ES elektroninių parašų lygiai (eIDAS): koks skirtumas tarp paprasto, pažangaus ir kvalifikuoto parašo?
ES eIDAS reglamentas apibrėžia tris elektroninio parašo lygius: paprastąjį (SES), sudėtingąjį (AES) ir kvalifikuotąjį (QES). Šiame straipsnyje paprastai paaiškiname, ką reiškia kiekvienas lygis, kada kurio pakanka ir kaip smulkus verslas gali juos naudoti savo kasdienėje veikloje.
Pagrindinė eIDAS reglamento idėja
eIDAS (electronic IDentification, Authentication and trust Services) yra ES reglamentas, įsigaliojęs 2016 m. Jis nustato bendras taisykles elektroniniam tapatybės nustatymui ir elektroniniams parašams visose ES šalyse. Praktiškai eIDAS reiškia: elektroninio parašo negalima atmesti teisme vien dėl to, kad jis yra elektroninės formos. Tai galioja visoje ES erdvėje. Reglamentas buvo atnaujintas 2024 m. (eIDAS 2.0), įtraukiant, be kita ko, ES skaitmeninę tapatybės piniginę (EUDI Wallet) ir griežtesnius reikalavimus patikimumo paslaugoms.
SES – paprastasis elektroninis parašas
SES yra paprasčiausias parašo lygis. Tai gali būti, pavyzdžiui:
- Vardas, įrašytas el. laiške
- Varnelė „Sutinku su sąlygomis“ internetinėje formoje
- Nupieštas parašas jutikliniame ekrane
SES nereikalauja atskiro asmens tapatybės patvirtinimo. Jo pakanka tais atvejais, kai rizika yra maža ir tarp šalių jau yra pasitikėjimo santykiai. Ką tai reiškia praktiškai: jei parduodate paslaugą mažam nuolatiniam klientui už 500 eurų ir jis patvirtina užsakymą el. paštu, tai yra SES lygio parašas. Jis yra galiojantis, tačiau ginčo atveju įrodomoji vertė yra silpniausia.
AES – sudėtinga elektroninis parašas
AES reikalauja, kad pasirašantysis būtų patikimai identifikuotas ir parašas būtų su juo susietas taip, kad jo negalima būtų pakeisti vėliau. Praktiškai AES reiškia, kad pasirašantysis prieš pasirašydamas identifikuojasi, pavyzdžiui, banko kodais, mobiliuoju parašu ar panašiu būdu. AES atitinka keturis reikalavimus:
- Parašas yra unikaliai susietas su pasirašančiuoju
- Pasirašantysis yra atpažįstamas
- Pasirašantysis turi išimtinę teisę kontroliuoti parašo kūrimui naudojamus duomenis
- Po parašo atlikti pakeitimai dokumente yra aptinkami
Ką tai reiškia praktiškai: kai siunčiate kliento sutartį pasirašyti per EpicSign ir klientas identifikuojasi banko kodais, tai yra AES lygio parašas. Daugumai komercinių sutarčių to puikiai pakanka.
QES – kvalifikuotas elektroninis parašas
QES yra stipriausias lygis. ES teisėje jis prilyginamas ranka rašytam parašui. QES reikalauja dviejų dalykų:
- Kvalifikuoto patikimumo paslaugų teikėjo išduoto sertifikato (Qualified Certificate)
- Kvalifikuoto parašo kūrimo prietaiso (Qualified Signature Creation Device, QSCD)
QES parašo kūrėjus galima rasti ES patikimųjų sąraše – oficialiame sąraše, kuriame registruojami kvalifikuoti patikimumo paslaugų teikėjai. Kiekviena ES šalis tvarko savo sąrašą. Ką tai reiškia praktiškai: QES yra būtinas daugiausia tada, kai įstatymas aiškiai reikalauja rašytinės formos (pvz., tam tikri nekilnojamojo turto sandoriai, bendravimas su valdžios institucijomis) arba kai sutarties vertė ir rizika yra ypač didelės.
Kada pakanka kiekvieno lygio?
Smulkiam verslui tinkamo lygio pasirinkimas priklauso nuo dokumento rizikos ir vertės:
| Dokumento tipas | Rekomenduojamas lygis | Pagrindimas |
|---|---|---|
| Vidinis kvitas, užsakymo patvirtinimas | SES | Rizika maža, greita ir nebrangi |
| Kliento sutartis, pasiūlymas | AES | Patikimai identifikuoja pasirašantįjį |
| Darbo sutartis, konfidencialumo sutartis | AES | Abiejų šalių identifikavimas svarbus |
| Subrangos sutartis | AES | Stiprūs ryšiai su pasirašantuoju |
| Protokolas (valdyba, akcininkų susirinkimas) | AES | Identifikuota asmenybė, pakeitimų apsauga |
| Nekilnojamojo turto sandoris, valdžios dokumentas | QES | Įstatymas gali reikalauti stipriausio lygio |
Audito žurnalas ir įrodymai
Kiekvienas elektroninis parašas palieka skaitmeninį pėdsaką, t. y. audito žurnalą. Tai yra elektroninis įrodymas, kas pasirašė, kada ir kur. Gerai įgyvendintas audito žurnalas apima:
- Pasirašančiojo tapatybės nustatymo duomenys (vardas, el. paštas, autentifikavimo metodas)
- Laiko žyma (kada buvo atliktas parašas)
- IP adresas ir įrenginio informacija
- Dokumento santrauka (hash), kuri įrodo, kad dokumentas nebuvo pakeistas po pasirašymo
Praktinis pavyzdys: konsultacinė įmonė ir sutarčių valdymas
Trys žmonės dirbančioje konsultacinėje įmonėje Tampere kas mėnesį sudaro 10–15 kliento sutarčių. Anksčiau sutartys būdavo spausdinamos, pasirašomos ir skanuojamos. Šis procesas užtrukdavo 30–45 minutes sutarties.\n\nPerėjimas prie AES lygio elektroninio parašo su EpicSign pakeitė procesą:
- Sutartis įkeliama į EpicSign (1 min)
- Pasirašantieji pridedami ir siunčiama pasirašymo užklausa (1 min)
- Klientas autentifikuojasi banko slaptažodžiais ir pasirašo (2 min)
- Pasirašyta sutartis automatiškai archyvuojama (0 min)
Laiko sutaupymas: apie 2 valandas per savaitę. Be to, kiekviena sutartis yra atsekama dėl audito žurnalo.
Dažnai užduodami klausimai
Koks skirtumas tarp SES, AES ir QES parašų praktiškai?
SES yra paprasčiausias (pvz., vardas el. laiške). AES reikalauja stipraus autentifikavimo, pavyzdžiui, banko slaptažodžių. QES yra stipriausias ir prilygsta ranka rašytam parašui – reikalauja patvirtinto sertifikato.
Arba pakanka AES lygis darbo sutartims?
Taip, daugeliu atvejų AES pakanka darbo sutartims Suomijoje. Įstatymas paprastai nereikalauja QES lygio darbo sutartims.
Kas yra ES Trusted List?
„Trusted List“ yra oficialus patvirtintų patikimumo paslaugų teikėjų sąrašas, kurį tvarko ES šalys. Sąrašą galima rasti ES Komisijos svetainėje.
Ar SES parašas gali būti ginčijamas teisme?
SES parašo negalima atmesti vien dėl to, kad jis yra elektroninės formos (eIDAS 25 straipsnis). Tačiau įrodomoji vertė yra silpnesnė nei AES ar QES.
Ar EpicSign palaiko AES lygio parašą?
Taip. EpicSign palaiko stiprus autentifikavimas (banko ID), kuris atitinka AES reikalavimus.
Ar mažam verslui reikia QES parašo?
Retais atvejais. QES reikalingas daugiausia tada, kai įstatymai aiškiai reikalauja rašytinės formos arba bendraujant su valdžios institucijomis. Įprastoms sutartims pakanka AES.
Šaltiniai
- eIDAS reglamentas (ES) Nr. 910/2014 – dėl elektroninės identifikacijos ir patikimumo užtikrinimo paslaugų
- Skaitmeninių ir gyventojų duomenų agentūra (DVV) – Elektroninė identifikacija ir patikimumo užtikrinimo paslaugos
- Traficom – Patikimumo užtikrinimo paslaugos ir elektroninis parašas
- ES patvirtintų paslaugų teikėjų sąrašas (EU Trusted Lists)
Šis straipsnis yra bendro pobūdžio ir nėra teisinis patarimas.
Išbandykite EpicSign
Pradėkite nemokamą bandomąjį laikotarpį ir išsiųskite pirmąją pasirašymo užklausą per mažiau nei 20 sekundžių.
Peržiūrėti kainas