Електронен подпис и RGPD: ръководство за DPO
Приемането на решение за електронен подпис повдига няколко въпроса относно RGPD: къде са хранени данните? Кой може да получи достъп? Има ли риск от Cloud Act? Това ръководство отговаря на тези въпроси и обяснява как да изберете решение, което е в съответствие с RGPD за вашата организация.
Какви лични данни обработва решението за подпис?
Платформата за електронен подпис обработва няколко категории лични данни.
- Идентичност на подписващия: име, фамилия, имейл, телефонен номер
- Съдържание на документите: потенциално чувствителни лични данни (трудови договори, здравни данни, финансови данни)
- Данни от одитния запис: IP адрес, времева печат, user-agent
- Поведенчески данни: следа на ръчния подпис на таблет (ако QES биометричен)
Хостинг и трансфери извън ЕС
RGPD изисква личните данни да се прехвърлят извън ЕС само в страни с адекватна степен на защита или под подходящи гаранции (SCCs, BCRs). За решенията за подпис това означава:
- Хостинг в ЕС → естествен трансфер, без допълнителни формалности
- Хостинг в САЩ със SCCs → възможен, но остатъчен риск от Cloud Act
- Американска единица (Cloud Act) → неустранимо риск дори с хостинг в ЕС
Американският Cloud Act и електронен подпис
Cloud Act (2018) разрешава на американските органи власт да получат достъп до данни, хранени от американски компании, дори ако тези данни се съхраняват в Европа. DocuSign, Adobe Sign и Dropbox Sign са американски компании, подчинени на Cloud Act. Certyneo е френска единица, която не е подчинена на тази екстериториалност.
| Solution | Ниво на риск от Cloud Act по решение |
|---|---|
| Certyneo | Без риск — френска единица |
| Yousign | Без риск — френска единица |
| DocuSign | Остатъчен риск — американска единица |
| Adobe Acrobat Sign | Остатъчен риск — американска единица |
| Dropbox Sign | Остатъчен риск — американска единица |
DPA и правни основания
Обработката на данни от решение за подпис трябва да се основава на валидна правна основа (договор, легитимен интерес или съгласие). Договор за обработка на данни (DPA) трябва да бъде подписан с доставчика на подписа. Certyneo предлага DPA в съответствие с RGPD, подписуем електронно, със всички елементи, изискуеми от член 28 на RGPD.
Препоръки за DPO
- 1Изберете доставчик, чието юридическо лице е регистрирано в ЕС или Великобритания (след Brexit с решение за адекватност)
- 2Проверете, че хостингът е изключително в ЕС, без репликация на сървъри извън ЕС
- 3Получете и подпишете DPA в съответствие с член 28 на RGPD
- 4Документирайте анализа на въздействието (AIPD) ако обработвате чувствителни данни в вашите документи
- 5Проверете продължителността на съхранение на данни и политиката за изтриване в края на договора
Въпроси относно RGPD и електронен подпис
- Означава ли електронният подпис обработка на лични данни?
- Да. Имейлът, името и потенциално телефонния номер на подписващия се събирают. Съдържанието на документите може също да съдържа лични данни. Доставчикът на подписа е подизпълнител в смисъла на RGPD, подчинен на задълженията на член 28.
- DocuSign е ли в съответствие с RGPD?
- DocuSign твърди, че е в съответствие с RGPD и предлага SCCs. Въпреки това, като американска компания, остава подчинена на Cloud Act. CNIL припомни, че Cloud Act създава неустранимо риск за европейски данни, хранени от американски единици, дори в ЕС.
- Certyneo е ли в съответствие с RGPD?
- Да. Certyneo е френска единица, хостирана в ЕС (IONOS Германия), която не е подчинена на Cloud Act. Данните са криптирани при преноса (TLS 1.3) и в покой. Certyneo предлага DPA в съответствие с член 28 на RGPD.
- Необходимо ли е да се извършва AIPD за използване на решение за подпис?
- AIPD не е систематично необходима за стандартния електронен подпис. Налага се, ако подписвате документи, съдържащи чувствителни данни (здравни, HR с профсъюзни данни и т.н.) или ако вашето използване на подписа включва профилиране или наблюдение в голям мащаб.