هل يتضمن التوقيع الإلكتروني معالجة بيانات شخصية؟

نعم. يتم جمع البريد الإلكتروني والاسم وربما رقم هاتف الموقّع. قد يحتوي محتوى المستندات أيضاً على بيانات شخصية. مزود خدمة التوقيع هو معالج فيما يتعلق بـ GDPR، ويخضع لالتزامات المادة 28.

هل DocuSign متوافق مع GDPR؟

تؤكد DocuSign توافقها مع GDPR وتقدم SCCs. لكن كشركة أمريكية، تبقى خاضعة لـ Cloud Act. أشارت CNIL إلى أن Cloud Act ينشئ مخاطر غير قابلة للإزالة للبيانات الأوروبية المستضافة من قبل كيانات أمريكية، حتى في الاتحاد الأوروبي.

هل Certyneo متوافق مع GDPR؟

نعم. Certyneo هي كيان فرنسي، مستضاف في الاتحاد الأوروبي (IONOS ألمانيا)، غير خاضع لـ Cloud Act. يتم تشفير البيانات أثناء النقل (TLS 1.3) وأثناء الراحة. تقدم Certyneo DPA متوافق مع المادة 28 من GDPR.

هل يجب إجراء AIPD لاستخدام حل التوقيع؟

لا يُطلب AIPD بشكل منتظم للتوقيع الإلكتروني القياسي. وهو يصبح ضرورياً إذا وقّعت مستندات تحتوي على بيانات حساسة (صحية، موارد بشرية مع بيانات نقابية، إلخ) أو إذا كان استخدامك للتوقيع ينطوي على تحديد ملفات تعريفية أو مراقبة على نطاق واسع.

دليل الامتثال 2026

التوقيع الإلكتروني و GDPR: دليل لمسؤولي حماية البيانات

يثير اعتماد حل التوقيع الإلكتروني عدة أسئلة تتعلق بـ GDPR: أين يتم استضافة البيانات؟ من يمكنه الوصول إليها؟ هل هناك خطر قانون السحابة؟ يجيب هذا الدليل على هذه الأسئلة ويوضح كيفية اختيار حل متوافق مع GDPR لمنظمتك.

تم التحديث في ٢٧ أبريل ٢٠٢٦

ما البيانات الشخصية التي تعالجها حل التوقيع؟

تعالج منصة التوقيع الإلكتروني عدة فئات من البيانات الشخصية.

هوية الموقّع: الاسم، واللقب، والبريد الإلكتروني، ورقم الهاتف
محتوى الوثائق: بيانات شخصية حساسة محتملة (عقود العمل، بيانات الصحة، البيانات المالية)
بيانات سجل التدقيق: عنوان IP، الطابع الزمني، وكيل المستخدم
البيانات السلوكية: توقيع يدوي مرسوم على جهاز لوحي (إذا كان QES حيوياً)

الاستضافة والتحويلات خارج الاتحاد الأوروبي

يفرض GDPR عدم نقل البيانات الشخصية خارج الاتحاد الأوروبي إلا إلى دول توفر مستوى حماية كافياً أو ضمانات مناسبة (SCCs، BCRs). بالنسبة لحلول التوقيع، هذا يعني:

استضافة الاتحاد الأوروبي → نقل أصلي، بدون إجراءات إضافية
استضافة أمريكية مع SCCs → ممكنة لكن مع مخاطر متبقية من Cloud Act
كيان أمريكي (Cloud Act) → مخاطر غير قابلة للإزالة حتى مع استضافة الاتحاد الأوروبي

قانون Cloud Act الأمريكي والتوقيع الإلكتروني

يسمح قانون Cloud Act (2018) للسلطات الأمريكية بالوصول إلى البيانات المستضافة من قبل شركات أمريكية الجنسية، حتى لو تم تخزين هذه البيانات في أوروبا. DocuSign و Adobe Sign و Dropbox Sign هي شركات أمريكية خاضعة لـ Cloud Act. Certyneo هي كيان فرنسي، غير خاضعة لهذا التوسع الإقليمي.

Solution	مستوى مخاطر Cloud Act حسب الحل
Certyneo	لا توجد مخاطر — كيان فرنسي
Yousign	لا توجد مخاطر — كيان فرنسي
DocuSign	مخاطر متبقية — كيان أمريكي
Adobe Acrobat Sign	مخاطر متبقية — كيان أمريكي
Dropbox Sign	مخاطر متبقية — كيان أمريكي

DPA والأساس القانوني

يجب أن يستند معالجة البيانات بواسطة حل التوقيع إلى أساس قانوني صحيح (عقد، مصلحة مشروعة، أو موافقة). يجب إبرام Data Processing Agreement (DPA) مع مزود التوقيع. تقدم Certyneo DPA متوافق مع GDPR، قابل للتوقيع إلكترونياً، يتضمن العناصر المطلوبة بموجب المادة 28 من GDPR.

توصيات لمسؤولي حماية البيانات

1اختر مزوداً تكون جهته القانونية مقيمة في الاتحاد الأوروبي أو المملكة المتحدة (بعد بريكست مع قرار التكافؤ)
2تحقق من أن الاستضافة حصرية في الاتحاد الأوروبي، بدون نسخ احتياطية على خوادم خارج الاتحاد الأوروبي
3احصل على DPA متوافق مع المادة 28 من GDPR وقع عليه
4توثيق تحليل التأثير (AIPD) إذا كنت تعالج بيانات حساسة في مستنداتك
5تحقق من مدة الاحتفاظ بالبيانات وسياسة الحذف في نهاية العقد

أسئلة GDPR حول التوقيع الإلكتروني

هل يتضمن التوقيع الإلكتروني معالجة بيانات شخصية؟: نعم. يتم جمع البريد الإلكتروني والاسم وربما رقم هاتف الموقّع. قد يحتوي محتوى المستندات أيضاً على بيانات شخصية. مزود خدمة التوقيع هو معالج فيما يتعلق بـ GDPR، ويخضع لالتزامات المادة 28.
هل DocuSign متوافق مع GDPR؟: تؤكد DocuSign توافقها مع GDPR وتقدم SCCs. لكن كشركة أمريكية، تبقى خاضعة لـ Cloud Act. أشارت CNIL إلى أن Cloud Act ينشئ مخاطر غير قابلة للإزالة للبيانات الأوروبية المستضافة من قبل كيانات أمريكية، حتى في الاتحاد الأوروبي.
هل Certyneo متوافق مع GDPR؟: نعم. Certyneo هي كيان فرنسي، مستضاف في الاتحاد الأوروبي (IONOS ألمانيا)، غير خاضع لـ Cloud Act. يتم تشفير البيانات أثناء النقل (TLS 1.3) وأثناء الراحة. تقدم Certyneo DPA متوافق مع المادة 28 من GDPR.
هل يجب إجراء AIPD لاستخدام حل التوقيع؟: لا يُطلب AIPD بشكل منتظم للتوقيع الإلكتروني القياسي. وهو يصبح ضرورياً إذا وقّعت مستندات تحتوي على بيانات حساسة (صحية، موارد بشرية مع بيانات نقابية، إلخ) أو إذا كان استخدامك للتوقيع ينطوي على تحديد ملفات تعريفية أو مراقبة على نطاق واسع.

→ ضماناتنا الأمنية · → دليل التوقيع الإلكتروني · → اللائحة eIDAS

مقالات موصى بها

RGPD في الموارد البشرية: معالجة بيانات الموظفين

يفرض نظام RGPD على أقسام الموارد البشرية التزامات صارمة بشأن معالجة البيانات الشخصية للموظفين. اكتشف كيفية الامتثال له بشكل عملي.

9 min

نظام حماية البيانات العام (RGPD) في الموارد البشرية: معالجة بيانات الموظفين

يفرض نظام حماية البيانات العام (RGPD) على أصحاب العمل قواعد صارمة بشأن جمع ومعالجة البيانات الشخصية لموظفيهم. اكتشف كيفية ضمان امتثالك وتجنب العقوبات.

8 min

التوقيع الإلكتروني للقطاع الطبي: RGPD و HDS

قطاع الرعاية الصحية يخضع لأكثر الالتزامات الامتثالية صرامة في المجال الرقمي. تعرف على كيفية نشر توقيع إلكتروني قانوني وممتثل لـ RGPD ومعتمد HDS لمؤسساتك الصحية.

9 min

A man sitting at a desk writing on a piece of paper

التوقيع الإلكتروني للموارد البشرية و RGPD : الدليل الشامل 2026

بين eIDAS و RGPD وإدارة البيانات الشخصية للموظفين، يخضع التوقيع الإلكتروني لمستنداتك في الموارد البشرية لقواعد صارمة. اكتشف كيفية البقاء متوافقاً مع المتطلبات.

9 min

a laptop computer sitting on top of a wooden table

نظام حماية البيانات العامة (RGPD) في إدارة الموارد البشرية: معالجة بيانات الموظفين

نظام حماية البيانات العامة (RGPD) والموارد البشرية: الأسس القانونية، سجل المعالجة، فترات الاحتفاظ بالبيانات وحقوق الموظفين في عام 2026.

4 min

حماية بيانات العملاء في التجارة الإلكترونية: الامتثال لنظام GDPR

الامتثال لنظام GDPR للتجار الإلكترونيين: سياسة الخصوصية، موافقة ملفات تعريف الارتباط، أمان البيانات والعقود الموقعة إلكترونياً مع الموردين.

4 min

حل توقيع متوافق مع GDPR

كيان فرنسي، استضافة الاتحاد الأوروبي حصرية، DPA متاح، خارج Cloud Act.