Elektronický podpis a GDPR: průvodce pro DPO

Jaké osobní údaje zpracovává řešení elektronického podpisu?

Platforma elektronického podpisu zpracovává několik kategorií osobních údajů.

• Identita podpisujícího: jméno, příjmení, email, telefonní číslo
• Obsah dokumentů: potenciálně citlivé osobní údaje (pracovní smlouvy, zdravotní údaje, finanční údaje)
• Údaje auditní stopy: IP adresa, časové razítko, user-agent
• Behaviorální data: záznam ručního podpisu na tabletu (pokud je QES biometrický)

Hosting a transfery mimo EU

GDPR vyžaduje, aby byly osobní údaje přeneseny mimo EU pouze do zemí nabízejících přiměřenou úroveň ochrany nebo pod příslušnými zárukami (SCCs, BCRs). Pro řešení elektronického podpisu to znamená:

• Hosting EU → nativní transfer, žádné další formalitě
• Hosting USA se SCCs → možné, ale zbývající riziko Cloud Act
• Americká entita (Cloud Act) → nevyloučitelné riziko, i s hostingem EU

Americký Cloud Act a elektronický podpis

Cloud Act (2018) umožňuje americkým úřadům přistupovat k údajům hostovaným společnostmi amerického práva, i pokud jsou data uložena v Evropě. DocuSign, Adobe Sign a Dropbox Sign jsou americké společnosti podléhající Cloud Act. Certyneo je francouzská entita, která tomuto extrateritoriálnímu právu nepodléhá.

Doporučení pro pracovníky na ochranu údajů

1. 1Vyberte poskytovatele, jehož právní subjekt sídlí v EU nebo Spojené království (po Brexitu s rozhodnutím o přiměřenosti)
2. 2Ověřte, že je hosting výhradně v EU bez replikace na serverech mimo EU
3. 3Získejte a podepište DPA v souladu s článkem 28 GDPR
4. 4Zdokumentujte analýzu dopadů (AIPD), pokud ve svých dokumentech zpracováváte citlivé údaje
5. 5Ověřte dobu uchovávání údajů a zásadu mazání po skončení smlouvy

Otázky týkající se GDPR a elektronického podpisu

Vyžaduje elektronický podpis zpracování osobních údajů?

Ano. Jsou shromažďovány e-mail, jméno a případně telefonní číslo podepisujícího. Obsah dokumentů může také obsahovat osobní údaje. Poskytovatel podpisu je zpracovatelem ve smyslu GDPR a podléhá povinnostem podle článku 28.

Je DocuSign v souladu s GDPR?

DocuSign tvrdí, že je v souladu s GDPR a nabízí SCCs. Jako americká společnost však zůstává podléhat Cloud Act. CNIL připomněla, že Cloud Act vytváří nevyloučitelné riziko pro evropská data hostovaná americkými subjekty, i v EU.

Je Certyneo v souladu s GDPR?

Ano. Certyneo je francouzská entita hostovaná v EU (IONOS Německo), která nepodléhá Cloud Act. Údaje jsou šifrovány při přenosu (TLS 1.3) a v klidu. Certyneo nabízí DPA v souladu s článkem 28 GDPR.

Je nutné provádět AIPD pro používání řešení elektronického podpisu?

AIPD není systematicky vyžadována pro standardní elektronický podpis. Je povinná, pokud podepisujete dokumenty obsahující citlivé údaje (zdravotní, HR s údaji o odborech atd.) nebo pokud vaše používání podpisu zahrnuje profilování nebo rozsáhlé monitorování.