую организацию документ с подписью, в системе должен быть сервис конвертации документов из электронного вида в бумажный. Конвертируют подписанные документы в формат PDF. При визуализации простой электронной подписи в бумажной форме, должны быть визуализированы открытые ключи ПЭП (первичные и вторичные), т.е., исходя из нашего проектирования, должны быть визуализированы ФИО, СНИЛС, номер телефона (если используется), уникальный идентификационный номер ПЭП . Визуализируются они согласно принятым правилам делопроизводства, обычно под содержимым документа, например так:
Подписано простой электронной подписью:
Иванов Иван Иванович, СНИЛС 000-000-000 00, Телефон (000) 000-00-00.
Регистрационный номер подписи: 0000000 от 31.01.2017 10:05:47
Можно также опереться на методические рекомендации межведомственного электронного документооборота (МЭДО) и визуализировать в стандарте PDF/А.
Концепция пространств доверия ПЭП
Пионером по переводу ПЭП из локального пространства доверия в корпоративное и единое стало государство. Сложности с внедрением в массы инфраструктуры открытых ключей и, соответственно, электронно-цифровой подписи, в общем-то, не оставляют иного выбора. ПЭП , ввиду своей простоты, прямо предназначена для массового применения, но проблема в том, что ФЗ-63 не предусматривает ее использования в едином пространстве доверия. Для решения этой проблемы государство выпустило ряд дополнительных нормативных актов, которые регламентируют применение ПЭП при получении государственных услуг. Но частный бизнес под действие этих нормативных актов не попал, и для него применение ПЭП в другом пространстве доверия, кроме локального, несет довольно ощутимые риски.
Адаптация системы делопроизводства
Судебная практика по мошенничеству с ЭП
Дело №А56-35890/2015 . Работники ЗАО «Балтийский берег» с января 2011 года по декабрь 2012 года использовали ЭЦП гендиректора для вывода денег из компании, без его ведома.
В итоге, гендиректор оказался должен компании более 254 миллионов рублей. Суды всех инстанций задолженность подтвердили.
Суды подтвердили недобросовестность гендиректора, исходя из следующих его действий (бездействия):
- он фактически устранился от контроля действий его подчиненных, осуществлявших хищение денежных средств;
- не осуществлял правильность и основания проведения расчетов с использованием его ЭЦП;
- не интересовался результатами проведения аудиторских проверок;
- большую часть договоров общества он не заключал;
- текущую финансово-хозяйственную деятельность он не контролировал.
Дело №А56-15334/2017 . ООО «Стройинвест», в результате несанкционированного входа в систему «Банк-клиент», потеряло 7,7 млн рублей. Они были списаны со счета. Впоследствии, 890 тысяч были возвращены, а директор остался должен обществу 6,8 млн рублей.
Приведем еще два дела, когда ущерб был нанесен из-за использования ЭП уволенных руководителей.
Иск ООО «Валитекс» к «Нэклис-Банк» на сумму свыше 75 млн. руб. (дело № А40-75611/06-47-564) — в иске отказано, платежные поручения были подписаны ЭП бывшего генерального директора. Деньги списывались 8 месяцев.
Иск ООО «АМКО-Капитал» к ОАО «Металлургический коммерческий банк» на сумму свыше 77 млн. руб. — в иске отказано, на платежных поручениях была проставлена подпись бывшего главного бухгалтера (дело №А40-14394/06-47-120).
Это к вопросу о том, почему нужно сразу же отзывать сертификат ЭП уволенного сотрудника, особенно с такими полномочиями.
Если закон устанавливает обязанность получить согласие субъекта ПД на их обработку, оператор не имеет права принуждать этого субъекта к подписанию соответствующего соглашения. Гражданин принимает решение о предоставлении его ПД и дает согласие на их обработку свободно, своей волей и в своем интересе (п. 1 ст. 9 Закона о персональных данных).
Если субъект ПД недееспособен, согласие на обработку дает его законный представитель (например, если субъект – ребенок, его представляет один из родителей). Если субъект ПД мертв, согласие необходимо получить у его наследников (при условии, что это согласие не было дано субъектом ПД при жизни) [2] .
Роскомнадзор в Разъяснениях [3] указывает, что работодатель вправе обрабатывать персональные данные работника без получения соответствующего согласия в случаях, предусмотренных коллективным договором, в том числе правилами внутреннего трудового распорядка (являющимися обычно приложением к коллективному договору), соглашением, а также локальными актами.
А вот при привлечении сторонних организаций для ведения кадрового и бухгалтерского учета работодатель обязан получить согласие работников на передачу их персональных данных.
Пунктом 2 ст. 9 Закона о персональных данных предусмотрена возможность субъекта ПД отозвать свое согласие на их обработку. Там же оговаривается возможность такой обработки без согласия субъекта ПД в случаях, установленных законом.
Форма согласия на обработку ПД
Согласие на обработку ПД может быть дано субъектом ПД или его представителем в любой форме, позволяющей подтвердить факт его получения (если иное не установлено федеральным законодательством (п. 1 ст. 9 Закона о персональных данных).
Роскомнадзор в Разъяснениях рекомендует согласие работника либо оформлять в виде отдельного документа, либо закреплять в тексте трудового договора. Требования к содержанию такого документа указаны в ч. 4 ст. 9 Закона о персональных данных.
Согласие в письменной форме должно включать в себя, в частности:
- фамилию, имя, отчество, адрес субъекта ПД, номер основного документа, удостоверяющего его личность, сведения о дате выдачи этого документа и выдавшем его органе;
- фамилию, имя, отчество, адрес представителя субъекта ПД, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта ПД);
- наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта ПД;
- цель обработки персональных данных;
- перечень ПД, на обработку которых дается согласие субъекта ПД;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки;
- срок, в течение которого действует согласие субъекта ПД, а также способ его отзыва, если иное не установлено федеральным законом;
- подпись субъекта персональных данных.
Пространство доверия
Алгоритм безопасного получения ЭП
Порядок получения электронной подписи следующий:
- Определиться, для чего нужна ЭП. Это может быть подпись для портала Госуслуг, для сдачи отчетности, для регистрации ООО, для госзакупок или участия в электронных аукционах.
- Определиться с удостоверяющим центром. Стоит посмотреть аккредитованные УЦ на сайте Минкомсвязи . Почитать отзывы, посмотреть, насколько он известен. Чем менее он известен, тем больше вероятность, что там возможна утечка и какие-либо мошеннические действия. Обратиться в УЦ, оплатить услуги, предоставить необходимые сканы документов, дождаться выпуска ЭП. или на дому, предоставив необходимые оригиналы документов.
Пространство доверия к подписи
В процессе анализа постоянно используется термин «значимость подписи» и «юридическая значимость подписи», а его техническое содержание не раскрыто. Проведя анализ понятия «доверие» как оценки рисков, мы теперь можем определить, что техническое значение термина «значимость» подписи – характеристика оценки рисков. Значимость даже можно измерить количеством лиц, для которых регистрация открытого ключа не несет рисков, а документы, подписанные открытым ключом – доверенные. Фактически мы измеряем количество интерфейсов, которые могут быть установлены от систем делопроизводства (агентов) к системе регистрации открытого ключа, так как они ей доверяют. В результате образуется некий домен из доверяющих агентов. Этот домен имеет юридическое название — пространство доверия. Пространство доверия можно разделить на следующие специализированные виды:
- Локальное пространство доверия. Это пространство доверия устанавливается исключительно между агентом и одним контрагентом.
- Корпоративное пространство доверия. Это пространство доверия устанавливается между одним агентом и неограниченным числом его контрагентов. Например, к копоративному пространству доверия можно отнести контрагентов, использующих облачную ЭЦП агента — Федеральной Налоговой Службы
- Единое пространство доверия. Это пространство доверия устанавливается между неограниченным числом агентов и контрагентов в рамках одного государства.
- Трансграничное пространство доверия. Это пространство доверия устанавливается между агентами и контрагентами, находящимся в международном поле. Оно также может быть локальным, корпоративным или единым.
- Простая электронная подпись для локального пространства доверия.
- Неквалифицированная электронная подпись для корпоративного пространства доверия.
- Квалифицированная электронная подпись для единого пространства доверия.
Как ЭП попадает к злоумышленникам
Вариантов на самом деле не так уж много. Их все можно свести к двум основным:
- добровольный — когда владелец сам передал ЭП другому лицу;
- незаконный — когда некие лица сами получили ЭП за кого-то.
В случае с добровольным способом дело может быть так — руководитель передает подчиненным ключ электронной подписи, поскольку не хочет сам подписывать документы. А подчиненные, злоупотребив доверием, совершают незаконные действия. К примеру, выводят деньги из компании.
С незаконным способом все несколько сложнее. Вариантов тут может быть несколько:
- получение электронной подписи в добросовестном удостоверяющем центре с использованием подложных документов;
- использование недобросовестного удостоверяющего центра;
- утечка данных из удостоверяющего центра.
Проблема в нашей стране в том, что удостоверяющих центров около пяти сотен, это больше, чем во всем остальном мире. А госорганы обязаны принимать документы, подписанные электронной подписью.
Власти уже предприняли ряд мер по выдаче некоторых видов электронных подписей только органами государственной власти. Так, с 1 января 2022 года руководители коммерческих организаций смогут получить ЭП только в ФНС. А сотрудники юрлица или ИП смогут получать электронную подпись в коммерческих удостоверяющих центрах.
Заключение
В последнее время наметился ощутимый тренд к переходу к простой электронной подписи в документообороте с физическими лицами ввиду сложности и затратности инфраструктуры открытых ключей. Портал государственных услуг переводит на ПЭП большинство государственных услуг для физических лиц.Надеюсь, эта статья будет полезной для заинтересованных лиц в разработке и применении инфраструктуры ПЭП при оказании услуг физическим лицам через сеть Интернет.
Закон накладывает большой круг ограничений на локальную регистрацию открытого ключа подписи, ввиду того, что такая регистрация предусматривает получение ПД . Ограничения перечислены в нормативном акте 152-ФЗ «О персональных данных». Наиболее существенные из этих ограничений: необходимость, в некоторых случаях, регистрации в качестве оператора персональных данных и необходимость создания инфраструктуры обработки персональных данных. Кроме того, добиться юридической значимости подписи при локальной регистрации довольно сложно, так как установление локального доверия между агентом и контрагентом не распространяется на третьих лиц.
Что делает государство для защиты ЭП
Как уже было сказано выше, ФНС с 2022 года забирает себе право выдавать электронную подпись руководителям коммерческих организаций. Так налоговая служба сформирует свою базу, что и кому она выдавала, и заодно пресечет поток незаконно выданных электронных подписей для номинальных руководителей.
До 2022 года времени еще много, однако защититься можно уже сейчас.
В настоящее время ФНС уже дает возможность физическому лицу выпустить электронную подпись через личный кабинет. Так как зарегистрироваться в личном кабинете можно только после личного визита в инспекцию, то тут, по мнению ФНС, вероятность утечки данных минимальная. Если, конечно, физлицо само не отдаст доступ постороннему лицу.
Также есть возможность получить электронную подпись через сайт Госуслуг. Обратиться за ЭП можно через МФЦ с паспортом и СНИЛС, услуга бесплатная. Данная подпись дает возможность доступа к полному перечню услуг портала Госуслуг.
Кроме того, государство регулярно проверяет существующие удостоверяющие центры и закрывает те, за которыми были замечены нарушения. Контроль за УЦ постоянно растет, требования к ним повышаются, в частности к размеру их уставного капитала.
Система использования закрытого ключа для передачи открытого ключа
Система достаточно подробно разобрана в части 2. Архитектура строится на основе статьи 12 ФЗ-63, т.е система обязательно должна обеспечивать:
- Уведомление контрагента о том, что он запускается процедура подписания. В уведомлении пользователю должны быть показаны реквизиты документа, который он подписывает, в идеале документ должен быть открыт для чтения. Контрагент должен ввести закрытый ключ подписи, конфиденциально известный только ему, для подтверждения и факта и момента подписи;
- Уведомление пользователя о том, что документ подписан. Технически процедура подписания состоит в том, что создается запись в реестре ПЭП и присваивается уникальный номер. Желательно продублировать регистрационный номер подписи, регистрационный номер документа и время подписания с помощью SMS. Тем самым пользователь виртуально получает «второй экземпляр документа» в свое владение;
Что чаще всего делают злоумышленники
Самые частые проблемы, которые доставляют посредством ЭП мошенники — это, по сути, захват контроля над компанией с дальнейшим выводом денег со счетов.
Делается это следующим образом. На некое лицо изготавливают электронную подпись, подают в ФНС заявление по форме Р14001 по смене генерального директора компании в электронном виде, а после регистрации изменений в ЕГРЮЛ — получают доступ к банку и выводят денежные средства.
Налоговая стала отказывать вообще всем при подобных попытках смены директора с использованием ЭП. Однако есть и другой способ.
Директора в этом случае не меняют, просто некое лицо оформляет электронную подпись на руководителя без его ведома.
Есть случаи, когда за компанию сдавались электронно корректировки по декларациям, что приводило к проблемам с налоговой. Чаще всего это происходит с декларациями по НДС.
Или, как уже отмечалось выше, злоумышленниками могут стать сами сотрудники компании, которым была передана ЭП от директора, а те злоупотребили его доверием.
Законодательная концепция архитектуры ПЭП
Что делать, если на ваше имя выпустили электронную подпись
К сожалению, о том, что выпустили электронную подпись без чьего-либо ведома, люди узнают уже после совершения незаконных действий. Компания потеряла деньги, сдана уточняющая декларация, квартира продана, или на кого-то получен кредит. Либо, люди внезапно узнают, что они учредители в нескольких фирмах. И заодно директоры.
Однако, есть способ превентивно отслеживать такую информацию.
- На сайте Госуслуг, в личном кабинете, есть возможность узнать, каким удостоверяющим центром и какие электронные подписи были выпущены на ваше имя.
- Если вы видите, что есть подписи, которые вы сами не получали, и вообще в первый раз видите — обратитесь в техподдержку портала и в сам УЦ.
- УЦ по вашему заявлению обязан отозвать сертификат электронной подписи.
- Если УЦ по каким-либо причинам этого не делает — обращайтесь в полицию.
- Стоит обратиться и в Минкомсвязи с жалобой на УЦ, если он не оказывает вам содействия.
Если на вас зарегистрировали компанию — в регистрирующую налоговую по вашему месту жительства стоит подать заявление по форме Р38001 с требованием признать сведения о вас, как об учредителе и директоре недостоверными.
Чек-лист безопасного использования электронной подписи
Для того, чтобы обезопасить себя от мошеннических действий с ЭП, необходимо соблюдать следующие правила:
- Не передавать ключ электронной подписи никому. Доказать, что подписал документ не владелец, а кто-то другой — очень трудно. Если же она передается, необходимо либо доверенностью, либо приказом определять полномочия, которые есть у доверенного лица. И принимать меры корпоративной безопасности, вплоть до систем наблюдения за действиями сотрудников.
- При увольнении сотрудника, на которого была оформлена ЭП — сертификат нужно немедленно отзывать. Кадровой службе необходимо вести реестр сотрудников, на которых оформлена электронная подпись и перечень их полномочий.
- Есть вариант с двойной электронной подписью, когда одна без другой недействительна . Например, двумя подписями можно заверять платежные поручения в банке, обычно для этого ЭП есть у генерального директора и главного бухгалтера.
- Само собой, необходима система защиты доступа к компьютеру, на котором установлено ПО для использования электронной подписи. Неплохо помогают облачные решения, когда в офисах находятся только «тонкие клиенты» (компьютеры без носителей, терминалы для доступа в «облако»).
- Компьютер не оставлять разблокированным , устанавливать пароли и логины как для входа в систему, так и для доступа к бухгалтерским программам, клиент-банкам и т.д.
- Защита компьютера с ЭП должна быть и от виртуального взлома . Сотрудник, работающий с ЭП, должен быть проинструктирован касательно спама, подозрительных писем по электронной почте, непонятных сайтов, фишинговых ссылок и т.п. Обязательно использование антивируса, проверка сторонних носителей на наличие вредоносных программ.
- Никому не передавать сканы или копии паспорта, СНИЛС, не оставлять их на сайтах, не пересылать. Эти данные нужны злоумышленникам, чтобы оформить электронную подпись и использовать ее в недоброжелательных целях. Мало того, вы можете неожиданно стать обладателями крупного кредита или накопленные вами в НПФ средства перетекут в другой фонд. О подобного рода мошенничествах рассказывают и в интернете, и по ТВ, но люди продолжают делиться своими персональными данными.
Для сотрудников компании рекомендуется составить памятку о том, какие действия нельзя совершать ни при каких обстоятельствах, разработать регламенты по работе с персональными данными, назначить ответственных за их передачу лиц.
Система хранения ключей
Вполне допустимо, с привязкой к СНИЛС, сделать дополнительный ключ, назовем его вторичным. Это может какой-то уникальный логин. Если говорить об аналоге собственноручной подписи, то такой логин – это собственноручная запись инициалов ФИО. Для собственноручной подписи запись инициалов не отменяет монограмму, для ПЭП – не отменяет СНИЛС.
В качестве закрытого ключа можно использовать любой пароль. Но очень желательно, чтобы данный пароль использовался только в целях подписи и не совмещал в себе другие роли, такие как вход на сайт. Тем самым решаются две технические задачи: есть закрытый ключ, известный только владельцу ПД (аналог двигательного навыка собственноручной подписи, проанализированный в части 2) и есть событие электронной подписи – ввод закрытого ключа ПЭП аналогичен движению руки при визуализации монограммы.
Дополнительно можно проверить, что «рукой движет» именно владелец. Для этого используется вторичный открытый ключ – номер телефона. На номер телефона отправляется SMS c кодом, который, в данном случае, играет роль одноразового закрытого ключа. Ввод кода при подписи аналогичен применению закрытого ключа. При таком применении номера телефона желательно обеспечить неугадываемость кодов, что гарантирует, что закрытый ключ в момент подписи известен только владельцу ПД . Допустимо использование номера телефона просто в качестве дополнительного открытого ключа, применение которого подтверждает факт подписи. В этом случае высылаемый код не является закрытым ключом и закрытый ключ должен быть отдельный.
Суммируя все вышесказанное, в системе обработки ПД , должны храниться:
- Персональные данные контрагента – ФИО и адрес места жительства;
- Идентификационный код уполномоченной регистрации персональных данных — номер и серия паспорта;
- Уполномоченный открытый ключ (образец подписи) – СНИЛС;
- Вторичные открытые ключи (при необходимости) — логин сайта, адрес электронной почты, номер телефона;
В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.
- Необходимо соглашение об использовании простой электронной подписи, разработанное квалифицированными юристами, которое должно приниматься анонимно, без использования подписи. Это дает правовую основу для электронной подписи согласия на предоставление ПД с помощью ПЭП . Закон предоставляет вариант организации анонимного соглашения: договор присоединения, к которому может присоединиться неограниченный круг пользователей (публичная оферта). Это первое, что должен увидеть пользователь при регистрации. Факт присоединения к оферте(акцепт) подтверждается формированием и вводом закрытого ключа. Процесс зависит от того, будет в дальнейшем использоваться многоразовый закрытый ключ (пароль) или одноразовые закрытые ключи.
- Форма ввода персональных данных, перечисленных выше, а именно ФИО, место жительства, серия и номер паспорта, СНИЛС и т.д., должна включать в себя согласие на предоставление персональных данных. Само согласие должно быть персональным, и, кроме типовых пунктов, перечисленных в статье 9 ФЗ-152, должно содержать пункт о том, что согласие подписывается ПЭП с перечислением открытых ключей: СНИЛС + вторичные ключи (если есть). Подписывается вся форма (персональные данные и согласие) одним действием. Подробнее устройство системы подписи будет описано далее в разделе «Система передачи открытого ключа на основе закрытого ключа»
- После выполнения этих действий пользователь регистрируется в системе и получает возможность подавать заявления, заявки, обращения и жалобы, подписанные ПЭП . Согласие необходимо сохранить, так как оно может быть отозвано.
- Выбрать платформу, сертифицированную ФСТЭК для работы с ПД . Платформа, согласно требованиям закона, в минимальном варианте должна обеспечивать разграничение доступа к ПД и логирование всех операций доступа к ПД . В моей практике обычно рассматривались следующие варианты: MS SharePoint 2013/2016, Битрикс, Alfresco, Liferay, и соответственно, в качестве БД – MS SQL Server, PostgreSQL (в составе сертифицированного AltLinux), MySQL. Естественно, возможны и другие варианты. Выбор в пользу того или иного варианта делается на основе сравнительного анализа стоимости владения и на основе ожиданий технического отдела агента – какую платформу им проще будет сопровождать.
- Разработать политику обработки персональных данных
- На основе разработанной политики обработки ПД нужно решить, необходимы ли дополнительные сертифицированные средства защиты ПД и регистрация в качестве оператора персональных данных. Есть определенные методики выполнения этого шага и лучше привлечь лицензированных специалистов, особенно если ПД закон обворачивает в слово «тайна», например – врачебная тайна.
Читайте также: