МЧД в 2024 году: есть ли риски для работников и как мошенники могут получить доступ к доверенности

Какие опасения вызывает оформление МЧД у сотрудников компаний 

К бумажным доверенностям сотрудники компаний уже привыкли и их оформление не вызывает у них никаких вопросов. Но к оформлению МЧД некоторые работники до сих пор относятся с известной долей недоверия. Самое частое опасение работника, отказывающегося от оформления МЧД, связано с тем, что якобы в электронных доверенностях раскрывается гораздо больше персональных сведений и личной информации, чем в бумажных, и это дает возможность любому мошеннику получить о работнике ту информацию, которая  составляет охраняемую законом тайну и подлежит правовой защите в соответствии с законодательством о персональных данных. И, естественно, воспользоваться этой информацией в корыстных целях.

Например, в интернет-обсуждениях неоднократно звучат предположения, что в единой МЧД (в настоящее время единой электронной доверенности еще не существует) будут указывать не только должность работника и место работы, но и номер телефона, адрес электронной почты, домашний адрес и даже страницы в соцсетях. Естественно, раскрывать всю эту информацию готов не каждый. Но есть ли повод у подобных опасений?

На самом деле все указанные предположения не соответствуют действительности. Состав персональных сведений, указываемых в МЧД, сейчас практически идентичен тем сведениям, которые указываются при оформлении бумажных доверенностей. Перечень реквизитов бумажной доверенности приведен в письме ФНП от 22.07.2016 №2668/03-16-3. В такой доверенности указывают:

• место совершения доверенности;
• сведения о представляемом лице;
• перечень полномочий представителя, на которого оформлена доверенность;
• срок, на который выдана доверенность;
• указание на право или запрет передоверия, возможность или запрет последующего передоверия;
• сведения о представителе (работнике компании, действующем на основании доверенности): ФИО; дата и место рождения; место жительства (при наличии); данные документа, удостоверяющего личность (вид документа, его серия, номер, дата выдачи и код органа, выдавшего документ);
• подпись представляемого лица. 

Перечень же сведений о работнике, указываемых в МЧД, установлен приказом Минцифры России от 18.08.2021 №857 и приказом ФНС от 30.04.2021 №ЕД-7-26/445@. Так, в МЧД указывают следующую информацию о сотруднике, на которого оформляют электронную доверенность: ФИО; гражданство; дата рождения; паспортные данные; СНИЛС и ИНН.

Таким образом, перечни персональных сведений, указываемых в МЧД и бумажной доверенности, не сильно отличаются друг от друга. В МЧД указаны гражданство, ИНН и СНИЛС, но, с другой стороны, бумажные доверенности содержат данные о месте рождения и месте жительства работника. Поэтому говорить о том, что МЧД необоснованно расширяют список личных данных, как минимум необоснованно.

Будут ли вносить в МЧД дополнительные сведения о работниках

С 1 марта 2024 года утрачивает силу приказ ФНС от 30.04.2021 №ЕД-7-26/445@, который утверждает формат МЧД, используемой при представлении отчетности в налоговые органы и некоторые другие ведомства. В действие будет введена новая МЧД ФНС по формату, утв. приказом ФНС от 19.09.2023 №ЕД-7-26/648@. Новый формат МЧД ФНС не предполагает расширения действующего объема персональных сведений, указываемых в электронных доверенностях, оформляемых на работников организаций и ИП.

Также не предполагает сбора с сотрудников дополнительных сведений и конфиденциальной информации и новый формат МЧД СФР, который установлен в соответствии с приказом СФР от 11.10.2023 №2016 и применяется с 7 января 2024 года.

В МЧД в 2024 году по-прежнему нужно будет указывать только ФИО, СНИЛС и ИНН работника, гражданство, дату рождения и паспортные данные. Никакие дополнительные персональные данные, которые не требуются при сдаче обязательной отчетности и электронном взаимодействии с другими компаниями, ведомствами и внебюджетными фондами, в МЧД раскрываться не будут. Другими словами, оформляемые на работников МЧД не будут раскрывать сведения об их должностных обязанностях, номерах телефонов, адресах проживания и электронной почты, семейном и имущественном положении, национальности, доходах, политических взглядах и убеждениях, и прочие данные, не имеющие никакого отношения к работе компании, которая оформляет электронную доверенность.

Не стоит переживать о том, что МЧД может раскрыть о работнике те сведения, которые он не желает распространять. Все сведения, необходимые работодателям для оформления МЧД, работники уже сейчас предоставляют при трудоустройстве и заключении трудового договора в соответствии со ст. 65 ТК РФ. Никаких дополнительных сведений специально для оформления МЧД работодатели от работников не требуют.

Должен ли работодатель получить согласие сотрудника на передачу персональных данных для оформления МЧД

Работодателям, оформляющим МЧД на своих сотрудников, стоит озаботиться получением согласия таких сотрудников на передачу своих персональных данных в рамках использования электронной доверенности. 

В настоящее время при трудоустройстве сотрудники уже предоставляют работодателям письменное согласие на обработку персональных данных. Однако такое согласие, как правило, не предполагает, что персональные данные работников в составе МЧД будут передаваться для хранения в распределенный реестр ФНС, в реестр оператора ЭДО или контрагентам работодателя.

Поэтому в согласии на обработку персональных данных в разделе с перечнем действий с персональными данными следует отдельно закрепить, что персональные данные работника могут быть использованы в целях оформления на него МЧД и переданы третьим лицам (ФНС, контрагентам) в рамках использования электронной доверенности. 

Если ранее данное работником согласие не предусматривает подобных действий с его персональными данными, то следует от работника, на которого планируется оформлять МЧД, получить еще одно письменное согласие, в котором прямо закреплена возможность передачи его персональных данных в составе электронной доверенности. 

Могут ли злоумышленники получить доступ к МЧД

Еще один повод для беспокойства работников касательно МЧД – это возможная утечка персональных данных при хранении электронной доверенности в распределенном реестре ФНС. Но, как и в случае с объемом персональных данных, который требуется для оформления МЧД, объективных причин для беспокойства за сохранность этих данных при хранении доверенностей не имеется.

Оформляемые на работников МЧД могут храниться в том числе в распределенном реестре ФНС России. Доступ к реестру имеет неограниченный круг лиц. Но это не значит, что любой желающий может получить доступ к конкретной МЧД, оформленной на конкретного работника, и воспользоваться его персональными данными. Получить доступ к МЧД можно только в том случае, если одновременно указать в реестре следующие данные:

• ИНН работодателя (доверителя);
• ИНН работника;
• GUID – уникальный код, служащий для идентификации электронной доверенности.

Получить ИНН работодателя сейчас можно без особого труда, воспользовавшись открытыми реестрами ФНС и другими интернет-сервисами. Зная паспортные данные работника, злоумышленники могут получить и его ИНН. Но подобрать GUID невозможно. Случайный взлом данного кода ввиду его уникальности практически исключен. GUID знают только два лица – работодатель, оформивший МЧД на работника, и его контрагент, которому поступила сформированная электронная доверенность. Другие лица без согласия доверителя получить доступ к электронной доверенности не могут.

Разумеется, теоретически контрагент может предоставить данные о GUID третьим лицам, но это уже вопрос к добросовестности контрагента, а не к защищенности сведений, отраженных в МЧД. Точно так же недобросовестный контрагент может передать третьим лицам и бумажную доверенность, оформленную на работника. Поэтому в данном смысле по степени защищенности персональных данных электронные доверенности ничуть не уступают обычным бумажным доверенностям.