Різниця в інформації, що повинна міститися в сертифікатах КЕП України та ЄС.

У сучасному світі ми можемо спостерігати шалений темп диджиталізації у всіх сферах нашого життя. Диджиталізація має на увазі процес переведення інформації у всіх її формах (текстовій, звуковій, графічній) – у цифровий формат, зрозумілий мові комп’ютеру та усім нашим гаджетам.

Завдяки цьому можливо без проблем обробляти будь-яку інформацію, що суттєво економить наш час та оптимізує людські ресурси.

Це направлення не оминуло й державний сектор, адже рівень диджиталізації у європейських державах знаходиться на дуже великій позначці, і саме подібного рівня прагнемо досягти і ми.

Керівництво держави безсумнівно зацікавлене у прискоренні процесу інтеграції України до Єдиного цифрового ринку Європейського Союзу.

Аналізуючи ситуацію в Україні, можна спостерігати, що держава всіма силами намагається впровадити диджиталізацію та електронний документообіг у наше з Вами життя, і це їй вдало вдається.

Завдяки зусиллям Міністерства цифрової трансформації та інших державних органів, майже кожна людина має застосунок «Дія» у себе у смартфоні, де може без проблем оформити та підписати певні документи, сформувати кваліфікований електронний підпис тощо.

На даний момент існує великий перелік державних та недержавних установ, сервісів, послуг, які переведено на електронний документообіг.

Обов’язковою умовою підписання, затвердження електронних документів є підписання їх кваліфікованим електронним підписом особи.

Кваліфікований електронний підпис - удосконалений електронний підпис, який створюється з використанням засобу кваліфікованого електронного підпису і базується на кваліфікованому сертифікаті відкритого ключа (Розділ I, ст. 1, п. 23 ЗУ «Про електронні довірчі послуги» № 2155-VII від 01.01.2022).

Невід’ємною частиною кваліфікованого електронного підпису є кваліфікований сертифікат електронного ключа.

Ваш електронний підпис видається на підставі сертифіката електронного підпису.  Якщо ми використовуємо аналогію з паперовими документами, сертифікат — це ручка, за допомогою якої ви підписуєте, а підпис — це те, що залишається на документі (наприклад, чорнило).

Кваліфікований сертифікат відкритого ключа - сертифікат відкритого ключа, який видається кваліфікованим надавачем електронних довірчих послуг, засвідчувальним центром або центральним засвідчувальним органом і відповідає вимогам ЗУ «Про електронні довірчі послуги» (Розділ I, ст. 1, п. 25).

Даний сертифікат являє собою документ, який засвідчує належність відкритого ключа фізичній або юридичній особі, підтверджує її ідентифікаційні дані та/або надає можливість здійснити автентифікацію веб-сайту.

Якщо ми кажемо про інтеграцію України до Єдиного цифрового ринку ЄС, то тут важливо розуміти, що всі нормативно-правові акти України та держав-членів ЄС у сфері застосування електронного документообігу та взаємного визнання кваліфікованих електронних довірчих послуг, мають бути взаємо-узгодженими і не суперечити один одному.

Відповідно до  ч. 1, ст. 38 Закону України “Про електронні довірчі послуги”, електронні довірчі послуги, що надаються відповідно до вимог нормативно-правових актів, що регулюють правові відносини у сфері електронних довірчих послуг в іноземних державах, визнаються в Україні електронними довірчими послугами того самого виду в разі відповідності хоча б одній з таких умов:

• кваліфікований надавач електронних довірчих послуг іноземної держави відповідає вимогам цього Закону, що підтверджується центральним засвідчувальним органом (або засвідчувальним центром у разі надання електронних довірчих послуг у банківській системі України та при здійсненні переказу коштів);
• кваліфікований надавач електронних довірчих послуг внесений до Довірчого списку держави, з якою Україна уклала відповідний двосторонній або багатосторонній міжнародний договір.

Аби зрозуміти, чи відповідають сертифікати КЕП, видані надавачами електронних довірчих послуг в Україні вимогам сертифкатам КЕП, виданим странами ЄС, і навпаки, необхідно встановити різницю у інформації, що міститься у них.

Інформація, що обов’язково повинна міститися у сертифікаті КЕП України.

Відповідно до ч. 2, ст. 23 Закону України “Про електронні довірчі послуги”, кваліфіковані сертифікати відкритих ключів обов’язково повинні містити:

1) позначку, що сертифікат відкритого ключа виданий як кваліфікований сертифікат відкритого ключа;

2) позначку, що сертифікат відкритого ключа виданий в Україні;

3) ідентифікаційні дані, які однозначно визначають кваліфікованого надавача електронних довірчих послуг, засвідчувальний центр або центральний засвідчувальний орган, які видали кваліфікований сертифікат відкритого ключа (далі - суб’єкти, які видали сертифікат), у тому числі обов’язково:

для юридичної особи: найменування та код згідно з Єдиним державним реєстром підприємств та організацій України, за якими здійснено її державну реєстрацію;

для фізичної особи - підприємця: прізвище, ім’я, по батькові (за наявності) та унікальний номер запису в Єдиному державному демографічному реєстрі або реєстраційний номер облікової картки платника податків, або серія та номер паспорта (для фізичних осіб, які через свої релігійні переконання відмовляються від прийняття реєстраційного номера облікової картки платника податків та повідомили про це відповідний податковий орган та мають відмітку в паспорті про право здійснювати платежі за серією та номером паспорта), за якими здійснено її державну реєстрацію;

4) ідентифікаційні дані, які однозначно визначають користувача електронних довірчих послуг, у тому числі обов’язково:

прізвище, ім’я, по батькові (за наявності) підписувача та унікальний номер запису в Єдиному державному демографічному реєстрі або реєстраційний номер облікової картки платника податків, або серія та номер паспорта (для фізичних осіб, які через свої релігійні переконання відмовляються від прийняття реєстраційного номера облікової картки платника податків та повідомили про це відповідний податковий орган та мають відмітку в паспорті про право здійснювати платежі за серією та номером паспорта) або;

найменування або прізвище, ім’я, по батькові (за наявності) створювача електронної печатки та код згідно з Єдиним державним реєстром підприємств та організацій України, за якими здійснено його державну реєстрацію, або унікальний номер запису в Єдиному державному демографічному реєстрі, або реєстраційний номер облікової картки платника податків, або серія та номер паспорта (для фізичних осіб, які через свої релігійні переконання відмовляються від прийняття реєстраційного номера облікової картки платника податків та повідомили про це відповідний податковий орган та мають відмітку в паспорті про право здійснювати платежі за серією та номером паспорта);

5) місцезнаходження юридичної особи, якій видано кваліфікований сертифікат відкритого ключа;

6) значення відкритого ключа, який відповідає особистому ключу;

7) відомості про початок та закінчення строку дії кваліфікованого сертифіката відкритого ключа;

8) серійний номер кваліфікованого сертифіката відкритого ключа, унікальний для суб’єкта, який видав сертифікат;

9) кваліфікований електронний підпис або кваліфіковану електронну печатку, створені суб’єктом, який видав сертифікат;

10) відомості щодо розміщення у вільному доступі кваліфікованих сертифікатів відкритих ключів суб’єкта, який видав сертифікат;

11) відомості щодо розміщення інформації, необхідної для отримання кваліфікованої електронної довірчої послуги формування, перевірки та підтвердження чинності кваліфікованих сертифікатів відкритих ключів;

12) відомості про те, що особистий ключ зберігається в засобі кваліфікованого електронного підпису чи печатки (для кваліфікованого сертифіката електронного підпису чи печатки);

13) відомості про обмеження використання кваліфікованого електронного підпису чи печатки (для кваліфікованого сертифіката електронного підпису чи печатки);

14) ім’я (імена) домену, що належить фізичній або юридичній особі, якій видано сертифікат відкритого ключа (для кваліфікованого сертифіката автентифікації веб-сайту).

Крім цього слід зазначити, що кваліфіковані сертифікати відкритих ключів можуть містити інші ідентифікаційні дані фізичних або юридичних осіб, необов’язкові додаткові спеціальні атрибути, визначені у стандартах для кваліфікованих сертифікатів відкритих ключів.

Ці атрибути не повинні впливати на інтероперабельність і визнання кваліфікованих електронних підписів (ч. 3, ст. 24 ЗУ “Про електронні довірчі послуги”).

Інформація, що обов’язково повинна міститися у сертифікаті КЕП держав ЄС.

Якщо ми кажемо про сертифікати КЕП європейських держав, то вимоги щодо їх змісту у кожної держави можуть дещо відрізнятися, однак існують загальні вимоги щодо обов’язкової інформації у сертифікатах КЕП кожної із держав ЄС.

Ці вимоги встановлені Регламентом Європейського Парламенту і Ради (ЄС) № 910/2014 від 23 липня 2014 року "Про електронну ідентифікацію та довірчі послуги для електронних транзакцій на внутрішньому ринку та про скасування Директиви 1999/93/ЄС" (надалі – Регламент).

Додатком I цього Регламенту встановлюються вимоги до кваліфікованих сертифікатів електронних підписів.

Відповідно до нього, кваліфіковані сертифікати електронного підпису повинні містити:

(a) зазначення, щонайменше в формі, придатній для автоматизованої обробки, того, що сертифікат видано як кваліфікований сертифікат електронного підпису;

(b) набір даних, що однозначно представляють кваліфікованого надавача довірчих послуг, який видає кваліфіковані сертифікати, і містять щонайменше назву держави-члена, у якій засновано такого надавача, та:

- для юридичної особи: найменування та, за доцільності, реєстраційний номер, як зазначено в офіційних записах,

- для фізичної особи: прізвище та ім’я особи;

(c) щонайменше прізвище та ім’я підписувача або псевдонім; якщо використовують псевдонім, це необхідно чітко вказати;

(d) дані для валідації електронного підпису, які відповідають даним для створення електронного підпису;

(e) детальну інформацію про початок та завершення строку чинності сертифіката;

(f) ідентифікаційний код сертифіката, що повинен бути унікальним для кваліфікованого надавача довірчих послуг;

(g) удосконалений електронний підпис або удосконалену електронну печатку кваліфікованого надавача довірчих послуг, який видає сертифікат;

(h) місце, де безоплатно надають сертифікат, який підтримує удосконалений електронний підпис або удосконалену електронну печатку, зазначені в пункті (g);

(i) місце надання послуг, які можна використати для подання запиту на перевірку статусу чинності кваліфікованого сертифіката;

(j) якщо дані для створення електронного підпису, пов’язані з даними для валідації електронного підпису, знаходяться в засобах для створення кваліфікованого електронного підпису, належне зазначення цього щонайменше в формі, придатній для автоматизованої обробки.

Так само, як і щодо сертифікатів КЕП України, у Регламенті зазначено, що сертифікати електронних підписів можуть мати необов’язкові додаткові конкретні характерні ознаки. Такі характерні ознаки не повинні впливати на інтероперабельність і визнання кваліфікованих електронних підписів (ст. 28, ч. 3 Регламенту).

Проаналізувавши вищевказані норми, ми можемо побачити, що вимоги здебільшого схожі, однак і мають свої відмінності.

Розглянемо більш детально відмінності у інформації, що має міститися у сертифікатах КЕП.

1. Кваліфіковані сертифікати КЕП держав ЄС можуть містити інформацію про псевдонім підписувача, якщо він використовується. У законодавстві України щодо КЕП таке поняття відсутнє, і ідентифікація фізичної особи відбувається лиже за прізвищем, ім’ям та по-батькові.
2. Кваліфіковані сертифікати КЕП держав ЄС повинні містити щонайменше прізвище та ім’я підписувача, в той час як кваліфіковані сертифікати України мають містити прізвище, ім’я та по-батькові особи, а також  унікальний номер запису в Єдиному державному демографічному реєстрі, або реєстраційний номер облікової картки платника податків, або ж серію та номер паспорта.
3. Кваліфіковані сертифікати КЕП України мають містити відомості про місцезнаходження юридичної особи, якій видано кваліфікований сертифікат відкритого ключа. Такої вимоги для сертифікатів КЕП ЄС не зазначено.
4. Так само сертифікати КЕП України мають містити відомості про обмеження використання кваліфікованого електронного підпису чи печатки (для кваліфікованого сертифіката електронного підпису чи печатки). Такої вимоги для сертифікатів КЕП ЄС не зазначено.
5. І на останок, в сертифікатах КЕП присутня вимога щодо наявності інформації про ім’я (імена) домену, що належить фізичній або юридичній особі, якій видано сертифікат відкритого ключа (для кваліфікованого сертифіката автентифікації веб-сайту).

Таким чином ми бачимо, що законодавство України передбачає більш розширений перелік вимог до кваліфікованого сертифікату відкритого електронного ключа.

І якщо ми внаслідок такого порівняння бажаємо встановити, чи відповідає інформація, зазначена у сертифікатах КЕП держав ЄС сертифікатам України, то можемо дійти висновку, що у сертифікатах КЕП ЄС присутні не усі відомості, які є обов’язковими відповідно до ЗУ “Про електронні довірчі послуги”.

Однак слід розуміти, що положення Регламенту мають загальні обов’язкові ознаки для всіх держав-членів ЄС, та якщо ми розглядаємо якусь окрему державу, то нам слід порівняти інформацію, яка міститься у сертифікатах КЕП саме цієї держави. Адже, як ми з’ясували раніше, кожна держава-учасник ЄС має право встановлювати свої додаткові положення щодо сертифікатів КЕП. І вивчивши ці положення, ми можемо з’ясувати, що вони цілком і повністю співпадають із положеннями законодавства України.

Саме для вирішення таких питань, на теперішній час, прийнято законопроект № 6173,  який максимально наближує законодавство України щодо КЕП до законодавства ЄС та передбачає взаємне визнання кваліфікованих електронних довірчих послуг ЄС та України.

Даний законопроект прийнято за основу із скороченням строку підготовки та він готується до другого читання.

Тож цілком можливо, що вже у найближчий час держави ЄС будуть вільно визнавати електронні довірчі послуги України та навпаки.

А до цього часу, Ви можете налагодити систему електронного документообігу за допомогою нашого сервісу https://instaco.com.ua/.

Ви з легкістю зможете запровадити електронний документообіг на своєму підприємстві (установі, організації). Ви зможете скористуватися послугами з отримання та відправки електронних документів через наш сервіс, а також скористатися розширеним функціоналом системи в частині ведення реєстру контрагентів, згенерувати документ, заповнений даними а також підписати його кваліфікованим електронно-цифровим підписом.