Elektronisk signatur og GDPR: guide til DPO'er

Hvilke persondata behandler en signaturløsning?

En elektronisk signaturplatform behandler flere kategorier af persondata.

• Signatarens identitet: navn, fornavn, email, telefonnummer
• Dokumentindhold: potentielt følsomme persondata (arbejdskontrakter, sundhedsdata, økonomiske data)
• Audit trail-data: IP-adresse, timestamp, user-agent
• Adfærdsdata: håndskriftsignaturen på tablet (hvis biometrisk QES)

Hosting og overførsler uden for EU

GDPR foreskriver, at persondata kun må overføres uden for EU til lande, der tilbyder et tilstrækkeligt beskyttelsesniveau, eller under passende garantier (SCC'er, BCR'er). For signaturløsninger betyder det:

• EU-hosting → native overførsel, ingen ekstra formaliteter
• US-hosting med SCCs → muligt men resterende Cloud Act-risiko
• US-enhed (Cloud Act) → ikke-eliminérbar risiko selv med EU-hosting

Amerikansk Cloud Act og elektronisk signatur

Cloud Act (2018) giver amerikanske myndigheder adgang til data, som er hostet af amerikanske virksomheder, selv hvis dataene er lagret i Europa. DocuSign, Adobe Sign og Dropbox Sign er amerikanske virksomheder underlagt Cloud Act. Certyneo er en fransk enhed, ikke underlagt denne ekstraterritorialitet.

Anbefalinger til databeskyttelsesombud

1. 1Vælg en udbyder, hvis juridiske enhed er hjemmehørende i EU eller Storbritannien (post-Brexit med tilstrækkeligheidsbeslutning)
2. 2Kontroller, at hosting udelukkende er i EU uden replikering på servere uden for EU
3. 3Indhent og underskriv en DPA, der overholder artikel 28 i GDPR
4. 4Dokumenter konsekvensanalyse (DPIA) hvis du behandler følsomme data i dine dokumenter
5. 5Kontroller dataopbevaringsvarighed og sletningspolitik ved kontraktens udløb

GDPR-spørgsmål om elektronisk signatur

Medfører elektronisk signatur behandling af personoplysninger?

Ja. Email, navn og potentielt telefonnummeret på underskriveren indsamles. Dokumenternes indhold kan også indeholde personoplysninger. Signeringsudbyder er en databehandler ifølge GDPR og underlagt artikel 28's forpligtelser.

Er DocuSign GDPR-kompatibel?

DocuSign hævder at være GDPR-kompatibel og tilbyder SCCs. Som amerikansk virksomhed forbliver den dog underlagt Cloud Act. CNIL har understreget, at Cloud Act skaber en ikke-eliminérbar risiko for europæiske data hostet af amerikanske enheder, selv i EU.

Er Certyneo GDPR-kompatibel?

Ja. Certyneo er en fransk enhed, hostet i EU (IONOS Tyskland), ikke underlagt Cloud Act. Data krypteres under transport (TLS 1.3) og i hvile. Certyneo tilbyder en DPA, der overholder artikel 28 i GDPR.

Er det nødvendigt at udføre en DPIA for brug af en signeringsløsning?

En DPIA er ikke systematisk påkrævet for standard elektronisk signatur. Den påhviler dig hvis du underskriver dokumenter indeholdende følsomme data (sundhed, HR med fagforeningsoplysninger osv.) eller hvis din brug af signering indebærer profilering eller storskalaoversigt.