Електронен подпис и GDPR: ръководство за DPO

Какви лични данни обработва решението за подпис?

Платформата за електронен подпис обработва няколко категории лични данни.

• Идентичност на подписващия: име, фамилия, имейл, телефонен номер
• Съдържание на документите: потенциално чувствителни лични данни (трудови договори, здравни данни, финансови данни)
• Данни от одитния запис: IP адрес, времева печат, user-agent
• Поведенчески данни: следа на ръчния подпис на таблет (ако QES биометричен)

Хостинг и трансфери извън ЕС

GDPR изисква личните данни да се прехвърлят извън ЕС само в страни с адекватна степен на защита или под подходящи гаранции (SCCs, BCRs). За решенията за подпис това означава:

• Хостинг в ЕС → естествен трансфер, без допълнителни формалности
• Хостинг в САЩ със SCCs → възможен, но остатъчен риск от Cloud Act
• Американска единица (Cloud Act) → неустранимо риск дори с хостинг в ЕС

Американският Cloud Act и електронен подпис

Cloud Act (2018) разрешава на американските органи власт да получат достъп до данни, хранени от американски компании, дори ако тези данни се съхраняват в Европа. DocuSign, Adobe Sign и Dropbox Sign са американски компании, подчинени на Cloud Act. Certyneo е френска единица, която не е подчинена на тази екстериториалност.

Препоръки за DPO

1. 1Изберете доставчик, чието юридическо лице е регистрирано в ЕС или Великобритания (след Brexit с решение за адекватност)
2. 2Проверете, че хостингът е изключително в ЕС, без репликация на сървъри извън ЕС
3. 3Получете и подпишете DPA в съответствие с член 28 на GDPR
4. 4Документирайте анализа на въздействието (AIPD) ако обработвате чувствителни данни в вашите документи
5. 5Проверете продължителността на съхранение на данни и политиката за изтриване в края на договора

Въпроси относно GDPR и електронен подпис

Означава ли електронният подпис обработка на лични данни?

Да. Имейлът, името и потенциално телефонния номер на подписващия се събирают. Съдържанието на документите може също да съдържа лични данни. Доставчикът на подписа е подизпълнител в смисъла на GDPR, подчинен на задълженията на член 28.

DocuSign е ли в съответствие с GDPR?

DocuSign твърди, че е в съответствие с GDPR и предлага SCCs. Въпреки това, като американска компания, остава подчинена на Cloud Act. CNIL припомни, че Cloud Act създава неустранимо риск за европейски данни, хранени от американски единици, дори в ЕС.

Certyneo е ли в съответствие с GDPR?

Да. Certyneo е френска единица, хостирана в ЕС (IONOS Германия), която не е подчинена на Cloud Act. Данните са криптирани при преноса (TLS 1.3) и в покой. Certyneo предлага DPA в съответствие с член 28 на GDPR.

Необходимо ли е да се извършва AIPD за използване на решение за подпис?

AIPD не е систематично необходима за стандартния електронен подпис. Налага се, ако подписвате документи, съдържащи чувствителни данни (здравни, HR с профсъюзни данни и т.н.) или ако вашето използване на подписа включва профилиране или наблюдение в голям мащаб.