Elektronniskās parakstīšanas pakalpojumu sniedzēja pienākumi Francijā

Ievads

Elektronniskās parakstīšanas risinājuma ieviešana Francijā nav improvizējama darbība. Aiz katras kvalificētas vai progresīvas parakstīšanas slēpjas desmitiem juridisko pienākumu, kas jāpilda uzticamības pakalpojumu sniedzējam (UPS). eIDAS regula, GDPR, vispārējais drošības noteikums, ETSI standarti... normatīvais regulējums ir gan blīvs, gan dinamisks. Uzņēmumiem, kas izmanto šos pakalpojumus, izprast šos juridiskos pienākumus ir neaizvietojami, lai izvēlētos atbilstošu partneri un izvairītos no juridiskiem riskiem. Šajā rakstā detalizēti izklāstīti visi pienākumi, kas attiecas uz UPS, kas darbojas Francijas teritorijā.

---

Kvalificēta uzticamības pakalpojumu sniedzēja statuss

Kas ir UPS saskaņā ar eIDAS?

Regula eIDAS Nr. 910/2014 atšķir divas pakalpojumu sniedzēju kategorijas: nekvalificētus un kvalificētus uzticamības pakalpojumu sniedzējus (KUDS). Pirmie var piedāvāt vienkāršus vai progresīvus elektronniskās parakstīšanas pakalpojumus bez obligātiem trešo pušu auditiem. Otrie — vienīgie, kas ir pilnvaroti izsniegtu kvalificētus parakstus saskaņā ar eIDAS 3(15) pantu — jāatbilst daudz stingrākām prasībām.

Francijā Nacionālā informācijas sistēmu drošības aģentūra (ANSSI) pilda uzraudzības iestādes lomu, kā noteikts eIDAS 17. pantā. Tā publicē un uztur Francijas uzticības sarakstu (TSL — Trust Service List), kas pieejams tās oficiālajā vietnē un kurā uzskaitīti kvalificētie sniedzēji un viņu pakalpojumi.

Kvalifikācijas procedūra: audits un atbilstība

Lai iegūtu kvalificētu statusu, UPS obligāti jāpilda:

• Jāveic servisu audits no COFRAC akreditēta konformitātes novērtējuma iestādes (CAB) saskaņā ar normu EN ISO/IEC 17065.

• Jāiesniedz audita ziņojums ANSSI, kas lemj par kvalificēta statusa piešķiršanu. Šis statuss tiek pārvērtēts vismaz reizi 24 mēnešos (eIDAS 20. pants 1. daļa).

• Jāpaziņo ANSSI par jebkurām būtiskām izmaiņām servisa nodrošināšanā 3 mēnešu laikā pirms plānotajam izmaiņu datumam (eIDAS 21. pants).

Šo soļu neievērošana var novest pie sniedzēja izslēgšanas no TSL un zaudēt juridiskās priekšrocības, kas saistītas ar kvalificētu parakstu. Klientiem tas nozīmē, ka, atsaucoties uz sniedzēju, kas nav iekļauts TSL, viņi nevar gūt nekādu juridiskās uzticamības priekšrocību.

> Plašāku informāciju par dažādu parakstīšanas līmeņu juridiskajiem efektiem skatiet mūsu rakstā.

---

Tehniskās un drošības prasības UPS sniedzējiem

ETSI standartu ievērošana

Kvalificētiem sniedzējiem jāatbilst Eiropas Telekomunikāciju standartu institūta (ETSI) izdotajiem Eiropas standartiem. Galvenie no tiem:

• ETSI EN 319 401: vispārējās drošības prasības, kas attiecas uz visiem UPS.

• ETSI EN 319 411-1 un 411-2: sertifikācijas prakses un politika institūcijām, kas izsniedz kvalificētus parakstus.

• ETSI EN 319 132: progresīvās elektronniskās parakstīšanas formāti (XAdES XML, PAdES PDF, CAdES CMS).

• ETSI EN 319 122: CAdES formāts kvalificētiem parakstiem.

• ETSI TS 119 431: prasības tālvēles parakstīšanas izveides pakalpojumiem (QSCD tālvēle).

Šie standarti nav izvēles: regula eIDAS (II, III un IV pielikumi) uz tiem norāda skaidri, lai definētu kvalificēto sertifikātu un parakstīšanas ierīču minimālās prasības.

Drošu parakstīšanas izveides ierīču (QSCD) pārvaldīšana

Viens no kvalificētā paraksta pamatelemantiem ir draugs parakstīšanas izveides ierīces (QSCD) lietošana, kas atbilst eIDAS II pielikumam. Sniedzējam jāgarantē:

• Parakstītāja privātā atslēga nevar tikt ģenerēta, glabāta vai kopēta ārpus QSCD.

• Atslēgas ģenerēšana notiek tikai sertificētā vidē (Common Criteria sertifikācija EAL 4+ vai līdzvērtīga).

• Parakstītāja autentifikācija pirms jebkura parakstīšanas darbības balstās uz vismaz diviem autentifikācijas faktoriem.

Tālvēles parakstīšanas kontekstā — kas ir arvien izplatītāks SaaS vidē — šīs prasības attiecas uz HSM serveri (Hardware Security Module), kurā tiek glabātas atslēgas. ANSSI ir publicējusi specifiskus aizsardzības profilus (PP-0075, PP-0076), definiējot drošības kritērijus, kas jāsasniedz.

Nepārtrauktības un incidentu paziņošanas politika

eIDAS 19. pants uzliek jebkuram uzticamības pakalpojumu sniedzējam (neatkarīgi no kvalifikācijas):

• Paziņot uzraudzības iestādei (ANSSI) un, ja nepieciešams, datu aizsardzības iestādei (CNIL) 24 stundu laikā pēc drošības pārkāpuma atklāšanas, kas varētu ietekmēt pakalpojuma uzticamību.

• Uzturēt dokumentētu un regulāri testētu darbības nepārtrauktības plānu.

• Rasties formalizētai informācijas drošības politikai, ietverot risku pārvaldīšanu, incidentu pārvaldīšanu un datu glabāšanas politiku.

Šīs prasības daļēji sakrīt ar NIS2 direktīvas (2022/2555/UE) prasībām, kas Francijā tika transponētas likumā Nr. 2023-703 (2023. gada 1. augusts), kas klasificē nozīmīgus UPS starp svarīgām vai kritiskām subjektiem, kuriem jāpakļaujas pastiprinātas kiberdroības prasībām.

> Uzziniet, kā datu pārvaldības risinājumiem jāintegrē šie ierobežojumi darbplūsmās.

---

GDPR-specifiskais pienākumi UPS sniedzējiem

UPS - datu apstrādes vadītājs vai apstrādātājs?

UPS kvalifikācija saskaņā ar GDPR atkarīga no sniegtā pakalpojuma rakstura:

• Ja UPS tieši izsniedz sertifikātus parakstītāja vārdā un nosaka datu apstrādes mērķus (identitāte, autentifikācijas biometriskie dati), viņš darbojas kā datu apstrādes vadītājs saskaņā ar GDPR 4(7) pantu.

• Ja viņš integrē savu API klienta B2B platformā un apstrādā personas datus tikai pēc šī klienta norādījumiem, viņš ir datu apstrādātājs (GDPR 4(8) pants) un obligāti jāslēdz DPA (Data Processing Agreement) saskaņā ar GDPR 28. pantu.

Praksē lielākā daļa SaaS UPS pilda abas lomas: vadītājs savai sertifikācijas infrastruktūrai, apstrādātājs signatāru dokumentu un metadatu apstrādei.

Īpašas prasības saistībā ar biometriskiem un identifikācijas datiem

Parakstītāja identifikācija un autentifikācija — obligātais solis kvalificēta sertifikāta izsniegšanai — bieži paredz sensitīvu datu apstrādi: ID skenējums, video selfie, sejas atpazīšanas biometriskie dati. Šie dati ir personas dati, uz kuriem attiecas GDPR, īpaši biometriskie dati saskaņā ar GDPR 9. pantu (īpašas kategorijas).

UPS pienākumi ietver:

• Juridiskais pamatojums: skaidrs piekrišana (GDPR 9. pants 2a) vai dažos gadījumos likumiska prasība (GDPR 9. pants 2b) biometrisko datu apstrādei.

• Ierobežota glabāšanas ilgums: saskaņā ar CNIL pamatnostādnēm, identifikācijas dati jāglabā tik ilgi, cik nepieciešams, parasti saskaņā ar sertifikāta derīguma periodu + juridiskais pierādījuma periods (bieži 10 gadi privātiem aktiem, Civīlkodekss 2224. pants).

• Obligāta ietekmes analīze (AIPD) (GDPR 35. pants), jo apstrāde var izraisīt augstu risku — kas ir sistemātiski biometrijas gadījumā.

• Apstrādes reģistrs (GDPR 30. pants), kas tiek atjaunināts un dokumentē katra veida apstrādi.

Datu starptautiskā pārsūtīšana

Daudzi UPS glabā daļu vai visu savu infrastruktūru ārpus Eiropas Ekonomiskās zonas (EEZ). Šajā gadījumā GDPR V nodaļā noteiktās atbilstīgās garantijas ir obligātas: Eiropas Komisijas atbilstības lēmums, standarta līguma klauzulas (SCCs) vai saistošie uzņēmuma noteikumi (BCR). Schrems II spriedums (CJEU C-311/18, 2020. gada 16. jūlijs) atgādina, ka pārsūtīšana uz ASV prasa iepriekšēju valsts riska analīzi.

> Lai saprastu šo noteikumu ietekmi uz jūsu organizāciju, skatiet mūsu rakstu.

---

Pārredzamības un informēšanas pienākumi lietotājiem

Sertifikācijas politika (SP) un sertifikācijas prakses paziņojums (SPP)

Jebkuram UPS, kas izsniedz sertifikātus, jāpublicē Sertifikācijas Politika (SP) un Sertifikācijas Prakses Paziņojums (SPP) saskaņā ar ETSI EN 319 411. Šie dokumenti, kas ir brīvi pieejami, detalizēti apraksta:

• Parakstītāju identifikācijas un reģistrācijas procedūras.

• Tiesiskās un loģiskās drošības pasākumi.

• Sertifikātu atsaukšanas nosacījumi un saistītie termiņi.

• UPS atbildības un garantiju ierobežojumi.

Šo dokumentu neesamība vai nepilnīgums ir neatbilstības gadījums, ko var konstatēt akreditētā iestādes audita laikā.

Pirmspārdošanas un līguma informācija klientiem

Papildus tīri tehniskiem pienākumiem, GDPR 13. pants uzliek UPS sniedzējam sniegt katrai personai, kuras dati tiek apkopoti, skaidru un pieejamu informāciju par:

• Datu apstrādes vadītāja identitāti un DPO (Datu aizsardzības virsnieka) kontaktinformāciju (obligāta lielos apjomos jutīgu datu apstrādes UPS, GDPR 37. pants).

• Katras apstrādes mērķus un juridiskos pamatus.

• Personu tiesības (piekļuvi, labojumi, dzēšanu, pārnešanu, iebilsti).

• Iespējamus datu saņēmējus (apstrādātājus, iestādes).

Šī informācija jāietver pakalpojuma konfidencialitātes politikā, vispārējos noteikumos un, ja nepieciešams, DPA ar profesionālajiem klientiem.

Kvalificēts laika marķējums un audita izsekošana

Lai nodrošinātu parakstu pierādījuma vērtību ilgtermiņā, atbildīgi UPS sniedzēji sistemātiski piesaista katram parakstītajam faktam kvalificētu elektronisko laika marķējumu (eIDAS 42. pants). Šis marķējums ir juridiskā priekšrocība tam, ka dati eksistēja norādītajā datumā. Audita izsekošanas (identifikācijas žurnāli, dokumenta nospiedums, paraksta dati) saglabāšana ir praktisks pienākums, lai atvieglotu jebkuru turpmāku juridisko pārbaudi.

> Salīdziniet tirgus risinājumus pēc šiem kritērijiem mūsu rakstā.

---

eIDAS 2.0: jaunie pienākumi līdz 2026.-2027. gadam

Regula eIDAS 2.0 (ES) 2024/1183

Publicēta ES Oficiālajā Vēstnesī 2024. gada 30. aprīlī, regula (ES) 2024/1183 "eIDAS 2.0" būtiski patstiprina UPS pienākumus trīs jomās:

• Eiropas Ciparu Identitātes Portfelis (EUDI Wallet): dalībvalstīm jānodrošina sertificēts digitālās identitātes portfelis līdz 2026. gada 2. novembrim. UPS būs jāintegrē savs pakalpojums ar šo portfeli, lai piedāvātu kvalificētus parakstus caur eIDAS 2.0 identitāti.

• Atribūtu apliecību pārvaldīšana: eIDAS 2.0 ievieso kvalificētās atribūtu apliecības (QEAAs), kuras izdod kvalificēti atribūtu sniedzēji. Jaunas audita procedūras un kvalifikācijas shēmas būs jāpiemēro.

• Uzraudzības pastiprinājums: valstīs uzraudzības iestādes (ANSSI Francijai) saņem paplašinātas pilnvaras, īpaši neplānotus auditus un saistošus koriģējošus pasākumus ar saīsinātiem termiņiem.

Praktiskas sekas esošajiem sniedzējiem

Jau eIDAS 1.0 kvalificētiem UPS būs pakāpeniski jānodrošina atbilstība pirms Komisijas īstenošanas aktos noteiktajiem deadlineiem (publicēti vai tiek publicēti). Galvenās pārmaiņas skar:

• Identifikācijas infrastruktūras pārveidošanu, lai atbalstītu EUDI Wallet kā autentifikācijas līdzekli.

• SP/SPP atjaunošanu, ietverot jaunos sertifikātu un apliecību veidus.

• QSCD tālvēles drošības prasību pastiprinājumu, ar jauniem drošības profiliem.

Klientiem tas nozīmē jau šodien pārbaudīt, vai viņu sniedzējam ir dokumentēta un pārbaudāma eIDAS 2.0 atbilstības plāna.

Juridiskā sistēma, kas attiecas uz elektronniskās parakstīšanas sniedzēju pienākumiem

Elektronniskās parakstīšanas sniedzējiem, kas darbojas Francijā, attiecināmais normatīvais regulējums ir izstrādāts vairākos hierarhiskos līmeņos.

Francijas Civīlkodekss — 1366. un 1367. pants

1. pants paredz, ka elektronisks rakstums ir pierādījuma vērtībā līdzvērtīgs papīra rakstumam, ja "var tikt pareizi identificēta persona, kura to izdeva, un ja tas ir izstrādāts un glabāts tā, lai nodrošinātu tā integritāti". 1367. pants skaidro, ka elektroniskais paraksts "ir procesuāls paraksts, kura nolūks ir identificēt amatpersonu un garantēt tā saikni ar aktu, pie kura piemēro paraksts". Priekšrocība par uzticamību attiecas uz parakstiem, kuri atbilst eIDAS prasībām, kas mainītu pierādīšanas nastu signatāra labā.

Regula eIDAS Nr. 910/2014/ES

Šī regula ir tieši spēkā visās dalībvalstīs un izveido juridisko regulējumu uzticamības pakalpojumiem. Tās 26. pants nosaka progresīvas elektronniskās parakstīšanas nosacījumus; 28. pants — sertifikātu prasības; II pielikums — detalizē obligāto sertifikātu saturu. Kvalificēti UPS sniedz atbilstības priekšrocību tiesību normām un tehniskiem prasībām (19. pants 2. daļa), kas ir nozīmīga priekšrocība strīdos.

Regula eIDAS 2.0 — (ES) 2024/1183

Publicēta 2024. gada 30. aprīlī, šī modificējošā regula ievieso jaunas uzticamības pakalpojuma kategorijas (kvalificētās atribūtu apliecības, kvalificētos arhivēšanas pakalpojumus) un patstiprina uzraudzības prasības. Tā daļēji atceļ un aizstāj regulāciju 910/2014, un tā spēk pakāpeniski saskaņā ar Komisijas īstenošanas aktiem.

GDPR — Regula (ES) 2016/679

GDPR attiecas uz jebkuru personas datu apstrādi elektronniskās parakstīšanas pakalpojuma nodrošināšanas kontekstā. Artikuli 5 (licencēšanas principi), 6 (juridiskais pamatojums), 9 (sensitīvi dati), 13-14 (informācija), 28 (apstrāde), 32 (drošība), 33-34 (pārkāpuma ziņošana), 35 (ietekmes analīze) un 37 (DPO) ir visbiežāk piemērojamie. CNIL ir Francijas uzraudzības iestāde un var uzlikt sodus līdz 20 miljoniem eiro vai 4% no gada globālā apgrozījuma (GDPR 83. pants 5. daļa).

NIS2 direktīva — (ES) 2022/2555

Francijā transponēta likumā Nr. 2023-703 (2023. gada 1. augusts), NIS2 klasificē nozīmīgus UPS starp svarīgajiem vai kritiskajiem subjektiem, kuriem jāpieturas pie kiberdroības risku pārvaldīšanas un incidentu paziņošanas ANSSI 24 stundu laikā (agrīnais brīdinājums) un 72 stundu laikā (pilna paziņošana).

ETSI standarti

Visi standarti EN 319 401, EN 319 411-1/2, EN 319 132, EN 319 122 un TS 119 431 ir obligāta tehniskā atsauce kvalifikācijas auditam. To neievērošana nozīmē neiespējamību iegūt vai saglabāt kvalificētu statusu.

Juridiskie riski neatbilstības gadījumā

Neatsargtigs sniedzējs ir izstāts TSL izslēgšanai, līgumiskai un līgumlietai atbildībai, CNIL administratīviem sodiiem, NIS2 sodiem, kas var sasniegt 10 miljonus eiro vai 2% no globālā apgrozījuma nozīmīgajiem subjektiem un 20 miljonus vai 4% no apgrozījuma kritiskajiem subjektiem, kā arī klientu pieprasījumiem, kuri cietuši no nevalidiem parakstiem.

Lietošanas scenāriji: kā uzņēmumi pārbauda sniedzēja atbilstību

Scenārijs 1 — Industriālā grupa, kas apstrādā 3000 piegādātāju līgumus gadā

Vidēja izmēra rūpnieciski industrijas grupa (ETI), kas ražo mehāniskos komponentus, dematerializē visus piegādātāju līgumus caur SaaS elektroniskās parakstīšanas platformu. Pēc normatīvās pārmaiņas izraisīta iekšējā audita sniedzējs, ko bija izvēlējies, balstītoties uz cenu, nav iekļauts ne Francijas TSL, ne nevienā cita Eiropas TSL. Izdotie paraksti ir "vienkārši" bez robusts parakstītāja identifikācijas mehānisma.

Pret juridiskais risks — visi parakstītie līgumi varētu zaudēt tiesiskos spēkus strīdos — uzņēmums migrē uz kvalificētu UPS ANSSI. Jaunais risinājums integrē progresīvu parakstu ar kvalificētu sertifikātu, kvalificētu laika marķējumu un eksportējamu audita izsekošanu. Migrācijas laiks aizņem mazāk nekā 8 nedēļas un ļauj retrospektīvi nodrošināt jaunos aktus un izveidot atbilstošu dokumentu politiku. Juridiskās komandas novērtē, ka riski, kas saistīti ar vecajiem līgumiem, ir margināli, taču jaunos parakstus tagad aizsargā.

Ieguvumi: 60% samazinājums potenciālos paraksta autenticitātes strīdos un 3,5 dienu ietaupījums komplekso līgumu parakstīšanā workflow automatizācijas dēļ.

Scenārijs 2 — Juridisku konsultantu biroja 25 darbinieki, kas specializējas tiesībās

Juridisks birojs vēlas digitalizēt pilnvaru, konsultāciju un procesuālo dokumentu parakstīšanu, novērtē vairākus sniedzējus. Analizējama matrica ietver: klātbūtni TSL, publicētas SP/SPP, GDPR-atbilstoša DPA, pieejams DPO un QSCD tālvēles sertifikācija.

No pieciem novērtējamiem sniedzējiem tikai divi atbilst visiem kritērijiem. Birojs izvēlas UPS, kur tieši pieejama parakstīšana caur QSCD tālvēli, garantējot Civīlkodeksa 1367. panta priekšrocību. Uzstādīšana prasa 3 nedēļas, apmācība iekļauta. Rezultāts: 75% no pilnvaru parakstīšana notiek mazāk nekā 24 stundās, salīdzinot ar 5-7 dienām (pasta nosūtīšana), un birojs var pamatot klientiem pakalpojuma juridisko drošības līmeni — diskriminējošs arguments komerciālajos ierosinājumos.

Scenārijs 3 — Slimnīcu grupa ar aptuveni 1200 gultņiem

Slimnīcu grupa vēlas dematerializēt darba līgumus, stažieru konvencijas un līgumus ar partnerorganizācijām. Apstrādāto datu jūtīgums (veselības dati, personāla dati) uzliek stingrās GDPR prasības UPS sniedzējam.

IT direktors un datu aizsardzības virsnieks pieprasa: datu glabāšanu Francijā sertificētā veselības datu glabāšanas pakalpojumā (HDS — Hébergeur de Données de Santé), datu pārsūtīšanu ārpus EEZ, dokumentētu AIPD parakstītāju identifikācijas apstrādei un DPA parakstīšanu pirms jebkura darbības.

Pēc UPS atlases, kas atbilst šiem kritērijiem, prioritāra prioritāte ir personāla dokumenti (apmēram 800 aktu gadā). Vidējais līguma parakstīšanas laiks samazinās no 9 dienām uz mazāk nekā 48 stundām, atbrīvojot personāla resursu kapacitāti. Iestāde ir pilnīgi izsekot visus sniegtos piekrišanas dokumentus, ko gada pamati pārskata DPO.

Secinājums

Juridiskие pienākumi, kas uzliek spiedienu Francijai uzticamības pakalpojumu sniedzējiem, veido stingru normatīvo satvaru: eIDAS kvalifikācija, GDPR atbilstība, ETSI standartu ievērošana, NIS2 pienākumi un draudzīga eIDAS 2.0 pielāgošanās. Uzņēmumiem, kas izmanto šos pakalpojumus, sniedzēja atbilstības pārbaudīšana nav izvēles jautājums — tā ir būtiska parakstīto dokumentu tiesiskās vērtības un parakstītāju personas datu aizsardzības nosacījums.

Certyneo ir elektroniskās parakstīšanas pakalpojumu sniedzējs, kas izstrādāts, lai atbilstu visiem šiem pienākumiem: eIDAS atbilstība, GDPR pēc dizaina, suverēnā glabāšana un dokumentēta eIDAS 2.0 plāna. Gatavs nodrošināt jūsu parakstus ar pilnu atbilstību? Saziniesies ar mums un saņem personalizētu palīdzību no pirmās dienas.