Відповідно до підпунктів 1 та 105 частини першої статті 7, статті 30 Закону України "Про державне регулювання ринків капіталу та організованих товарних ринків", статті 6 Закону України "Про електронні документи та електронний документообіг" з метою визначення порядку використання електронного підпису та електронної печатки під час створення, оброблення та зберігання електронних документів учасниками ринків капіталу та професійними учасниками організованих товарних ринків Національна комісія з цінних паперів та фондового ринку ВИРІШИЛА:

1. Затвердити Порядок використання електронного підпису учасниками ринків капіталу та професійними учасниками організованих товарних ринків, що додається.

2. Установити, що під час дії воєнного стану на території України та протягом шести місяців з дня його припинення чи скасування дозволяється використання електронних підписів чи печаток, що базуються на сертифікатах відкритих ключів, виданих кваліфікованими надавачами електронних довірчих послуг без відомостей про те, що особистий ключ зберігається в засобі кваліфікованого електронного підпису чи печатки, користувачами електронних довірчих послуг для здійснення електронної взаємодії, електронної ідентифікації та автентифікації фізичних, юридичних осіб і представників юридичних осіб у випадках, коли законодавством України передбачено використання виключно кваліфікованих електронних підписів чи печаток (засобів кваліфікованого електронного підпису чи печатки, кваліфікованих електронних довірчих послуг) або засобів електронної ідентифікації з високим рівнем довіри, крім вчинення в електронній формі правочинів, що підлягають нотаріальному посвідченню та/або державній реєстрації у випадках, установлених законами України, та випадках, пов’язаних із високим ризиком для інформаційної безпеки, що визначається власниками відповідних інформаційних та інформаційно-комунікаційних систем з урахуванням обмежень, установлених у статті 17 Закону України "Про електронну ідентифікацію та електронні довірчі послуги".

3. Учасникам ринків капіталу та професійним учасникам організованих товарних ринків привести свою діяльність у відповідність до вимог Порядку використання електронного підпису учасниками ринків капіталу та професійними учасниками організованих товарних ринків, затвердженого цим рішенням, протягом дванадцяти місяців з дня набрання чинності цим рішенням.

4. Департаменту інформаційних технологій забезпечити подання цього рішення на державну реєстрацію до Міністерства юстиції України.

5. Управлінню адміністративної діяльності забезпечити оприлюднення цього рішення на офіційному вебсайті Національної комісії з цінних паперів та фондового ринку.

6. Департаменту правового забезпечення та внутрішнього комплаєнс контролю, після державної реєстрації до Міністерстві юстиції України, забезпечити оприлюднення цього рішення на офіційному вебсайті Національної комісії з цінних паперів та фондового ринку.

7. Це рішення набирає чинності з дня, наступного за днем його офіційного опублікування, крім пункту 1 цього рішення, який набирає чинності через шість місяців з дня його офіційного опублікування.

8. Контроль за виконанням цього рішення покласти на члена Національної комісії з цінних паперів та фондового ринку Ю. Шаповала.

1. Цей Порядок розроблений відповідно до Законів України "Про державне регулювання ринків капіталу та організованих товарних ринків", "Про ринки капіталу та організовані товарні ринки", "Про електронні документи та електронний документообіг", "Про електронну ідентифікацію та електронні довірчі послуги" (далі - Закон) та визначає порядок використання електронного підпису (далі - ЕП) та електронної печатки під час створення, оброблення та зберігання електронних документів учасниками ринків капіталу та професійними учасниками організованих товарних ринків (далі - учасники ринку) при їх електронній взаємодії.

Вимоги цього Порядку поширюються виключно на випадки використання учасниками ринку видів ЕП та електронної печатки, визначених у пункті 14 розділу II цього Порядку.

Вимоги цього Порядку не поширюються на електронну взаємодію учасників ринку з Національним банком України відповідно до нормативно-правових актів Національного банку України.

Цей Порядок не поширюється на здійснення електронної ідентифікації у системах, у яких обробляється службова інформація та інформація, що містить державну таємницю.

2. В цьому Порядку терміни вживаються в такому значенні:

1) верифікація - заходи, що вживаються учасником ринку з метою перевірки (підтвердження) належності відповідній особі отриманих учасником ринку ідентифікаційних даних;

2) відкритий мережевий сервіс - мобільний застосунок, вебсервіс або інше програмне забезпечення, що дає змогу здійснювати обмін повідомленнями між електронними пристроями учасників ринку та користувачів через електронні комунікаційні мережі загального користування;

3) електронний сенсорний пристрій - електронний пристрій із сенсорним екраном, на якому особа може створити цифровий власноручний підпис;

4) ідентифікація - заходи, що вживаються учасником ринку для встановлення особи шляхом отримання її ідентифікаційних даних;

5) клієнт - клієнт учасника ринку, користувач послуг, які надаються на ринках капіталу та організованих товарних ринках;

6) контрагент - будь-яка юридична чи фізична особа, яка має з учасником ринку відносини, пов’язані із діяльністю на ринках капіталу та організованих товарних ринках;

7) перевірка цілісності електронного документа - процедура, яка проводиться шляхом підтвердження удосконаленого або кваліфікованого ЕП чи печатки відповідно до законодавства, а в разі накладання на електронний документ ЕП чи печатки іншого виду - із застосуванням інших засобів і методів захисту інформації, з дотриманням вимог законодавства у сфері захисту інформації, які дають змогу виявити будь-які зміни в електронному документу після підписання електронного документа;

8) простий електронний підпис (далі - простий ЕП) - будь-який вид ЕП, крім кваліфікованого ЕП, цифрового власноручного підпису (далі - ЦВП), удосконаленого ЕП (далі - УЕП), УЕП, що базується на кваліфікованому сертифікаті;

9) суб’єкт електронної взаємодії - учасник ринку, клієнт або контрагент такого учасника;

10) удосконалена електронна печатка, що базується на кваліфікованому сертифікаті електронної печатки (далі - електронна печатка з кваліфікованим сертифікатом) - удосконалена електронна печатка, створена з використанням кваліфікованого сертифіката електронної печатки, у якому є позначка, що цей сертифікат сформовано як кваліфікований для використання електронної печатки, та немає відомостей про те, що особистий ключ зберігається в засобі кваліфікованого електронного підпису чи печатки;

11) УЕП, що базується на кваліфікованому сертифікаті електронного підпису (далі - УЕП з кваліфікованим сертифікатом) - УЕП, створений з використанням кваліфікованого сертифіката електронного підпису, у якому немає відомостей про те, що особистий ключ зберігається в засобі кваліфікованого електронного підпису чи печатки;

12) уповноважена особа - особа, яка не є працівником учасника ринку, якій згідно з довіреністю та/або на підставі правочинів надано повноваження на підписання з клієнтами, контрагентами учасника ринку договорів та інших документів від імені учасника ринку;

13) уповноважений представник - працівник учасника ринку, до повноважень якого згідно з внутрішніми документами чи на підставі довіреності належить підписання з клієнтами, контрагентами учасника ринку договорів та інших документів від імені учасника ринку;

14) цифровий власноручний підпис (ЦВП) - електронний підпис, що є власноручним підписом фізичної особи, створеним на екрані електронного сенсорного пристрою.

Інші терміни в цьому Порядку використовуються в значеннях, наведених у Законі, законах України "Про державне регулювання ринків капіталу та організованих товарних ринків", "Про ринки капіталу та організовані товарні ринки", "Про електронні документи та електронний документообіг", "Про електронну комерцію" та інших законах України і нормативно-правових актах НКЦПФР.

3. Керівник учасника ринку відповідає за організацію використання ЕП та електронних печаток в учаснику ринку, а також за використання ЕП та електронних печаток цим учасником ринку, а також за використання ЕП та електронних печаток уповноваженими представниками / уповноваженими особами учасника ринку під час їх взаємодії від імені учасника ринку з клієнтами та контрагентами учасника ринку, якщо інше не встановлено законодавством України.

4. ЕП є обов’язковим реквізитом електронного документа.

5. Вимоги цього Порядку щодо використання ЕП не можуть тлумачитися суб’єктами електронної взаємодії як такі, що обмежують права суб’єктів електронної взаємодії вчиняти правочини у вигляді паперових документів (змінювати, доповнювати або припиняти дію електронних документів паперовими документами чи в іншій не забороненій законодавством України формі і навпаки) чи в усній формі, якщо законом не встановлено обов’язок вчиняти правочин у письмовій формі.

6. Учасник ринку зобов’язаний забезпечити можливість перевірки цілісності та справжності електронних документів, створених з використанням технології, визначеної учасником ринку. Обов’язок доведення цілісності та справжності електронних документів, створених з використанням технології, визначеної учасником ринку, покладається на учасника ринку (незалежно від технологічних можливостей і компетенцій персоналу).

7. Особа, що підписала електронний документ ЕП, у такий спосіб засвідчує, що ознайомилася з усім текстом документа, повністю зрозуміла його зміст, не має заперечень до тексту документа (або її заперечення внесені як окремий реквізит документа) і свідомо використала свій ЕП у контексті, передбаченому документом (підписала, затвердила, погодила, завізувала, засвідчила, ознайомилася).

8. Електронний документ створюється в послідовності, визначеній застосованою технологією оброблення інформації, якщо електронний документ підписується двома або більше особами. Технологія оброблення інформації розробляється з урахуванням законодавства України та може визначатись у внутрішніх документах учасника ринку та/або в договорі, укладеному між учасником ринку та його клієнтом, контрагентом, комерційним агентом.

Створення електронного документа завершується накладанням останнього ЕП відповідно до технології створення такого електронного документа.

9. Учасник ринку зобов’язаний розробити з урахуванням вимог законодавства України внутрішні документи, у яких має встановлюватися порядок:

1) створення і засвідчення електронної копії паперового документа;

2) створення і засвідчення паперової копії електронного документа;

3) виявлення будь-яких змін в електронному документі, в електронній копії паперового документа;

4) використання ЕП та електронних печаток учасника ринку;

5) виявлення будь-яких змін в електронному документі, в електронній копії паперового документа після використання електронної печатки.

Процедури, зазначені в підпунктах 1-5 цього пункту, мають описувати використання тих видів ЕП та електронних печаток, які використовуються учасником ринку.

Внутрішні документи, зазначені в цьому пункті, є обов’язковими для виконання усіма працівниками учасника ринку й уповноваженими представниками учасника ринку та можуть оформлятися у вигляді окремих документів, одного документа або бути частиною / частинами іншого / інших документа / документів.

Учасник ринку зобов’язаний забезпечити до документів, зазначених у цьому пункті (у частині, що стосується електронної взаємодії учасника ринку та клієнтів), безперешкодний доступ клієнтів та потенційних клієнтів учасника ринку шляхом розміщення цих документів або витягів із них на власних офіційних вебсайтах учасника ринку, включаючи їх мобільні версії, у мобільному застосунку та/або в приміщеннях учасника ринку та відокремлених підрозділах.

Банк має право виконувати визначені цим пунктом вимоги шляхом поширення дії внутрішніх документів банку, розроблених на виконання вимог Національного банку України, на випадки використання ЕП при провадженні професійної діяльності на ринках капіталу за умови дотримання інших вимог цього Порядку.

10. Учасник ринку зобов’язаний з урахуванням вимог законодавства України у сфері захисту інформації, інформаційної безпеки та кіберзахисту розробити внутрішні документи, які встановлюють вимоги щодо надання, скасування та контролю доступу до інформаційних систем учасника ринку, що використовуються для приймання, реєстрації, оброблення, зберігання, надсилання електронних документів, і мають містити:

1) вимоги до ідентифікації, автентифікації, авторизації клієнтів учасника ринку;

2) послідовність дій під час управління доступом, послідовність дій під час управління віддаленим доступом (реєстрація, надання повноважень, перегляд та скасування доступу);

3) перелік типових функцій та прав доступу до інформаційних систем учасника ринку;

4) вимоги щодо здійснення заходів контролю доступу;

5) періодичність контролю наданих прав доступу;

6) вимоги до протоколювання дій під час управління доступом.

Учасник ринку зобов’язаний забезпечити дотримання принципу надання мінімального рівня повноважень під час надання доступу до інформаційних систем учасника ринку, що використовуються для приймання, реєстрації, оброблення, зберігання, надсилання електронних документів.

Розроблені внутрішні документи, зазначені в пункті 10 цього розділу, є обов’язковими для виконання всіма працівниками й уповноваженими представниками учасника ринку та можуть оформлятися у вигляді окремих документів, одного документа або бути частиною / частинами іншого / інших документа / документів.

11. Учасник ринку додатково до вимог, установлених внутрішніми документами, перелік яких зазначено в підпунктах 1-6 пункту 10 цього розділу, зобов’язаний забезпечити виконання вимог щодо забезпечення інформаційної безпеки в інформаційних системах, які використовуються для приймання, реєстрації, оброблення, зберігання, надсилання електронних документів з урахуванням вимог Закону України "Про захист інформації в інформаційно-комунікаційних системах".

12. ЕП (крім кваліфікованого ЕП та печатки або удосконаленого ЕП та печатки) має юридичну силу незалежно від технологій, що застосовуються для створення ЕП, якщо відповідає таким умовам:

1) електронні дані, що використовуються для створення ЕП, є унікальними та однозначно пов’язані з підписувачем і не пов’язані з жодною іншою особою;

2) ЕП дає змогу однозначно ідентифікувати підписувача;

3) технологія використання ЕП забезпечує підписувачу під час підписання контроль електронних даних, які підписуються, та електронних даних, які використовуються для створення ЕП;

4) під час перевірки відповідно до затвердженого в установі порядку не виявлено будь-яких змін в електронному документі;

5) під час перевірки відповідно до затвердженого в установі порядку не виявлено будь-яких змін ЕП після підписання електронного документа.

13. НКЦПФР має право перевіряти дотримання учасником ринку вимог цього Порядку, а також здійснювати перевірки інформаційно-комунікаційних систем, що використовуються учасниками ринку для доведення цілісності та справжності електронних документів.

14. Під час створення, оброблення та зберігання електронних документів учасниками ринку використовуються у визначених законодавством випадках:

1) кваліфікований ЕП (далі - КЕП);

2) ЦВП;

3) УЕП з кваліфікованим сертифікатом;

4) УЕП;

5) простий ЕП;

6) кваліфікована електронна печатка;

7) удосконалена електронна печатка з кваліфікованим сертифікатом;

8) удосконалена електронна печатка.

15. Використання УЕП, удосконаленої електронної печатки та простого ЕП здійснюється на підставі договору між учасником ринку і клієнтом / контрагентом учасника ринку або учасником ринку і особою, що має намір стати клієнтом / контрагентом. Договір укладається в письмовій формі після проведення ідентифікації та верифікації відповідно до вимог законодавства України клієнта / контрагента учасника ринку чи особи, що має намір стати клієнтом / контрагентом:

1) у формі паперового документа з власноручними підписами сторін або

2) як електронний документ із КЕП сторін, або

3) як електронний документ з УЕП із кваліфікованим сертифікатом клієнта / контрагента учасника ринку та КЕП уповноваженого представника учасника ринку, або

4) як електронний документ із ЦВП фізичної особи, визначеної в пункті 28 розділу IV цього Порядку, та КЕП уповноваженого представника учасника ринку, з дотриманням вимог розділу IV цього Порядку щодо використання ЦВП, або

5) як електронний документ із використанням будь-яких видів ЕП, щодо яких між клієнтом / контрагентом учасника ринку та учасником ринку вже укладено договір відповідно до вимог одного з підпунктів 1 - 4 пункту 16 цього розділу II.

Договір про використання УЕП, удосконаленої електронної печатки та простого ЕП має містити умови та порядок (процедуру) визнання учасником ринку і клієнтом / контрагентом правочинів у вигляді електронних документів із використанням УЕП, удосконаленої електронної печатки або простого ЕП відповідно.

Договір має також містити умови щодо розподілу ризиків збитків, що можуть бути заподіяні підписувачам і третім особам у разі використання простого ЕП, УЕП або удосконаленої електронної печатки відповідно.

Укладення окремого договору щодо використання клієнтом учасника ринку КЕП, ЦВП, УЕП з кваліфікованим сертифікатом, кваліфікованої електронної печатки, електронної печатки з кваліфікованим сертифікатом не вимагається за умови дотримання вимог цього Порядку.

Банк може виконати обумовлені цим пунктом вимоги шляхом включення відповідних положень до договору, який укладається між банком та клієнтом/контрагентом. У такому разі додаткове виконання вимог цього пункту шляхом включення відповідних положень до договору, які укладаються банком виключно в рамках провадження професійної діяльності на ринках капіталу, не є обов’язковим.

16. Учасник ринку зобов’язаний після створення електронного документа надіслати клієнту / контрагенту примірник цього електронного документа з усіма потрібними реквізитами на адресу електронної пошти, зазначену клієнтом / контрагентом учасника ринку або надати електронний документ в інший спосіб, узгоджений із клієнтом / контрагентом.

Учасник ринку зобов’язаний надати клієнтові / контрагенту на його вимогу засвідчену паперову копію електронного документа.

17. Учасник ринку самостійно приймає рішення про використання того чи іншого виду ЕП та електронної печатки з дотриманням вимог законодавства України з питань електронних довірчих послуг, електронного документообігу, цього Порядку, нормативно-правових актів НКЦПФР.

18. Учасник ринку здійснює приймання, оброблення, зберігання, надсилання електронних документів та інформації, потрібної для створення електронних документів, з дотриманням вимог законодавства України щодо захисту інформації з обмеженим доступом, включаючи: персональні дані, професійну таємницю та комерційну таємницю.

19. Учасник ринку / комерційний агент учасника ринку має право використовувати відкриті мережеві сервіси для отримання / надання / направлення інформації, яка може бути віднесена до інформації з обмеженим доступом, визначеної в пункті 18 цього розділу, якщо дотримано одночасно такі вимоги:

1) електронна взаємодія здійснюється виключно між учасником ринку та клієнтом / контрагентом;

2) учасник ринку попередньо отримав письмовий дозвіл від клієнта/контрагента учасника ринку на здійснення таких дій або договір з клієнтом / контрагентом містить такий дозвіл клієнта / контрагента;

3) учасник ринку забезпечує виконання вимог законодавства України у сфері захисту інформації, інформаційної безпеки та кіберзахисту.

Учасник ринку визначає у власних внутрішніх документах технологію використання відкритих мережевих сервісів для отримання / надання інформації, визначеної в пункті 18 цього розділу, та в разі порушення вимог законодавства України несе відповідальність за шкоду, заподіяну клієнтові / контрагенту учасника ринку під час використання запровадженої учасником ринку технології.

Учасник ринку доводить факт добровільного передавання клієнтом / контрагентом учасника ринку інформації, визначеної в пункті 18 цього розділу, у разі заперечення ним факту добровільного передавання такої інформації.

20. Уповноважений представник учасника ринку під час взаємодії з клієнтом / контрагентом в разі створення електронних копій паперових документів використовує КЕП уповноваженого представника учасника ринку та/або кваліфіковану електронну печатку учасника ринку, та/або удосконалений ЕП чи удосконалену печатку, що базуються на кваліфікованому сертифікаті з кваліфікованою електронною позначкою часу.

21. Створення електронних документів постійного і тривалого (понад 10 років) зберігання здійснюється із використанням КЕП уповноваженої відповідно до статутних документів учасника ринку особи / уповноваженого представника учасника ринку та/або кваліфікованої електронної печатки учасника ринку, що забезпечують можливість перевірки відповідних КЕП та/або кваліфікованої електронної печатки в довгостроковому періоді згідно з вимогами стандартів, що визначають вимоги до створення кваліфікованих електронних підписів та кваліфікованих електронних печаток у разі створення електронних документів, які згідно із законодавством України підлягають передаванню на архівне зберігання, наведених у додатку до цього Порядку.

22. Уповноважена відповідно до статутних документів учасника ринку особа / уповноважений представник учасника ринку - юридичної особи для накладення КЕП та УЕП з кваліфікованим сертифікатом зобов’язана(ий) використовувати кваліфікований сертифікат відкритого ключа, який містить код юридичної особи в Єдиному державному реєстрі підприємств і організацій України (далі - ідентифікаційний код юридичної особи), представником якої вона / він є.

Фізична особа, яка діє від імені юридичної особи - клієнта/контрагента учасника ринку (далі - представник клієнта/контрагента), для накладання КЕП та УЕП з кваліфікованим сертифікатом має право використовувати кваліфікований сертифікат відкритого ключа, що відповідає одній із таких вимог:

1) кваліфікований сертифікат відкритого ключа представника клієнта/контрагента містить ідентифікаційний код юридичної особи;

2) у кваліфікованому сертифікаті відкритого ключа представника клієнта / контрагента немає ідентифікаційного коду юридичної особи та накладений представником клієнта/контрагента КЕП/УЕП з кваліфікованим сертифікатом засвідчено кваліфікованою електронною печаткою юридичної особи - клієнта / контрагента;

3) у кваліфікованому сертифікаті відкритого ключа представника клієнта / контрагента немає ідентифікаційного коду юридичної особи та учасника ринку є в наявності всі потрібні документи, що підтверджують повноваження представника клієнта / контрагента щодо підписання відповідного документа від імені юридичної особи - клієнта / контрагента.

23. Суб’єкт електронної взаємодії - юридична особа, представник якої використовує кваліфікований сертифікат відкритого ключа, що містить ідентифікаційний код цієї юридичної особи, зобов’язаний забезпечити подання заяви про скасування кваліфікованого сертифіката відкритого ключа представника юридичної особи кваліфікованому надавачу електронних довірчих послуг у разі настання однієї з таких подій:

1) зміни даних, внесених у кваліфікований сертифікат відкритого ключа представника юридичної особи;

2) звільнення працівника юридичної особи;

3) припинення представництва юридичної особи.

До скасування кваліфікованого сертифіката відкритого ключа представника юридичної особи кваліфікованим надавачем електронних довірчих послуг вважається, що повноваження такого представника у взаємовідносинах з третіми особами не скасовані, а вчинені таким представником дії вважаються вчиненими суб’єктом електронної взаємодії.

24. Учасник ринку зобов’язаний забезпечити:

1) приймання, реєстрацію, підтвердження про отримання електронних документів з накладеними КЕП з дотриманням вимог законодавства України у сфері електронного документообігу;

2) функціонування електронної поштової скриньки для приймання, реєстрації, підтвердження про отримання електронних документів з накладеними КЕП клієнтів / контрагентів, крім випадків, коли електронна взаємодія згідно з умовами укладених договорів з клієнтами/контрагентами має здійснюватися виключно у визначеній між ними інформаційній системі.