Elektrooniliste allkirjade õiguslik tähendus

Mõiste "elektrooniline allkiri" (või "e-allkiri") hõlmab mitmeid allkirjatasemeid, sealhulgas digitaalallkirju. Kuigi mõisteid "elektrooniline allkiri" ja "digitaalne allkiri" kasutatakse sageli vaheldumisi, siis ei ole need samad. Kõik elektrooniliselt antud allkirjad ei ole digitaalallkirjad ja nende õiguslik tähendus ei võrdu käsitsi kirjutatud allkirjaga. Mõlemat tüüpi allkirjad luuakse võrgus ja neid rakendatakse veebidokumentidele. Digitaalallkirjad pakuvad aga täiendavat turvalisuse taset, kasutades tehnoloogiat, mis krüpteerib allkirja ja tagab, et allkirjastaja on see, kes ta väidab end olevat.

Esiteks sõltub elektroonilise allkirja valik seadusega nõutavast tehinguvormist. Eesti seaduste järgi on tehinguid, mida saab teha suuliselt, on tehinguid, mida saab teha kirjalikku taasesitamist võimaldavas vormis (st ei nõuta omakäelist allkirja), on tehinguid, mis peavad olema kirjalikus vormis (st peab sisaldama omakäelist allkirja), on tehinguid, mida saab teha elektrooniliselt (vastab kirjalikule vormile) ja on tehinguid, mida saab teha üksnes notariaalselt.

Teiseks võib elektroonilise allkirja valik sõltuda osapoole eelistusest, st et isegi kui seadus ei nõua omakäelist allkirja või sellega samaväärset elektroonilist allkirja, võib pool vajada kindlustunnet, et dokumendile on alla kirjutanud selleks volitatud isik, kuivõrd igasugune vaidlus tehingu kehtivuse üle seoses allkirjastamisega võib olla väga kulukas.

Selliste vaidluste vältimiseks või omakäelise allkirja või samaväärse elektroonilise allkirja seadusest tuleneva nõude järgimiseks peab olema tuvastatav: (i) kes dokumendile alla kirjutas; (ii) millal dokument allkirjastati; (iii) et dokumenti ei ole muudetud ja (iv) milline kvalifitseeritud usaldusteenuse pakkuja on allkirja kontrollinud.

Ühesõnaga on vaja selgelt aru saada, milline elektrooniline allkiri on seaduse kontekstis samaväärne käsitsi kirjutatud allkirjaga ja milline mitte.

Praktikas eksisteerib kolme tüüpi elektroonilisi allkirju: lihtne elektrooniline allkiri (Simple Electronic Signature ehk SES), täiustatud elektrooniline allkiri (Advanced Electronic Signature ehk AES) ja kvalifitseeritud elektrooniline allkiri (Qualified Electronic Signature ehk QES).

SES on elektrooniliselt genereeritud allkirja jäljend, millel puuduvad tehnilised eriomadused (nt PDF-i kopeeritud allkirja kujutis), mistõttu ei vasta see elektroonilise allkirjastamise põhinõuetele, mis on võrdsustatud omakäelise allkirjaga.

Euroopa Parlamendi ja nõukogu määrus (EL) nr 910/2014 e-identimise ja e-tehingute jaoks vajalike usaldusteenuste kohta siseturul (eIDAS) (edaspidi “Määrus”) tunnustab nii AES kui ka QES elektrooniliste allkirjade keerukamate ja turvalisemate vormidena, kuigi turvalisuse mõttes neid siiski eristatakse.

Määruse kohaselt peab AES olema allakirjutanuga unikaalselt seotud; peab suutma allkirja andjat tuvastada; peab olema antud e-allkirja andmiseks vajalike andmete abil, mida saab kõrge salastatuse taseme juures kasutada üksnes allkirja andja ja see peab olema allkirjastatud andmetega seotud sellisel viisil, et kõik hilisemad andmete muudatused on tuvastatavad.

Seega kasutades laialt levinud AES-i (nt DocuSign, PandaDoc) on võimalik tuvastada allkirjastamise aega ja tagada dokumendi sisu muutumatuks jäämine, kuid kuna puudub vahepealne kvalifitseeritud usaldusteenuse pakkuja, siis praktikas ei ole võimalik olla kindel allakirjutanu isikus. Näiteks võib allkirjastamiseks kasutatav e-posti aadress olla fiktiivne või e-posti aadressi võib kasutada pahatahtlik kolmas osapool. Sellest tulenevalt ei peeta AES-i omakäelise allkirjaga samaväärseks elektrooniliseks allkirjaks.

Vastavalt Määrusele peab QES vastama AES-le kehtestatud nõuetele, kuid lisaks peab seda toetama kvalifitseeritud sertifikaat, mille on välja andnud kvalifitseeritud usaldusteenuse pakkuja, kes on kantud usaldusnimekirja. Usaldusteenuse pakkujate loendi leiate siit.

Kvalifitseeritud usaldusteenuse pakkuja kontrollib allkirja, mis tagab muuhulgas sisu terviklikkuse, allkirjastamise aja selguse ja allkirjastaja isikusamasuse. Eestis on käesoleval hetkel kaks usaldusteenuse pakkujat: GuardTime OÜ and SK ID Solutions AS; Lätis üks: Läti riiklik raadio- ja televisioonikeskus ja Leedus neli: Siseministeeriumi valitsemisalas olev isikut tõendavate dokumentide isikustamiskeskus, Riiklik Registrite Keskus, UAB BalTstamp, UAB Dokobit.

Eestis laialt levinud digitaalne allkirjastamine võrdub niinimetatud kõrgeima turvatasemega allkirjaga ehk QES-ga. Eestis kasutatakse digitaalsel allkirjastamisel ID-kaarti, digi-ID, mobiil-ID ja Smart-ID ning seda tehakse spetsiaalse ID tarkvara abil või RIA DigiDoc mobiilirakenduse kaudu. Lätis kasutatakse digiallkirjastamisel eID kaarti, eParaksts mobiilirakendust ja Smart-ID ning Leedus GoSign, SignaWeb (ainult adoc-vormingus).

Allkirjastatud dokumendi analüüsimisel tunneb QES-i ära: (i) dokumendis oleva allkirjasertifikaadi järgi; (ii) allkirja sertifikaadile märgitud sertifikaadi väljaandja järgi ja (iii)  selle järgi, et sertifikaadi väljastaja on Euroopa Liidu kvalifitseeritud usaldusteenuse pakkuja (talle on antud QES sertifikaat). Kui kõik need asjaolud on tuvastatavad, on tegemist kvalifitseeritud elektroonilise allkirjaga. Kui sellist sertifikaati on keeruline leida või pole selge, kas tegemist on QES-iga, tuleks pigem eeldada, et tegemist pole kvalifitseeritud elektroonilise allkirjaga.

Euroopa Liidus peab QES-il olema sama õiguslik mõju kui omakäelisel allkirjal. See tähendab, et kui tehingule kohaldatav seadus nõuab dokumendi käsitsi või digitaalset allkirjastamist, tähendab see kvalifitseeritud elektroonilist allkirja. Teisisõnu, seni kuni elektroonilise allkirja andmise vahend ei ole kvalifitseeritud, ei saa me rääkida omakäelise allkirjaga samaväärsest elektroonilisest lahendusest.

Kokkuvõtteks võib öelda, et kui seadusest tulenev tehingu vorminõue seda võimaldab, võib dokumentide allkirjastamiseks kasutada ainult AES-i pakkuvaid platvorme (nt igapäevases äripraktikas), kuid tehingu kehtivuse üle vaidluste vältimiseks on soovitatav kasutada platvorme, mis pakuvad kvalifitseeritud elektroonilist allkirjastamist ehk QES-i.