Особенности и сроки хранения электронных документов

Электронный документооборот — общераспространенное явление. Но до сих пор не регламентированное в достаточной мере законодательством  детально (при том, что нормы закона, устанавливающие требования к обороту как таковых документов остаются по-прежнему строгими — и ЭДО к ним нужно как-то приспосабливать).

Не все пользователи знают какой срок хранения электронных первичных документов и как правильно организовать их хранение. Как следствие, применение ЭДО может сопровождаться различными рисками — рассмотрим их специфику и ознакомимся со способами их избежания.

Срок хранения электронных документов и какие сложности при этом могут возникнуть?

Требования законодательства по организации хранения электронных документов хозяйствующими субъектами, действительно, в целом, установлены те же самые, что приняты в отношении традиционных бумажных документов. К числу таких требований относится соблюдение сроков хранения документов.

В самом общем случае типичные документы организации (договоры, накладные, платежки, регистры бухучета) хранятся 5 лет. Счета-фактуры (как и книги покупки и продаж) — 4 года. Некоторые документы — например, приказы по основной деятельности и бухгалтерская отчетность, должны храниться до тех пор, пока хозяйствующий субъект осуществляет деятельность (не закрылся).

В отношении отдельных документов законодательством (основной нормативный акт здесь — приказ Минкультуры России от 25.08.2010 № 558 (ССЫЛКА), в юрисдикции которого находятся в том числе и частные организации) могут быть установлены очень длительные сроки хранения — например, 75 лет должны храниться личные карточки сотрудников. И в отношении электронных документов (электронных версий бумажных документов с соответствующими сроками хранения) они также действуют.

Законодатель, в свою очередь, не ограничивает хозяйствующий субъект в выборе способов хранения электронного документа — при условии, что оно будет соответствовать действующим нормам закона. Основной нормативный акт, в котором содержатся правила оборота электронных документов — приказ Минкультуры от 31.03.2015 № 526 — ССЫЛКА   (его юрисдикция, как и в случае с приказом № 558, также распространяется на частные организации). Однако, эти нормы очень общие, поверхностные. По сути, обязательства хозяйствующего субъекта, который использует электронные документы, сводятся к решению трех основных задач:

• использования, как минимум, двух экземпляров документа — которые должны быть размещены на разных физических носителях;
• применения технических и программных средств, которые приспособлены для чтения, копирования или перезаписи документа (его экземпляров), а также для контроля их состояния;
• обеспечения надежного режима хранения документов — так, чтобы они не были утрачены, несанкционированным образом распространены, уничтожены или искажены.

Важно также, чтобы выбранные предприятием способы размещения электронного документа не нарушали требований законодательства, связанного с обеспечением защиты данных. Прежде всего — Закона № 152-ФЗ «О персональных данных». То есть, на практике носители должны быть такими, чтобы к файлам не было постороннего доступа.

Документ (одна из его копий) может быть размещен на носителе внутри предприятия (на сервере, диске) или же загружен в облако (например, оператора ЭДО). Второй способ становится все более популярным — но в то же время его применение характеризуется рядом ощутимых рисков.

Главный риск — отсутствие четко прописанных в законодательстве механизмов ответственности оператора ЭДО за сохранность документов, размещенных на его серверах. В значительной степени данный риск обусловлен тем фактом, что в законодательстве, имеющем отношение к использованию документов, в ряде случаев напрямую говорится о том, что за сохранность документов несет ответственность именно их владелец. Так, в Законе № 402-ФЗ «О бухгалтерском учете» прямо сказано, что обеспечение безопасных условий хранения бухгалтерских документов — задача хозяйствующего субъекта. Предполагается, что оператор ЭДО лишь осуществляет передачу данных в случаях и в порядке, предусмотренных законом или договором — но не их хранение.

В ряде сценариев, безусловно, возможно заключение между хозяйствующим субъектом и оператором ЭДО отдельного (как правило, платного и недешевого) соглашения на оказание услуги по хранению документов. И в этом соглашении прописывается ответственность исполнителя за те или иные ошибки (недоработки) в организации их хранения. Но к числу таких ошибок относятся те, что носят, главным образом, «технический» характер. Примеры подобных ошибок (недоработок):

• ненадлежащий контроль над техническим состоянием серверов;
• неосуществление резервного копирования данных;
• игнорирование дублирования подачи электричества.

В то время как указанные «технические» ошибки для современных операторов можно считать редкостью. Но даже и они, как показывает практика, могут допускать недочеты в работе. Которые могут привести к крайне неприятным последствиям для стороны, разместившей у оператора ЭДО документ — в сценарии, когда соответствующего дополнительного соглашения об ответственности оператора не заключено.

Видео — острые юридические вопросы хранения электронных документов:

За несанкционированный доступ к документам (собственно, данный риск правомерно считать основным) оператор ЭДО, как правило, не отвечает — и просто потому, что для этого нет подходящих юридических механизмов. Типичный сценарий — когда документ подписывается (с использованием действующей ЭЦП) уже уволенным работником (как вариант, в его собственных корыстных целях). Оператор — в соответствии с договором, разрешает провести обладателю ЭЦП юридически значимые действия (поскольку не знает и не может знать, что человек уволился), которые могут навредить организации, которая когда-то оформила на увольняемого ЭЦП. Возложить ответственность на оператора за последствия таких действий нельзя — в лучшем случае можно аннулировать подписанные документы (но на практике такое действие может быть запоздалым и потому бесполезным).

Собственно, ЭЦП может в принципе попасть не в те руки — и оператор также за это не отвечает (поскольку не может проконтролировать движение подписи).

Не менее важный нюанс — в том, что оператор как хозяйствующий субъект несет ответственность за допущенные нарушения только в пределах уставного капитала. Совершенно не исключен сценарий, при котором суммарный ущерб отдельным пользователям намного превысит величину данного капитала — и оператор попросту не сможет рассчитаться с пострадавшими контрагентами по финансовым причинам.

Также можно выделить ряд иных проблемных участков, которые могут наблюдаться при размещении электронных документов на облачных серверах операторов ЭДО:

1. Отсутствие унификации файловых форматов в области юридически значимого ЭДО.

Бывает так, что требуемый документ, пусть и полностью защищенный от обозначенных факторов риска, попросту не получается открыть в силу отсутствия в непосредственном доступе нужных программ. В свою очередь, его переформатирование в самом общем случае приводит к утрате документом юридической силы — нужно переподписывать его (что не всегда возможно).

2. Значительное превышение сроков хранения документов в сравнении со сроками действия сертификатов ЭЦП.

Если у сертификата закончился срок действия, то удостоверение его подлинности на момент подписания (когда сертификат действовал) потребует проведение большого объема дополнительной работы компетентными специалистами (скорее всего, опять же, за дополнительную плату) от оператора ЭДО. Им предстоит «вручную» выяснить — кто именно имел полномочия на подписания, и были ли соответствующие полномочия легально применены.

Существует технология подписания электронных документов, которая предполагает использование усовершенствованных квалифицированных ЭЦП — приспособленных не только к заверению документа, но и к включению в состав подписи штампа времени. Данный штамп удостоверяет тот факт, что на момент подписания документа использовался действующий сертификат.

Усовершенствованные квалифицированные подписи (УКЭП) разработаны как раз на тот случай, когда срок действия сертификата истек, документ еще хранится, но у того или иного заинтересованного лица возникла необходимость проверить законность подписания данного документа. Правда, здесь есть проблема: штамп считается действительным только в период действия сертификата. Однако, есть и способ ее решения — своевременное «перештампование» электронного документа по мере выпуска новых сертификатов (то есть, к моменту окончания действия текущего сертификата оформляется новый, а затем с помощью него сразу же «перештамповывается» документ).

Но, так или иначе, штамп — пусть и с истекшим сроком действия, будет удостоверять факт подлинности сертификата на момент подписания документа. Подобное действие, так или иначе, сыграет в пользу владельца документа, которому нужно доказать его подлинность.

Гарантом удостоверения подлинности самого штампа в данном случае выступает удостоверяющий центр — выдающий рассматриваемые квалифицированные ЭЦП. При необходимости, если нужно будет доказать подлинность электронного документа в суде, представитель УЦ может выступить одним из свидетелей — третьей стороной спора.

Практическое использование усовершенствованных ЭЦП можно осуществить в рамках пользования инфраструктурой многих ведущих операторов ЭДО — например, сервисов от Контура (ССЫЛКА). Применение таких УКЭП становится общераспространенным — в силу отсутствия реальных альтернатив (объединяющих в себе технологический и юридический инструментарий проверки подлинности электронных документов столь же эффективно). И потому можно ожидать все большей популяризации услуг по предоставлению усовершенствованных ЭЦП от ведущих российских операторов.

Но тот факт, что штамп все же имеет ограниченный срок действия, позволяет говорить лишь о частичном решении проблемы удостоверения подлинности электронных документов. Не исключено при этом скорое появление обновленных стандартов применения такого штампа, при котором «перештамповке» могут быть найдены альтернативы, не привносящие рисков ущемления прав участников электронного документооборота.

3. Затруднения в практическом выполнении отдельных предписаний законодательства.

Так, например, государственные и муниципальные архивы должны — в соответствии с приказом № 526, принимать текстовые документы только в формате PDF. В свою очередь, конвертировать в такой формат исходные файлы Word или Excel может быть затруднительно. Кроме того, если исходный файл был подписан ЭЦП, то и «выходной» PDF-файл нужно переподписывать (иначе он не будет иметь юридической силы), на что, опять же, уйдет время.

Можно отметить, что приказ № 526 не содержит каких-либо отдельных требований к процедурам удостоверения подлинности документов (с помощью ЭЦП). Эти процедуры должны осуществляться в соответствии с общим законодательством, регулирующим применение электронных подписей — но его нормы не всегда учитывают специфику размещения документов, используемых конкретно во внутрикорпоративном документообороте.

Так или иначе, размещая документы у оператора ЭДО, компания рискует:

• остаться без этих документов вследствие технических сбоев у оператора (который может либо ничего не гарантировать на случай таких сбоев, либо гарантировать в соответствии с отдельным соглашением — но столкнуться со сложностями выполнения обязательств по данному соглашению);
• столкнуться с правовыми последствиями при несанкционированном доступе к документам (нелегальном использовании ЭЦП) — за который оператор, как правило, не отвечает в принципе;
• столкнуться с затруднениями при удостоверении подлинности электронных документов (правомерности их подписания).

Тем не менее, электронный документооборот приобретает все большую распространенность. И компаниям нужно искать механизмы его применения при сведении к минимуму обозначенных рисков. Рассмотрим, какими эти механизмы могут быть.

Как лучше организовать хранение электронных документов?

Речь может идти о следующих подходах к решению современным предприятием рассматриваемой задачи:

1. Подход «Важное — на бумаге».

Ключевые договоры, первичные документы, правоустанавливающие и иные — отсутствие которых не только критично, но и недопустимо в принципе — должны храниться в бумажном виде. В электронном можно, безусловно, использовать их заверенные с помощью ЭЦП сканы (и размещать их на электронных носителях в качестве альтернативных мест хранения). Но от применения только в электронном виде таких документов имеет смысл отказаться.

2. Подход «Есть возможность продублировать — дублируй».

Законодательство, как мы уже знаем, в общем случае не ограничивает бизнесы в выборе физических носителей для хранения данных (с поправкой на требования норм о защите данных, разумеется). Предприятию нужно пользоваться этим — распределяя по разным обособленным носителям разумное, достаточное количество электронных копий ключевых документов.

3. Подход «Файлы — отдельно от сканов».

Сканы — которым сопутствует наличие бумажного оригинала, имеет смысл учитывать в системе ЭДО обособленно от «чистых» электронных документов (у которых нет бумажного исходника). Это обусловлено спецификой периодических инвентаризаций — которые являются важной частью обеспечения работы системы документооборота на предприятии. Методика инвентаризации только электронных документов будет с технологической точки зрения отличаться от той, что характеризует проверку связок «скан — бумажный носитель», и их смешение будет не слишком эффективным решением с точки зрения организации труда ответственных за инвентаризацию лиц.

Отметим, что организация оборота «чистых» электронных документов может регламентироваться отдельными источниками. Так, например, организацией ВНИИДАД были разработаны подробные рекомендации по учету таких документов (ССЫЛКА). Применять их к связкам «скан — бумажный оригинал» не следует — но, вместе с тем, они могут быть крайне эффективны в случае грамотного применения при учете только электронных документов.

Э-документы с длительным сроком хранения: что с ними делать?

Отдельную сложность представляет собой практическое хранение электронных документов, которые — в соответствии с законодательством, должны размещаться в архивах очень долгое время. За 75 лет, в течение которых может потребоваться хранить документ, оператор ЭДО может, условно говоря, несколько раз открыться и закрыться (влиться в состав другой фирмы, а затем выйти из нее, всякий раз образуя новое юрлицо). Как быть при организации длительного хранения электронных документов с учетом возможной «нестабильности» оператора?

Пока что ответ на данный вопрос может быть один: если документ нужно хранить долго, то лучше обеспечить его размещение в архиве в бумажном виде. Такая рекомендация может быть обусловлена даже не тем, что у оператора ЭДО может поменяться статус, но и тем, что может значительно поменяться само законодательство — в то время как реагирование на такие перемены при уже осуществленных действиях по размещению документов с длительным сроком хранения в электронном виде может потребовать от предприятия значительных трудовых и финансовых затрат.

Резюме

Большинство разновидностей электронных документов, используемых на российских предприятиях, подлежат хранению в течение установленного срока — точно так же, как и бумажные документы. Базовые требования к организации такого хранения отражены в нормативных актах от Министерства культуры — и их юридическая сила распространяется на все организации.

Ответственность за выполнение этих норм (и за правовые последствия при совершении ошибок в работе с документами) в общем случае несет само предприятие (лишь частично в соответствии с отдельным договором ответственность может быть перенесена на оператора ЭДО). Поэтому, предприятию в любом случае нужно перестраховываться — как в части выбора способов размещения файлов, так и в части способов контроля доступа к ним.

Вместе с тем, законодатель дает фирмам свободу в выборе способов размещения документации в электронном виде. Главное — чтобы эти способы не приводили к нарушениям требований законодательства о различных типах защищенных данных и прочих нормативных актов, регулирующих электронный документооборот.

Видео — организация хранения электронных документов как самое слабое звено национального проекта «Цифровая экономика»: