Elektronický podpis a RGPD: průvodce pro DPO
Zavedení řešení elektronického podpisu vyvolává několik otázek týkajících se RGPD: kde jsou data hostována? Kdo k nim má přístup? Existuje riziko Cloud Act? Tento průvodce odpovídá na tyto otázky a vysvětluje, jak zvolit řešení v souladu s RGPD pro vaši organizaci.
Jaké osobní údaje zpracovává řešení elektronického podpisu?
Platforma elektronického podpisu zpracovává několik kategorií osobních údajů.
- Identita podpisujícího: jméno, příjmení, email, telefonní číslo
- Obsah dokumentů: potenciálně citlivé osobní údaje (pracovní smlouvy, zdravotní údaje, finanční údaje)
- Údaje auditní stopy: IP adresa, časové razítko, user-agent
- Behaviorální data: záznam ručního podpisu na tabletu (pokud je QES biometrický)
Hosting a transfery mimo EU
RGPD vyžaduje, aby byly osobní údaje přeneseny mimo EU pouze do zemí nabízejících přiměřenou úroveň ochrany nebo pod příslušnými zárukami (SCCs, BCRs). Pro řešení elektronického podpisu to znamená:
- Hosting EU → nativní transfer, žádné další formalitě
- Hosting USA se SCCs → možné, ale zbývající riziko Cloud Act
- Americká entita (Cloud Act) → nevyloučitelné riziko, i s hostingem EU
Americký Cloud Act a elektronický podpis
Cloud Act (2018) umožňuje americkým úřadům přistupovat k údajům hostovaným společnostmi amerického práva, i pokud jsou data uložena v Evropě. DocuSign, Adobe Sign a Dropbox Sign jsou americké společnosti podléhající Cloud Act. Certyneo je francouzská entita, která tomuto extrateritoriálnímu právu nepodléhá.
| Solution | Úroveň rizika Cloud Act podle řešení |
|---|---|
| Certyneo | Žádné riziko — francouzská entita |
| Yousign | Žádné riziko — francouzská entita |
| DocuSign | Zbývající riziko — americká entita |
| Adobe Acrobat Sign | Zbývající riziko — americká entita |
| Dropbox Sign | Zbývající riziko — americká entita |
DPA a právní základy
Zpracování údajů řešením elektronického podpisu musí spočívat na platném právním základu (smlouva, oprávněný zájem nebo souhlas). Se poskytovatelem podpisu musí být uzavřena Smlouva o zpracování údajů (DPA). Certyneo nabízí DPA v souladu s RGPD, kterou lze podepsat elektronicky, s prvky vyžadovanými článkem 28 RGPD.
Doporučení pro pracovníky na ochranu údajů
- 1Vyberte poskytovatele, jehož právní subjekt sídlí v EU nebo Spojené království (po Brexitu s rozhodnutím o přiměřenosti)
- 2Ověřte, že je hosting výhradně v EU bez replikace na serverech mimo EU
- 3Získejte a podepište DPA v souladu s článkem 28 RGPD
- 4Zdokumentujte analýzu dopadů (AIPD), pokud ve svých dokumentech zpracováváte citlivé údaje
- 5Ověřte dobu uchovávání údajů a zásadu mazání po skončení smlouvy
Otázky týkající se RGPD a elektronického podpisu
- Vyžaduje elektronický podpis zpracování osobních údajů?
- Ano. Jsou shromažďovány e-mail, jméno a případně telefonní číslo podepisujícího. Obsah dokumentů může také obsahovat osobní údaje. Poskytovatel podpisu je zpracovatelem ve smyslu RGPD a podléhá povinnostem podle článku 28.
- Je DocuSign v souladu s RGPD?
- DocuSign tvrdí, že je v souladu s RGPD a nabízí SCCs. Jako americká společnost však zůstává podléhat Cloud Act. CNIL připomněla, že Cloud Act vytváří nevyloučitelné riziko pro evropská data hostovaná americkými subjekty, i v EU.
- Je Certyneo v souladu s RGPD?
- Ano. Certyneo je francouzská entita hostovaná v EU (IONOS Německo), která nepodléhá Cloud Act. Údaje jsou šifrovány při přenosu (TLS 1.3) a v klidu. Certyneo nabízí DPA v souladu s článkem 28 RGPD.
- Je nutné provádět AIPD pro používání řešení elektronického podpisu?
- AIPD není systematicky vyžadována pro standardní elektronický podpis. Je povinná, pokud podepisujete dokumenty obsahující citlivé údaje (zdravotní, HR s údaji o odborech atd.) nebo pokud vaše používání podpisu zahrnuje profilování nebo rozsáhlé monitorování.