МЧД – машиночитаемая доверенность
ПДн – персональные данные
УЦ – удостоверяющий центр
ФГИС «ЕСИА» – федеральная государственная информационная система «Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме»
ЭДО – электронный документооборот
УКЭП – усиленная квалифицированная электронная подпись
Документооборот – неотъемлемая часть работы любого предприятия. В современном бизнесе переход на электронный документооборот становится стандартной практикой для многих компаний. Этот процесс сопровождается созданием новых документов, которые придают электронным данным юридическую силу. Одним из таких документов является электронная машиночитаемая доверенность (МЧД).
Основная цель МЧД – удостоверить, что определенный сотрудник или уполномоченное лицо имеют право подписывать электронные документы от имени организации.
Рассмотрим, что представляет собой МЧД, для чего она необходима, и особенности ее оформления, связанные с обработкой персональных данных
Машиночитаемая доверенность, или МЧД, – это электронная форма доверенности, подписанная квалифицированной электронной подписью (КЭП) руководителя организации или индивидуального предпринимателя, создается и представляется в файле формата XML.
Понятие «машиночитаемая доверенность» введено Федеральным законом № 476-ФЗ от 27.12.2019. Добровольное применение МЧД для юридических лиц и индивидуальных предпринимателей было предусмотрено до 31 августа 2023 года, однако в дальнейшем переходный период был продлен.
Одной из проблем, с которой столкнулись работодатели при оформлении МЧД на сотрудников, стала проблема, связанная с обработкой персональных данных при ее оформлении. Некоторые сотрудники активно возражают против оформления электронной доверенности, обосновывая свою позицию раскрытием персональных данных при оформлении МЧД, которые подлежат защите и не должны передаваться третьим лицам. Кроме того, некоторыми сотрудниками высказывается предположение, что в МЧД раскрывается значительно больше личных данных, чем в классическом бумажном варианте доверенности.
Как мы уже говорили выше, МЧД является электронной формой доверенности, цель которой – подтвердить, что сотрудник или уполномоченное лицо имеют право подписывать электронные документы от имени организации. В МЧД содержатся данные о доверителе и доверенном лице, а также информация о полномочиях сотрудника (например, представление отчетности, оформление закрывающих документов и т.д.).
Общие требования к МЧД установлены приказом Минцифры РФ от 18.08.2021 № 857. В общих чертах, доверенность должна содержать:
- информацию о МЧД — название и номер, срок действия;
- сведения о доверителе (например, для физического лица – ФИО, СНИЛС, ИНН; для юридических лиц указываются также сведения о руководителе – ФИО, СНИЛС);
- сведения о представителе (ФИО, дата рождения, данные документа, удостоверяющего личность, СНИЛС и ИНН);
- перечень полномочий представителя, их описание;
- сведения об информационной системе, которая предоставляет техническую возможность получения информации о досрочном прекращении действия доверенности, в том числе в силу ее отмены доверителем;
- УКЭП, которой подписана доверенность;
- возможность передоверия.
Формы МЧД вправе определять:
- операторы государственных и муниципальных информационных систем, для использования в которых представляются документы;
- Банк России – в отношении доверенностей, выдаваемых участниками финансового рынка;
- Федеральная нотариальная палата – в отношении доверенностей, удостоверенных нотариусами.
Внешний вид МЧД и ее содержание может несколько отличаться для разных систем и в зависимости от формы доверенности.
Например, нотариально заверенная МЧД будет содержать больше ПДн о представителе (добавятся, в частности, место рождения, адрес регистрации по месту жительства, контактные номер телефона и адреса электронной почты).
Кроме того, для разных задач (отчетности, ЭДО, портала ФНС и других государственных систем) у сотрудника может быть несколько разных МЧД, имеющих разную форму.
Но несмотря на это, обработке подлежат только те данные, которые действительно требуются для сдачи обязательной отчетности и электронного взаимодействия с другими компаниями, ведомствами и внебюджетными фондами.
В соответствии со ст. 65 ТК РФ, работники уже предоставляют работодателю определенный набор ПДн в целях трудоустройства и оформления трудового договора. Из этого набора данных для оформления МЧД используются только те, которые необходимы для определенной задачи, на которую выдается МЧД (подача отчетности, подача заявлений о государственной регистрации прав или сделок и т.д.). Предоставления дополнительных ПДн специально для МЧД не потребуется.
Учитывая изложенное, заметим, что объем персональных данных, содержащихся в МЧД и в бумажной доверенности, практически одинаковый, а значит оснований утверждать, что в МЧД раскрывается больше сведений, чем в бумажной доверенности, недостаточно.
Для соблюдения требований 152-ФЗ необходимо разобраться со способами формирования, хранения и использования МЧД.
Создать МЧД можно на сайте ФНС или в специальных сервисах. Также МЧД можно оформить в своих информационных системах или в системах операторов электронного документооборота (ЭДО). Многими вендорами доработан функционал поддерживаемых ими информационных систем в части взаимодействия с распределенным реестром.
Например, функционал МЧД реализован в сервисе 1С-ЭДО, где можно создавать, подписывать, направлять МЧД на регистрацию в распределенный реестр, получать уведомления об изменениях.
Вопросы хранения и использования МЧД регулируются постановлением Правительства РФ от 21.02.2022 № 223.
МЧД может храниться в:
- ФГИС «ЕСИА»;
- ИС аккредитованных УЦ, указанных в ч. 1 ст. 15 Федерального закона «Об электронной подписи»;
- ИС удостоверяющих центров, получивших аккредитацию;
- ИС аккредитованных доверенных третьих сторон;
- ИС операторов ЭДО;
- ИС, в которой подписан и из которой направляется электронный документ, подписанный УКЭП представителя на основании доверенности;
- ИС федеральных органов исполнительной власти или органов государственных внебюджетных фондов РФ.
Следовательно, МЧД может храниться в разных системах. Все зависит от того, где руководитель подписал доверенности, куда их будут передавать и как настроена работа в организации.
Однако операторы любых ИС (соответственно, кроме ФГИС «ЕСИА») передают сведения о доверенности во ФГИС «ЕСИА». Это их обязывает делать п. 6 Требований, утвержденных постановлением Правительства РФ от 21.02.2022 № 223. Операторы ИС, в том числе при передаче сведений во ФГИС «ЕСИА», обязаны выполнять требования, предъявляемые к мерам и средствам защиты информации, обеспечивающим конфиденциальность, целостность и доступность доверенности, которые определяются в соответствии с угрозами безопасности персональных данных при их обработке в информационных системах в соответствии с положениями ст. 19 152-ФЗ.
Передавать МЧД контрагенту можно разными способами, например:
- отправить доверенность отдельным файлом вместе с подписанными документами в одном пакете;
- указать номер доверенности в документе — получатель может проверить ее действительность по общей информационной базе без самого документа;
- передавать данные о доверенности в метаданных документа.
Лицо, использующее доверенность, обязано обеспечивать конфиденциальность и целостность доверенности в соответствии с мерами по осуществлению безопасности персональных данных, установленными ст. 19 152-ФЗ.
Как мы видим, в формировании, хранении и использовании МЧД в основном задействованы третьи лица, а ст. 88 ТК РФ предусмотрено, что работодатель обязан не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением определенных случаев.
Следовательно, важным моментом для оформления МЧД является получение письменного согласия работника на ее оформление и передачу ПДн третьим лицам. Специальной формы согласия на обработку ПДн в целях оформления/хранения/использования МЧД закон не предусматривает. Необходимо руководствоваться общими требованиями ч. 4 ст. 9 152-ФЗ. Получить такое согласие можно на этапе приема на работу или непосредственно перед оформлением МЧД.
Однако следует учесть следующее. Как правило, в большинстве компаний на этапе трудоустройства сотрудники подписывают письменное согласие на обработку персональных данных. Однако, вряд ли такое согласие (особенно полученное до введения МЧД) содержит положения о передаче ПДн работника в составе МЧД для хранения в распределенный реестр ФНС, в реестр оператора ЭДО или контрагентам работодателя.
В таком случае от работника, на которого планируется оформлять МЧД, необходимо получить еще одно письменное согласие на оформление МЧД и передачу ПДн третьим лицам в составе электронной доверенности. Также следует внести соответствующие изменения в форму согласия, которое сотрудники подписывают при трудоустройстве, что в дальнейшем позволит для новых сотрудников применять одну форму согласия, и не получать согласие на МЧД отдельно.
Важно учесть, что, если оформление/хранение МЧД поручается стороннему сервису, в согласии на обработку персональных данных необходимо указать: наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора (организации, которая предоставляет услуги формирования/хранения МЧД, которой передаются ПДн сотрудников для этих целей). Форма согласия зачастую уже заложена в сервисах, предоставляющих услуги по формированию МЧД.
В случае изменения обслуживающей компании или сервиса по формированию МЧД согласие необходимо переподписать.
Кроме того, нужно закрепить обязательства оператора системы по обработке персональных данных договором.
Например, некоторые компании, предлагающие сервисы для оформления МЧД, предлагают заключить с ними договор поручения на обработку ПДн (ч. 3 ст.6 152-ФЗ), в котором прописываются обязательства.
Если цель обработки достигнута или персональные данные более не требуются для целей обработки, связанных с оформлением/хранением/использованием МЧД, также необходимо принимать меры по отзыву МЧД.
Например, если у сотрудника изменились полномочия, руководитель может отозвать МЧД, направив в информационную систему, которая хранит МЧД, заявление на отзыв. По какой форме заполнять заявление, каждая система устанавливает самостоятельно. Сам сотрудник тоже может отказаться от полномочий. Для этого ему нужно подписать отказ своим сертификатом.
Наиболее частая причина отзыва МЧД – увольнение сотрудника. Обязательно нужно отозвать доверенность уволенного сотрудника, особенно если он работает на разные организации и подписывает все одним сертификатом.
Также причинами для самостоятельной отмены МЧД могут служить:
- прекращение деятельности юрлица;
- смерть доверителя или представителя;
- признание доверителя или представителя недееспособным;
- введение в отношении представляемого или представителя процедуры банкротства.
МЧД может быть отменена автоматически, если закончился срок ее действия.
Обратите внимание, что завершение срока действия УКЭП не влечет за собой прекращение действия МЧД, которой она была подписана. Поэтому, при наличии причин для отзыва МЧД, данная процедура обязательно должна быть совершена, даже если срок действия УКЭП, которой она была подписана, истек.
Использование МЧД существенно упрощает взаимодействие и облегчает документооборот. Полномочия представителя организации проверяются практически автоматически. Кроме того, МЧД облегчают выявление ответственных лиц за возможные ошибки при подписании документов, что значительно повышает прозрачность и эффективность процессов. Благодаря МЧД исключается необходимость в бумажной копии доверенности и ее нотариальном заверении, упрощая процесс заключения сделок.