Чи треба зберігати використані ключі та сертифікати електронного цифрового підпису після закінчення строку чинності?
Екскурс в історію
Правовий статус електронного цифрового підпису та регулювання відносин, що виникають при використанні такого підпису, визначає Закон про ЕЦП. Вид електронного підпису — це електронний цифровий підпис (далі — ЕЦП), за допомогою якого підтверджується підписувач. ЕЦП накладається за допомогою особистого ключа та перевіряється за допомогою відкритого ключа. Особистий ключ доступний тільки підписувачу. Відкритий ключ доступний суб'єктам відносин у сфері використання ЕЦП. Електронні цифрові підписи мають сертифікати відповідності.
Чинність відкритого ключа засвідчує сформований сертифікат відкритого ключа. Це документ, виданий центром сертифікації ключів, який засвідчує чинність і належність відкритого ключа підписувачу. Також є посилені сертифікати відкритих ключів. Посилені сертифікати видаються акредитованим центром сертифікації ключів1, засвідчувальним центром, центральним засвідчувальним органом. Згідно зі ст. 6 Закону про ЕЦП, серед обов'язкових даних, що їх містить сертифікат ключа, є дата і час початку та закінчення строку чинності сертифіката. Отже, сертифікати не є безстроковими. Крім того, як уточнюється у ст. 13 Закону про ЕЦП, акредитований центр сертифікації ключів, яким видано сертифікат, у разі закінчення строку чинності сертифіката ключа негайно його скасовує.
1 Акредитація — процедура документального засвідчення компетентності центра сертифікації ключів здійснювати діяльність, пов'язану з обслуговуванням посилених сертифікатів ключів (ст. 1 Закону про ЕЦП).
Подання звітності до ДПІ
За ст. 3 Закону про ЕЦП, ЕЦП за правовим статусом прирівнюється до власноручного підпису (печатки) у разі, якщо:
— ЕЦП підтверджено з використанням посиленого сертифіката ключа за допомогою надійних засобів цифрового підпису;
— під час перевірки використовувався посилений сертифікат ключа (увага!), чинний на момент накладення ЕЦП;
— особистий ключ підписувача відповідає відкритому ключу, зазначеному у сертифікаті.
При поданні звітності в електронному вигляді до контролюючих органів платник податків отримує в будь-якому включеному до системи подання податкових документів в електронному вигляді акредитованому центрі сертифікації ключів посилені сертифікати відкритих ключів посадових осіб підприємства, що мають право підпису (керівника, бухгалтера), та печатки підприємства (особисті ключі зберігаються в таємниці). Подавати звітність в електронному вигляді можна після укладення з органом Міндоходів договору про визнання електронних документів та надання посилених сертифікатів відкритих ключів. У розділі «Строк дії договору» завжди є пункт, у якому сказано: «Договір діє до закінчення строку чинності посилених сертифікатів відкритих ключів. Якщо Платник податків подає до органу ДПС нові посилені сертифікати ЕЦП, цей Договір вважається пролонгованим до закінчення терміну чинності нових посилених сертифікатів ключів». Контролюючий орган має право розірвати договір в односторонньому порядку у разі ненадання платником податків нового посиленого сертифіката (сертифікатів) відкритого ключа замість скасованих. Тоді подати звітність в електронному вигляді до контролюючих органів стає неможливо. Відповідно до пп. 48.5.1 ПКУ достатнім підтвердженням справжності документа податкової звітності є наявність ЕЦП. Перелік документів, необхідних для отримання посиленого сертифіката ключа для можливості використання особами ЕЦП, наводиться у роз'ясненні Міндоходів від 10.09.2013 р. «Отримання послуг електронного цифрового підпису».
Зверніть увагу: у разі зміни облікових даних платника податків до моменту подання наступної електронної звітності слід отримати нові посилені сертифікати відкритих ключів на посадових осіб платника, які мають право підпису документів, та переукласти договір про визнання електронних документів (роз'яснення Міндоходів від 31.03.2014 р. «Переукладання договору про визнання електронних документів»).
Отже, для подання податкової звітності в електронному вигляді треба мати чинні посилені сертифікати відкритих ключів. У п. 7 р. ІІ Інструкції №233 сказано, що підставою для прийняття податкового документа в електронному вигляді є «чинність відповідного посиленого сертифіката ключа під час накладання ЕЦП (підтверджується за допомогою позначки часу, отриманої від акредитованого центру сертифікації ключів, або якщо до моменту одержання електронного документа строк дії відповідного сертифіката не був закінчений або відповідний сертифікат не був скасований/блокований)».
Поновлення сертифіката ключа
Підписувач (власник особистого ключа) має право поновлювати свій сертифікат ключа. А от чи треба зберігати використані ключі та сертифікати до них?
Забезпечувати зберігання сформованих сертифікатів ключів протягом строку, передбаченого законодавством для зберігання відповідних документів на папері, згідно зі ст. 8 Закону про ЕЦП, повинен центр сертифікації ключів. Крім того, у листі ДПАУ від 31.05.2007 р. «Подання податкової звітності та реєстрів податкових накладних в електронному вигляді» є вимога в разі зміни реквізитів платника протягом 3 р. д. повідомити ДПІ про це в електронному та письмовому вигляді та надати нові посилені сертифікати відкритих ключів та зберігати тільки архів файлів податкових документів із накладеними на них ЕЦП протягом терміну, передбаченого чинним законодавством для податкової звітності на паперових носіях.
Натомість до обов'язків ДПІ належить включити платника податків до бази сертифікатів відкритих електронних ключів ДПІ на основі поданих ним сертифікатів відкритих ключів та відправити квитанцію на електронну адресу платника з відповідним повідомленням. Якщо платник подає нові сертифікати відкритих ключів, такі дані повторно вносяться до сформованої бази, а скасовані чи заблоковані сертифікати вилучаються, про що платника повідомляють протягом доби квитанцією на електронну адресу. ДПІ не зобов'язана зберігати архів використаних ключів та сертифікатів.
Виходить, що платник податків не має обов'язку зберігати використані ключі та сертифікати. Вести електронний перелік чинних, скасованих і блокованих сертифікатів ключів та забезпечувати зберігання сформованих сертифікатів ключів протягом строку, передбаченого законодавством для зберігання відповідних документів на папері, повинен акредитований центр сертифікації ключів (ст. 9 Закону про ЕЦП). Але відповідно до пунктів 2138 — 2141 Переліку №578/5 (чинний з 01.01.2013 р.) сертифікати ЕЦП, сертифікати ключа ЕЦП на паперовому носії, посилені сертифікати відкритого ключа ЕЦП та сертифікати ключа ЕЦП на електронному носії повинні зберігатися підприємством постійно до його ліквідації. Так, це суперечить ст. 9 Закону про ЕЦП, яка покладає обов'язок зберігання сертифікатів на акредитований центр сертифікації ключів. Але беручи до уваги сучасний спектр використання ЕЦП, доходимо висновку, що підприємство не тільки зацікавлене, а й зобов'язане зберігати всі документи, пов'язані з ЕЦП, та сертифікати ключів аж до своєї ліквідації.
Підприємствам, які не зберігали використані ключі та сертифікати, рекомендуємо звернутися до центрів сертифікації ключів із запитом про отримання копій таких документів та/або електронного файла.
Нормативна база
- Закон про ЕЦП — Закон України від 22.05.2003 р. №852-IV «Про електронний цифровий підпис».
- Інструкція №233 — Інструкція про подання електронної податкової звітності, затверджена наказом ДПАУ від 10.04.2008 р. №233.
- Перелік №578/5 — Перелік типових документів, що створюються під час діяльності державних органів та органів місцевого самоврядування, інших установ, підприємств та організацій, із зазначенням строків зберігання документів, затверджений наказом Мін'юсту від 12.04.2012 р. №578/5.
Олена ВОДОП'ЯНОВА, «Дебет-Кредит»