التوقيع الإلكتروني والـ RGPD: دليل لمسؤولي حماية البيانات
يثير اعتماد حل التوقيع الإلكتروني عدة أسئلة بشأن RGPD: أين يتم استضافة البيانات؟ من يمكنه الوصول إليها؟ هل هناك خطر من قانون Cloud Act؟ يجيب هذا الدليل على هذه الأسئلة ويشرح كيفية اختيار حل متوافق مع RGPD لمؤسستك.
ما البيانات الشخصية التي تعالجها حل التوقيع الإلكتروني؟
تعالج منصة التوقيع الإلكتروني عدة فئات من البيانات الشخصية.
- هوية الموقع: الاسم والبريد الإلكتروني ورقم الهاتف
- محتوى المستندات: قد تحتوي على بيانات شخصية حساسة (عقود العمل وبيانات الصحة والبيانات المالية)
- بيانات سجل التدقيق: عنوان IP والطابع الزمني و user-agent
- البيانات السلوكية: نمط التوقيع اليدوي على الجهاز اللوحي (إذا كان QES حيوياً)
الاستضافة والتحويلات خارج الاتحاد الأوروبي
يفرض RGPD عدم نقل البيانات الشخصية خارج الاتحاد الأوروبي إلا إلى دول توفر مستوى حماية كافٍ أو تحت ضمانات مناسبة (SCCs, BCRs). بالنسبة لحلول التوقيع الإلكتروني، هذا يعني:
- الاستضافة في الاتحاد الأوروبي → نقل محلي، بدون إجراءات إضافية
- الاستضافة في الولايات المتحدة مع SCCs → ممكن لكن مع مخاطر متبقية من Cloud Act
- كيان أمريكي (Cloud Act) → مخاطر لا يمكن إزالتها حتى مع الاستضافة في الاتحاد الأوروبي
قانون Cloud Act الأمريكي والتوقيع الإلكتروني
يسمح قانون Cloud Act (2018) للسلطات الأمريكية بالوصول إلى البيانات المستضافة من قبل شركات أمريكية الجنسية، حتى لو كانت هذه البيانات مخزنة في أوروبا. DocuSign و Adobe Sign و Dropbox Sign هي شركات أمريكية تخضع لـ Cloud Act. Certyneo هو كيان فرنسي، غير خاضع لهذه الولاية الخارجية.
| Solution | مستوى مخاطر Cloud Act حسب الحل |
|---|---|
| Certyneo | لا توجد مخاطر — كيان فرنسي |
| Yousign | لا توجد مخاطر — كيان فرنسي |
| DocuSign | مخاطر متبقية — كيان أمريكي |
| Adobe Acrobat Sign | مخاطر متبقية — كيان أمريكي |
| Dropbox Sign | مخاطر متبقية — كيان أمريكي |
اتفاقية معالجة البيانات والأساس القانوني
يجب أن يكون معالجة البيانات من قبل حل التوقيع الإلكتروني قائماً على أساس قانوني صحيح (عقد، أو مصلحة مشروعة، أو موافقة). يجب إبرام اتفاقية معالجة البيانات (DPA) مع مزود التوقيع الإلكتروني. يقدم Certyneo اتفاقية DPA متوافقة مع RGPD، قابلة للتوقيع إلكترونياً، تتضمن العناصر المطلوبة بموجب المادة 28 من RGPD.
التوصيات لمسؤولي حماية البيانات
- 1اختاروا مزوداً كيانه القانوني يقع في الاتحاد الأوروبي أو المملكة المتحدة (بعد البريكست مع قرار الكفاية)
- 2تحققوا من أن الاستضافة حصراً في الاتحاد الأوروبي، بدون نسخ على خوادم خارج الاتحاد الأوروبي
- 3احصلوا على اتفاقية DPA متوافقة مع المادة 28 من RGPD وقعوها
- 4وثقوا تقييم التأثير (AIPD) إذا كنتم تعالجون بيانات حساسة في وثائقكم
- 5تحققوا من مدة الاحتفاظ بالبيانات والسياسة الخاصة بالحذف عند نهاية العقد
أسئلة شائعة حول RGPD والتوقيع الإلكتروني
- هل يترتب على التوقيع الإلكتروني معالجة البيانات الشخصية؟
- نعم. يتم جمع البريد الإلكتروني والاسم والرقم المحتمل للموقّع. قد يحتوي محتوى الوثائق أيضاً على بيانات شخصية. يعتبر مزود التوقيع الإلكتروني معالجاً بموجب RGPD، ويخضع لالتزامات المادة 28.
- هل DocuSign متوافق مع RGPD؟
- تؤكد DocuSign توافقها مع RGPD وتقدم SCCs. لكن بصفتها شركة أمريكية، تظل خاضعة لـ Cloud Act. أذكرت CNIL أن Cloud Act يخلق مخاطر لا يمكن إزالتها للبيانات الأوروبية المستضافة من قبل كيانات أمريكية، حتى في الاتحاد الأوروبي.
- هل Certyneo متوافق مع RGPD؟
- نعم. Certyneo هو كيان فرنسي، مستضاف في الاتحاد الأوروبي (IONOS ألمانيا)، غير خاضع لـ Cloud Act. البيانات مشفرة أثناء النقل (TLS 1.3) وفي الراحة. يقدم Certyneo اتفاقية DPA متوافقة مع المادة 28 من RGPD.
- هل من الضروري إجراء AIPD لاستخدام حل التوقيع الإلكتروني؟
- لا تكون AIPD مطلوبة بشكل منهجي للتوقيع الإلكتروني القياسي. تصبح إلزامية إذا وقعتم على وثائق تحتوي على بيانات حساسة (صحة، موارد بشرية ببيانات نقابية، إلخ) أو إذا كان استخدامكم للتوقيع ينطوي على تصنيف ملفات أو مراقبة على نطاق واسع.