Удосконалений чи кваліфікований електронний підпис: аналіз та рекомендації

Редакція
6698
5 Березня 2021
Удосконалений чи кваліфікований електронний підпис: аналіз та рекомендації
6698
5 Березня 2021

04.03.2021 на офіційному сайті Антимонопольного комітету України (далі — АМКУ) опублікували інформацію щодо електронного підпису. Так, АМКУ повідомили, що Постійно діюча адміністративна колегія Антимонопольного комітету України з розгляду скарг про порушення законодавства у сфері публічних закупівель (далі — Колегія) 10.02.2021 звернулася із запитом до Міністерства цифрової трансформації України щодо надання роз’яснення, чи може підпис вважатися кваліфікованим електронним підписом, якщо при перевірці електронного цифрового підпису на сайті ЦЗО з’являється інформація, що тип носія «незахищений», тип підпису «удосконалений».

Міністерство цифрової трансформації України листом від 16.02.2021 № 1/06-3-1587 надало відповідь на запит АМКУ у якій відповіли на два головні питання:

  1. в чому полягає відмінність між удосконаленим та кваліфікованим електронним підписом?
  2. якщо при перевірці електронного цифрового підпису на сайті ЦЗО з’являється інформація, що тип носія «незахищений», тип підпису «удосконалений», чи може такий підпис вважатися кваліфікованим електронним підписом?

Розберемо ці питання детальніше.

Питання 1. В чому полягає відмінність між удосконаленим та кваліфікованим електронним підписом?

Відповідь Міністерства цифрової трансформації України: «Згідно з частиною 2 статті 18 Закону України ”Про електронні довірчі послуги“ кваліфікований електронний підпис чи печатка вважається таким, що пройшов перевірку та отримав підтвердження, якщо, серед іншого, під час перевірки за допомогою кваліфікованого сертифіката електронного підпису чи печатки отримано підтвердження того, що особистий ключ, який належить підписувачу чи створювачу електронної печатки, зберігається в засобі кваліфікованого електронного підпису чи печатки; під час перевірки підтверджено цілісність електронних даних в електронній формі, з якими пов’язаний цей кваліфікований електронний підпис чи печатка.

Разом з тим засоби кваліфікованого електронного підпису чи печатки повинні забезпечувати, серед іншого, захист від доступу до особистих ключів сторонніх осіб (абзац 4 частини 1 статті 19 Закону України ”Про електронні довірчі послуги“).

Відповідно до пункту 12 частини 2 статті 23 зазначеного Закону кваліфіковані сертифікати відкритих ключів обов’язково повинні містити, в тому числі, відомості про те, що особистий ключ зберігається в засобі кваліфікованого електронного підпису чи печатки (для кваліфікованого сертифіката електронного підпису чи печатки).

З метою забезпечення технічного регулювання у сфері захисту інформації на офіційному вебсайті Державної служби спеціального зв’язку та захисту інформації України 09.09.2019 розміщено роз’яснення з питань використання засобів електронного підпису та печатки при наданні кваліфікованих електронних довірчих послуг за посиланням.

Враховуючи викладене, особистий ключ кваліфікованого електронного підпису може зберігатися виключно в засобі кваліфікованого електронного підпису чи печатки та повинен бути пов’язаним з кваліфікованим сертифікатом електронного підпису.

Слід зауважити, що згідно з постановою Кабінету Міністрів України від 03.03.2020 № 193 “Про реалізацію експериментального проекту щодо забезпечення можливості використання удосконалених електронних підписів і печаток, які базуються на кваліфікованих сертифікатах відкритих ключів“ забезпечено можливість використання удосконалених електронних підписів чи печаток, які базуються на кваліфікованих сертифікатах відкритих ключів, для здійснення електронної взаємодії, електронної ідентифікації та автентифікації фізичних, юридичних осіб і представників юридичних осіб у разі, коли законодавством передбачено використання виключно кваліфікованих електронних підписів чи печаток (кваліфікованих електронних довірчих послуг) або засобів електронної ідентифікації з високим рівнем довіри, крім випадків, встановлених законодавством.

Звертаємо увагу на те, що кваліфікований сертифікат відкритого ключа, сформований для удосконаленого електронного підпису чи печатки, не містить відомостей про те, що особистий ключ зберігається в засобі кваліфікованого електронного підпису чи печатки; під час перевірки удосконаленого електронного підпису чи печатки за допомогою кваліфікованого сертифіката відкритого ключа надається підтвердження того, що особистий ключ не зберігається в засобі кваліфікованого електронного підпису чи печатки (пункт 3 вимог до удосконалених електронних підписів та печаток, які базуються на кваліфікованих сертифікатах відкритих ключів, і до надання електронних довірчих послуг, пов’язаних з їх створенням, перевіркою, підтвердженням та зберіганням, затверджених постановою Кабінету Міністрів України від 03.03.2020 № 193)».

Коментар редакції. Враховуючи викладене вище, можемо дійти таких висновків:

  1. відповідно до пункту 12 частини 2 статті 23 зазначеного Закону кваліфіковані сертифікати відкритих ключів обов’язково повинні містити відомості про те, що особистий ключ зберігається в засобі кваліфікованого електронного підпису чи печатки (для кваліфікованого сертифіката електронного підпису чи печатки). У свою чергу кваліфікований сертифікат відкритого ключа, сформований для удосконаленого електронного підпису чи печатки, не містить відомостей про те, що особистий ключ зберігається в засобі кваліфікованого електронного підпису чи печатки;
  2. учасники у період з 07.11.2020 по 31.12.2021 можуть використовувати удосконалений електронний підпис чи печатку, які базуються на кваліфікованих сертифікатах відкритих ключів, для здійснення електронної взаємодії, електронної ідентифікації та автентифікації фізичних, юридичних осіб і представників юридичних осіб у разі, коли законодавством передбачено використання виключно кваліфікованих електронних підписів чи печаток (кваліфікованих електронних довірчих послуг) або засобів електронної ідентифікації з високим рівнем довіри, крім випадків, встановлених законодавством.

Питання 2. Якщо при перевірці електронного цифрового підпису на сайті ЦЗО з’являється інформація, що тип носія «незахищений», тип підпису «удосконалений», чи може такий підпис вважатися кваліфікованим електронним підписом?

Відповідь Міністерства цифрової трансформації України: «Якщо за результатом перевірки електронного підпису засіб кваліфікованого електронного підпису чи печатки надає інформацію, що тип підпису ”удосконалений“, то такий електронний підпис не може вважатися кваліфікованим.

Звертаємо увагу на те, що згідно з абзацом 2 пункту 2 Порядку використання електронних довірчих послуг в органах державної влади, органах місцевого самоврядування, підприємствах, установах та організаціях державної форми власності, затвердженого постановою Кабінету Міністрів України від 19.09.2018 № 749, захищений носій особистих ключів — засіб кваліфікованого електронного підпису чи печатки, що призначений для зберігання особистого ключа та має вбудовані апаратно-програмні засоби, що забезпечують захист записаних на ньому даних від несанкціонованого доступу, безпосереднього ознайомлення із значенням параметрів особистих ключів та їх копіювання.

Крім того, на офіційному вебсайті Державної служби спеціального зв’язку та захисту інформації України розміщено Перелік засобів технічного захисту інформації, які мають експертний висновок про відповідність до вимог технічного захисту інформації, за посиланням.

Водночас наголошуємо на можливості до 31.12.2021 використовувати удосконалені електронні підписи та печатки, які базуються на кваліфікованих сертифікатах відкритих ключів, з дотриманням вимог, встановлених постановою Кабінету Міністрів України від 03.03.2020 № 193 ”Про реалізацію експериментального проекту щодо забезпечення можливості використання удосконалених електронних підписів і печаток, які базуються на кваліфікованих сертифікатах відкритих ключів“».

Коментар редакції. Враховуючи викладене вище, можемо дійти таких висновків:

  1. якщо за результатом перевірки електронного підпису засіб кваліфікованого електронного підпису чи печатки надає інформацію, що тип підпису «удосконалений», то такий електронний підпис не може вважатися кваліфікованим;
  2. кваліфікованим електронним підписом є підпис, який створюється з використанням засобу кваліфікованого електронного підпису. Тобто такий, який створюється на так званому токені.

Чи мають право учасники закупівель використовувати удосконалений електронний підпис у закупівлях?

Відповідно до частини 3 Порядку розміщення інформації про публічні закупівлі, який затверджений наказом Мінекономіки від 11.06.2020 № 1082, розміщення інформації в електронній системі закупівель здійснюється замовником / ЦЗО / учасником / постачальником / органом оскарження / органами державного фінансового контролю шляхом заповнення електронних полів, визначених адміністратором і реалізованих в електронній системі закупівель, та завантаження відповідних документів через автоматизоване робоче місце замовника / ЦЗО  / учасника / постачальника / органу оскарження / органів державного фінансового контролю. Після внесення інформації в електронні поля на неї накладається кваліфікований електронний підпис посадової особи. Інформація, що заповнюється в електронних полях, може відображатися на вебпорталі у вигляді документа, доступного для друку.

Проте згідно з постановою Кабміну від 03.03.2020 № 193 «Про реалізацію експериментального проекту щодо забезпечення можливості використання удосконалених електронних підписів і печаток, які базуються на кваліфікованих сертифікатах відкритих ключів» забезпечено можливість використання удосконалених електронних підписів чи печаток, які базуються на кваліфікованих сертифікатах відкритих ключів, для здійснення електронної взаємодії, електронної ідентифікації та автентифікації фізичних, юридичних осіб і представників юридичних осіб у разі, коли законодавством передбачено використання виключно кваліфікованих електронних підписів чи печаток (кваліфікованих електронних довірчих послуг) або засобів електронної ідентифікації з високим рівнем довіри, крім випадків, встановлених законодавством.

Враховуючи викладене вище, учасники закупівель мають право використовувати удосконалений електронний підпис, який базується на кваліфікованому сертифікаті відкритого ключа, коли законодавством передбачено використання виключно кваліфікованих електронних підписів.

Як проводити розгляд тендерних пропозицій / пропозицій учасників?

Якщо замовником в тендерній документації / оголошенні про проведення спрощеної закупівлі була зазначена вимога щодо накладення учасником на тендерну пропозицію / пропозицію кваліфікованого електронного підпису, під час перевірки електронного підпису на сайті ЦЗО має відображатися наступна інформація: «тип підпису: кваліфікований» і «тип носія особистого ключа: захищений» (Рис. 1).

Якщо під час перевірки електронного підпису зазначено «тип носія особистого ключа: незахищений» і «тип підпису: удосконалений» (Рис. 2), відповідно до вищезазначеної відповіді Міністерства цифрової трансформації України замовнику рекомендовано відхилити тендерну пропозицію / пропозицію учасника.

Як доцільно встановлювати вимогу щодо накладання електронного підпису?

Враховуючи офіційну відповідь Міністерства цифрової трансформації України, замовнику доцільно встановлювати в тендерній документації вимогу, зазначену у Прикладі 1 або Прикладі 2.

Приклад 1

«Відповідно до частини 3 статті 12 Закону під час використання електронної системи закупівель з метою подання тендерних пропозицій та їх оцінки документи та дані створюються та подаються з урахуванням вимог законів України “Про електронні документи та електронний документообіг” та “Про електронні довірчі послуги”. Учасники процедури закупівлі подають тендерні пропозиції у формі електронного документа чи скан-копій через електронну систему закупівель. Тендерна пропозиція учасника має відповідати ряду вимог:

1) документи мають бути чіткими та розбірливими для читання;

2) якщо у складі тендерної пропозиції є хоча б один сканований документ, потрібно накласти удосконалений електронний підпис (УЕП) або кваліфікований електронний підпис (КЕП) на тендерну пропозицію;

3) якщо ж такі документи надано у формі електронного документа, УЕП або КЕП накладають на кожен електронний документ тендерної пропозиції окремо;

4) якщо ж пропозиція містить і скановані, і електронні документи, потрібно накласти УЕП або КЕП на тендерну пропозицію в цілому та на кожен електронний документ окремо.

Виняток: якщо електронні документи тендерної пропозиції видано іншою організацією і на них уже накладено УЕП або КЕП цієї організації, учаснику не потрібно накладати на них свій УЕП або КЕП.

Зверніть увагу: документи тендерної пропозиції, які надані не у формі електронного документа (без УЕП або КЕП на документі), повинні містити підпис уповноваженої особи учасника закупівлі (із зазначенням прізвища, ініціалів та посади особи), а також відбитки печатки учасника (у разі використання) на кожній сторінці такого документа (окрім документів, виданих іншими підприємствами / установами / організаціями).

Замовник не вимагає від учасників засвідчувати документи (матеріали та інформацію), що подаються у складі тендерної пропозиції, печаткою та підписом уповноваженої особи, якщо такі документи (матеріали та інформація) надані у формі електронного документа через електронну систему закупівель із накладанням УЕП або КЕП. Замовник перевіряє УЕП або КЕП учасника на сайті центрального засвідчувального органу за посиланням: https://czo.gov.ua/verify. Під час перевірки УЕП або КЕП повинні відображатися: прізвище та ініціали особи, уповноваженої на підписання тендерної пропозиції (власника ключа). У випадку відсутності даної інформації або у випадку ненакладення учасником УЕП або КЕП відповідно до умов тендерної документації учасник вважається таким, що не відповідає встановленим абзацом 1 частини 3 статті 22 Закону вимогам до учасника відповідно до законодавства, та його пропозицію буде відхилено на підставі абзацу 3 пункту 1 частини 1 статті 31 Закону».

Приклад 2

«Тендерна пропозиція подається учасником закупівлі з урахуванням вимог Закону України “Про електронні довірчі послуги” та Закону України “Про електронні документи та електронний документообіг”, тобто повинна містити накладений удосконалений електронний підпис (УЕП) або кваліфікований електронний підпис (КЕП) особи учасника закупівлі на тендерну пропозицію. Файл накладеного УЕП або КЕП повинен бути придатний для перевірки на сайті Центрального засвідчувального органу за посиланням: http://czo.gov.ua/verify. У випадку ненакладення учасником УЕП або КЕП відповідно до умов тендерної документації учасник вважається таким, що не відповідає встановленим абзацом першим частини 3 статті 22 Закону вимогам до учасника відповідно до законодавства, та його пропозицію буде відхилено на підставі абзацу 3 пункту 1 частини 1 статті 31 Закону».

Аналогічну вимогу замовник має передбачити і в оголошенні про проведення спрощеної закупівлі.

Практика Органу оскарження

Рішення № 2525-р/пк-пз від 11.02.2021, оголошення № UA-2020-12-30-003892-c

Вимога тендерної пропозиції: відповідно до пункту 1 розділу ІІІ тендерної документації тендерна пропозиція подається в електронному вигляді через електронну систему закупівель шляхом заповнення електронних форм з окремими полями, тендерна пропозиція учасника має відповідати ряду вимог, зокрема, якщо у складі тендерної пропозиції є хоча б один сканований документ, потрібно накласти кваліфікований електронний підпис (КЕП) на тендерну пропозицію; якщо ж такі документи надано у формі електронного документа, КЕП накладають на кожен електронний документ тендерної пропозиції окремо; якщо ж тендерна пропозиція містить і скановані, і електронні документи, потрібно накласти КЕП на тендерну пропозицію в цілому та на кожен електронний документ окремо, винятком є електронні документи тендерної пропозиції, видані іншою організацією, на які уже накладено КЕП цієї організації, учаснику не потрібно накладати на них свій КЕП.

Позиція скаржника: скаржник зазначає, що учасником процедури закупівлі ТОВ «П» повинно бути накладено КЕП з виключно захищеним носієм особистого ключа, водночас накладений на пропозицію КЕП є незахищеним, що не відповідає вимогам законодавства та умовам тендерної документації.

Позиція замовника: замовник зазначає, що відповідно до абзацу 2 пункту 1 постанови КМУ «Про реалізацію експериментального проекту щодо забезпечення можливості використання удосконалених електронних підписів і печаток, які базуються на кваліфікованих сертифікатах відкритих ключів» від 03.03.2020 № 193, з 07.11.2020 до 31.12.2021 приватний бізнес має право використовувати удосконалені електронні підписи чи печатки, які базуються на кваліфікованих сертифікатах відкритих ключів.

Позиція Органу оскарження: на тендерну пропозицію переможця не накладено саме кваліфікований електронний підпис (Рис. 3). Враховуючи викладене, переможець не відповідає встановленим абзацом 1 частини 3 статті 22 цього Закону вимогам до учасника відповідно до законодавства. У Замовника наявні підстави для відхилення пропозиції переможця, визначені пунктом 1 частини 1 статті 31 Закону.

Висновок. Якщо замовником в тендерній документації / оголошенні про проведення спрощеної закупівлі була зазначена вимога щодо накладення учасником на тендерну пропозицію / пропозицію кваліфікованого електронного підпису, то під час перевірки електронного підпису на сайті ЦЗО має відображатися наступна інформація: «тип підпису: кваліфікований» і «тип носія особистого ключа: захищений».Якщо ж під час перевірки електронного підпису зазначено «тип носія особистого ключа: незахищений» і «тип підпису: удосконалений», відповідно до листа Міністерства цифрової трансформації України замовнику рекомендовано відхилити тендерну пропозицію / пропозицію учасника.

Наостанок надамо рекомендації щодо дій замовника у випадку, якщо закупівля вже оголошена:

  • етап закупівлі: «період уточнення». На даному етапі замовнику доцільно внести зміни до тендерної документації / оголошення про проведення спрощеної закупівлі в частині вимоги щодо накладання електронного підпису на тендерну пропозицію / пропозицію учасника;
  • етап закупівлі: «подання тендерної пропозиції». На даному етапі замовнику доцільно внести зміни до тендерної документації в частині вимоги щодо накладання електронного підпису на тендерну пропозицію учасника! Законом заборонено вносити зміни до оголошення про проведення спрощеної закупівлі на етапі подання пропозицій.

Будьте обачні та завжди керуйтесь чинним законодавством та щоб не плутатись з питанням «куди та які зміни вносити» скачуйте готові та актуальні зразки документів з питань публічних закупівель на порталі RADNUK.COM.UA з розділу «Зразки документів».


Корисне до матеріалу: Безкоштовний вебінар на тему: Електронний підпис у публічних закупівлях

Тендерна документація

Публікації, що стосуються будь-яких питань розроблення, наповнення, зміни, оприлюднення, специфіки тендерної документації та ін.