Elektron imza və GDPR: DPO üçün bələdçi

Elektron imza həlli hansı şəxsi məlumatları işləyir?

Elektron imza platforması bir neçə şəxsi məlumat kategoriyasını işləyir.

• İmzalayanın kimliyi: ad, soyad, elektron poçt, telefon nömrəsi
• Sənəd məzmunu: potensial olaraq həssas şəxsi məlumatlar (iş müqavilələri, səhiyyə məlumatları, maliyyə məlumatları)
• Audit trail məlumatları: IP ünvanı, vaxt damğası, istifadəçi agenti
• Davranış məlumatları: cihazda əl yazısı imzasının izi (QES biometrik varsa)

Hosting və AB-dən kənar transferlər

GDPR, şəxsi məlumatların AB-dən kənar ölkələrə, yalnız memarlığa uyğun məlumat qoruması səviyyəsi təmin edən və ya müvafiq zəmanətlər (SCCs, BCRs) altında olması halında köçürülməsini tələb edir. İmza həlləri üçün bu aşağıdakı deməkdir:

• AB Hosting → yerli transfer, əlavə formalitə olmadan
• SCCs ilə US Hosting → mümkün, lakin qalıq Cloud Act riski
• US Entity (Cloud Act) → AB Hostinq olsa da, qalıcı risk

Amerikan Cloud Act və elektron imza

Cloud Act (2018) Amerikan hakimiyyətlərinə amerikan hüquq qüvvəsində olan şirkətlər tərəfindən saxlanılan məlumatları, hətta bu məlumatlar Avropada saxlanılsa da, əldə etmə səlahiyyəti verir. DocuSign, Adobe Sign və Dropbox Sign amerikan şirkətləridir və Cloud Act-a tabelidir. Certyneo fransız firmasıdır və bu extraterritoriallığa tabel deyildir.

DPO üçün təvsiyələr

1. 1Hüquqi vəsiqəsi AB-da və ya Böyük Britaniyada yerləşmiş xidmət göstəricisini seçin (Brexit sonrası adekvatlıq qərarı ilə)
2. 2Hosting-in AB-də olduğunu və AB dışında serverlərdə replikasiya olmadığını yoxlayın
3. 3GDPR-nin 28-ci maddəsinə uyğun DPA əldə edin və imzalayın
4. 4Sənədlərinizə həssas məlumatlar daxil etsəniz, təsir analizi (AIPD) sənədləşdirin
5. 5Məlumatların saxlanılma müddətini və müqavilə sona çatdıqda silmə siyasətini yoxlayın

Elektron imza haqqında GDPR sualları

Elektron imza şəxsi məlumatların işlənməsini nəzərdə tutur?

Bəli. İmzalayan şəxsin e-poçtu, adı və potensial olaraq telefon nömrəsi toplanır. Sənədlərin məzmunu da şəxsi məlumatlar ehtiva edə bilər. İmza xidmət göstəricisi GDPR mənasında altsubdolaşdırıcıdır və 28-ci maddənin öhdəliklərinə tabel tuturulur.

DocuSign GDPR-ə uyğun?

DocuSign GDPR-ə uyğun olduğunu təsdiq edir və SCCs təklif edir. Lakin, amerikan şirkəti olmaq etibarı ilə Cloud Act-a tabel tuturulur. CNIL cloud Act-ın AB-də yerləşmiş US firmalar tərəfindən saxlanılan avropa məlumatları üçün qalıcı riski yaratdığını xatırlatmışdır.

Certyneo GDPR-ə uyğun?

Bəli. Certyneo fransız firmasıdır, AB-də (IONOS Almaniya) yerləşmiş, Cloud Act-a tabel deyildir. Məlumatlar geçid zamanı (TLS 1.3) və istirahət zamanı şifrələnir. Certyneo GDPR-nin 28-ci maddəsinə uyğun DPA təklif edir.

İmza həlli istifadəsi üçün AIPD hazırlamaq lazımdır?

AIPD standart elektron imza üçün sistematik olaraq tələb olunmur. Sənədlər həssas məlumatlar (sağlamlıq, HR və fəhrist məlumatları, və s.) ehtiva edirsə və ya imza istifadəsi profilləşdirmə və ya geniş miqyas nəzarətini nəzərdə tutursa tələb olunur.