Elektroniskās parakstīšanas pakalpojumu sniedzējiem klienti bieži jautā, vai var neiekļaut personas kodu paraksta metadatos vai anotācijā. Latvijā joprojām mēdz uzskatīt, ka personas kods ir “sensitīva” informācija un tā publiska izpaušana ir nevēlama. Skaidrojam, kāpēc personas kods tiek uzrādīts elektroniskā paraksta datos.
Atbilstoši Datu regulai personas kods nav īpašās kategorijas personas dati, kuru apstrādei noteiktas stingrākas prasības. Ar Datu regulas 87. pantu dalībvalstīm tiek atļauts noteikt īpašus nosacījumus valsts identifikācijas numuru apstrādei, bet Latvijā tādi nav pieņemti, tādēļ personas kods uzskatāms par vispārējiem personas datiem. Patiesībā lielā daļā Eiropas valstu personas kods ir publiska informācija. Piemēram, Islandē tas ir tāds pats personas identifikators kā vārds un uzvārds. Jāuzsver, ka personas kods pats par sevi nav vērtīga informācija, jo ar to vien nav iespējams veikt krāpnieciskas darbības, bet, protams, svarīgi parūpēties par citu identifikācijas un piekļuves datu drošību.
Ja personas koda izpaušana šķiet nevēlama tajā iekļauto dzimšanas datu dēļ, tad jāpiemin, ka kopš 2017. gada 1. jūlija Latvijā izsniedz personas kodus bez dzimšanas datiem. Personas, kurām iepriekš ir piešķirts personas kods ar dzimšanas datiem, var vienu reizi brīvprātīgi lūgt piešķirt jaunu personas kodu bez dzimšanas datiem, iesniedzot iesniegumu Pilsonības un migrācijas lietu pārvaldē. Personas koda maiņa ir bez maksas.
Kāpēc personas kods ir e-parakstā?
Personas kods ir nepieciešama un obligāta informācija, lai unikālā veidā identificētu personu atbilstoši Eiropas Savienības (ES) regulai Nr. 910/2014 (eIDAS regula) un Eiropas telekomunikāciju nozares standartizācijas organizācijas ETSI izdotajiem tehniskajiem standartiem attiecībā uz elektronisko identifikāciju un elektroniskajiem parakstiem.
Izmantojot tikai personas vārdu un uzvārdu, nav iespējams nepārprotami identificēt personu, jo var būt vairāki cilvēki ar tādu pašu vārdu un uzvārdu. Digitālajā vidē kvalificētajā paraksta sertifikātā izmantotais personas kods būtībā ir pielīdzināms personas pasei. Gan privātās, gan valsts informācijas sistēmās personas kodu izmanto kā vienotu identifikatoru.
E-parakstīšanas platformas nodrošinātājs nevar izvēlēties, vai iekļaut vai neiekļaut personas kodu elektroniskā paraksta metadatos. Personas vārdu, uzvārdu un personas kodu kvalificētajā sertifikātā ieraksta elektroniskā paraksta sertifikāta izdevējiestāde tā izsniegšanas brīdī, un dokumenta parakstīšanas brīdī šie dati tiek izgūti no sertifikāta. Slēdzot līgumu ar elektroniskās identifikācijas rīka nodrošinātāju, persona tiek informēta un piekrīt, ka, izmantojot elektronisko parakstīšanas līdzekli, personas kods būs redzams.
Piemēram, e-identifikācijas rīka “eParaksts mobile” izdevējiestādes LVRTC Privātuma politikā iekļauts punkts, kurā teikts: “Ja klients rada elektronisko parakstu, klienta sertifikāts, kas ietver klienta vārdu, uzvārdu un personas kodu, tiek pievienots elektroniski parakstītajam dokumentam un ar šiem datiem var iepazīties jebkura persona, kurai ir pieejams klienta elektroniski parakstītais dokuments.” Līdzīgi piekrišanu personas koda iekļaušanai kvalificētā elektroniskā paraksta sertifikātā apliecina arī ikviens, kas paraksta līgumu par Smart-ID lietošanu.
Personas kods obligāts metadatos, pēc izvēles – anotācijā
Tātad noskaidrojām, ka personas kods paraksta sertifikātā tiek iekļauts jau sertifikāta izveides brīdī atbilstoši obligātajām tehniskajām prasībām. Tas ir neatņemama elektroniskā paraksta sastāvdaļa, tāpēc no paraksta metadatiem to nav iespējams izņemt vai noslēpt.
Tomēr e-parakstīšanas platformas pakalpojuma sniedzēji var piedāvāt mainīt paraksta anotācijas uzstādījumus. Jāuzsver, ka paraksta anotācija pati par sevi nav elektroniskais paraksts, bet gan tikai vizuāls tā attēlojums. Piemēram, “Dokobit by Signicat” e-parakstīšanas portālā kā papildpakalpojums tiek piedāvāta iespēja izvēlēties, vai dokumentam pievienot paraksta anotāciju, kur lapā tā atradīsies, kā arī to, vai anotācijā būs redzams personas kods. Pat tad, ja izvēlas dokumentam paraksta anotāciju nepievienot vai nenorādīt personas kodu tajā, metadatos personas kods joprojām būs redzams.
Parakstu anotācijas ir iespējams pievienot tikai PDF formāta failiem, bet konteinerformāta dokumentiem, kā Latvijas nacionālajam EDoc vai starptautiskajam ASiC, tās nav pieejamas. Ja parakstītam dokumentam parakstu anotācija jau ir pievienota, to noņemt vai mainīt tās novietojumu, “nesalaužot” dokumentu, vairs nevar.
Vizuālā anotācija ir tikai informatīva, un tās esamība vai neesamība nekādā veidā neapliecina, vai dokumentam ir vai nav pievienoti derīgi elektroniskie paraksti. Dokumentā “iekodēto” elektronisko parakstu derīgumu var droši pārbaudīt tikai ar kvalificētu validācijas rīku. Validācijas rezultātos vienmēr būs redzams arī parakstītāja personas kods, jo tā ir neatņemama kvalificēta elektroniskā paraksta sertifikāta sastāvdaļa, kā jau minēts iepriekš šajā rakstā.
Risinājums juridiskām personām
Ja pārstāvat juridisku personu un kāda iemesla dēļ tomēr nevēlaties publiskot parakstītāju personas kodus, ir pieejams risinājums – elektroniskais zīmogs. E-zīmogus izsniedz tikai juridiskām personām, un zīmoga metadatos ir tikai uzņēmuma vai organizācijas informācija. E-zīmogus izmanto, lai apliecinātu dokumentu vai datu izcelsmi un integritāti un lai dokumentu saturu nevarētu nepamanāmi labot vai viltot. E-zīmogus var izmantot, piemēram, finanšu pārskatiem vai personas veselības informācijai; automātiski ģenerētiem dokumentiem, piemēram, rēķiniem, maksājuma izrakstiem, izrakstiem no datu bāzēm; automatizētu procesu apstiprināšanai un citos gadījumos. E-zīmogs gan neaizstāj uzņēmuma vai organizācijas pārstāvja parakstu – tam joprojām būs vajadzīgs elektroniskais paraksts.