Питання: підприємство, яке нам виготовляло електронний підпис та ключі, в цьому році вимагає надати фото бухгалтера і директора з першою сторінкою паспорту в руках. На запитання відповідає, що це регламент СБУ.
Чи дійсно є такі вимоги? І який саме регламент, нормативний документ це врегульовує? Адже порушуються права громадян відповідно до Закону України «Про захист персональних даних».
Чи законні дії такого підприємства?
Відповідь:
Почнемо із спеціальних нормативно-правових актів, що регулюють надання таких електронних послуг. Отже, основний закон – «Про електронні довірчі послуги» (далі – Закон).
Відповідно до ст. 1 Закону надавач електронних довірчих послуг – юридична особа незалежно від організаційно-правової форми та форми власності, фізична особа – підприємець, яка надає одну або більше електронних довірчих послуг.
А кваліфікований надавач електронних довірчих послуг (далі- КНЕДП) – юридична особа незалежно від організаційно-правової форми та форми власності, фізична особа – підприємець, яка надає одну або більше електронних довірчих послуг, діяльність якої відповідає вимогам цього Закону та відомості про яку внесені до Довірчого списку.
Відповідно до ст. 13 Закону кваліфіковані надавачі електронних довірчих послуг мають право, зокрема, отримувати документи, необхідні для ідентифікації особи, ідентифікаційні дані якої міститимуться у сертифікаті відкритого ключа. При цьому, вони зобовʼязані забезпечити захист персональних даних користувачів електронних довірчих послуг відповідно до вимог законодавства.
Йдемо далі. Електронні довірчі послуги надаються, як правило, на договірних засадах надавачами електронних довірчих послуг (ч. 1 ст. 16 Закону).
Згідно зі ст. 22 Закону формування та видача кваліфікованого сертифіката відкритого ключа без ідентифікації особи, ідентифікаційні дані якої міститимуться у кваліфікованому сертифікаті відкритого ключа, не допускаються.
Тому ідентифікація особи, яка звернулася за отриманням послуги формування кваліфікованого сертифіката відкритого ключа, здійснюється в один із таких способів:
1) за особистої присутності фізичної особи, фізичної особи – підприємця чи уповноваженого представника юридичної особи – за результатами перевірки відомостей (даних) про особу, отриманими у встановленому законодавством порядку з Єдиного державного демографічного реєстру, за паспортом громадянина України або іншими документами, виданими відповідно до законодавства про Єдиний державний демографічний реєстр та про документи, що посвідчують особу, підтверджують громадянство України чи спеціальний статус особи;
2) віддалено (без особистої присутності особи), з одночасним використанням засобу електронної ідентифікації, що має високий або середній рівень довіри, раніше виданого фізичній особі, фізичній особі – підприємцю чи уповноваженому представнику юридичної особи за особистої присутності, та багатофакторної автентифікації (наприклад, сюди можна віднести біометричну ідентифікацію);
3) за ідентифікаційними даними особи, що містяться у кваліфікованому сертифікаті електронного підпису чи печатки, раніше сформованого (сформованої) та виданого (виданої) згідно з пунктом 1 або 2, за умови чинності такого сертифіката;
4) з використанням інших способів ідентифікації, визначених законом, надійність яких є еквівалентною особистій присутності та підтверджена органом з оцінки відповідності.
З урахуванням наведених норм доходимо таких висновків:
- Бухгалтер та директор як уповноважені представники юридичної особи повинні бути ідентифіковані. Інакше не зможуть отримати цю послугу.
- Оскільки ці послуги надаються на договірних засадах, то КНЕДП мало б на своєму сайті розмістити умови публічного договору щодо надання відповідних послуг, до якого Ви можете приєднатись та отримати послугу або ж шукати іншого КНЕДП. Саме таким договором і повинен би бути визначений перелік документів, необхідний для ідентифікації. В будь-якому разі, Ви й так розкриваєте свої персональні дані. Та ще й маєте надати згоду на їх розкриття.
- Порядок ідентифікації особи може ще й залежати від способу, який Ви обрали. Наприклад, якщо йдеться про віддалену ідентифікацію, то не обійтись без багатофакторної ідентифікації, коли можуть використовуватись біометричні дані обличчя (до прикладу). І тут логічним може бути використання Вашого фото, якщо це передбачено умовами публічного договору.
- Щодо Служби безпеки України. Вона є хіба що надавачем електронних довірчих послуг. І має «свої» регламенти. Та СБУ не є субʼєктом, що здійснює державне регулювання у цій сфері. А тому й не може встановлювати вимоги для інших КНЕДП.
Наталія Брожко, Керівна Партнерка,
адвокатеса Адвокатської фірми «Єфімов та партнери»