Συνεπάγεται η ηλεκτρονική υπογραφή επεξεργασία προσωπικών δεδομένων;

Ναι. Το email, το όνομα και πιθανώς ο αριθμός τηλεφώνου του υπογράφοντος συλλέγονται. Το περιεχόμενο των εγγράφων μπορεί επίσης να περιέχει προσωπικά δεδομένα. Ο πάροχος υπογραφής είναι επεξεργαστής δεδομένων κατά την έννοια του RGPD, υπόχρεος στις υποχρεώσεις του άρθρου 28.

Είναι η DocuSign συμpatible με το RGPD;

Η DocuSign ισχυρίζεται ότι είναι συmpatible με το RGPD και προσφέρει SCCs. Ωστόσο, ως αμερικανική εταιρεία, παραμένει υπόχρεη στο Cloud Act. Η CNIL υπενθύμισε ότι το Cloud Act δημιουργεί ένα κίνδυνο που δεν μπορεί να εξαλειφθεί για τα ευρωπαϊκά δεδομένα που φιλοξενούνται από αμερικανικά νομικά πρόσωπα, ακόμη και στην ΕΕ.

Είναι η Certyneo συmpatible με το RGPD;

Ναι. Η Certyneo είναι γαλλικό νομικό πρόσωπο, φιλοξενούμενο στην ΕΕ (IONOS Γερμανία), μη υπόχρεο στο Cloud Act. Τα δεδομένα είναι κρυπτογραφημένα κατά τη μεταφορά (TLS 1.3) και ακίνητα. Η Certyneo προσφέρει ένα DPA συmpatible με το άρθρο 28 του RGPD.

Είναι απαραίτητο να πραγματοποιήσετε AIPD για τη χρήση λύσης υπογραφής;

Το AIPD δεν απαιτείται συστηματικά για τυπική ηλεκτρονική υπογραφή. Είναι υποχρεωτικό εάν υπογράφετε έγγραφα που περιέχουν ευαίσθητα δεδομένα (υγεία, ανθρώπινα δυναμικά με συνδικαλιστικά δεδομένα, κλπ) ή εάν η χρήση υπογραφής συνεπάγεται profile ή επιτήρηση μεγάλης κλίμακας.

Οδηγός συμμόρφωσης 2026

Ηλεκτρονική υπογραφή και RGPD: οδηγός για τους DPO

Η υιοθέτηση μιας λύσης ηλεκτρονικής υπογραφής εγείρει πολλά ζητήματα RGPD: πού φιλοξενούνται τα δεδομένα; Ποιος μπορεί να τα προσεγγίσει; Υπάρχει κίνδυνος Cloud Act; Αυτός ο οδηγός απαντά σε αυτά τα ερωτήματα και εξηγεί πώς να επιλέξετε μια λύση συμpatible με το RGPD για την οργάνωσή σας.

Ενημερώθηκε στις 27 Απριλίου 2026

Ποια προσωπικά δεδομένα επεξεργάζεται μια λύση υπογραφής;

Μια πλατφόρμα ηλεκτρονικής υπογραφής επεξεργάζεται διάφορες κατηγορίες προσωπικών δεδομένων.

Ταυτότητα του υπογράφοντος: όνομα, επώνυμο, email, αριθμός τηλεφώνου
Περιεχόμενο εγγράφων: πιθανώς ευαίσθητα προσωπικά δεδομένα (συμβάσεις εργασίας, δεδομένα υγείας, χρηματοοικονομικά δεδομένα)
Δεδομένα audit trail: διεύθυνση IP, timestamp, user-agent
Συμπεριφορικά δεδομένα: χειρόγραφη υπογραφή σε tablet (εάν QES βιομετρικό)

Φιλοξενία και μεταφορές εκτός ΕΕ

Το RGPD απαιτεί ότι τα προσωπικά δεδομένα δεν μπορούν να μεταφερθούν εκτός ΕΕ παρά μόνο σε χώρες που παρέχουν επαρκές επίπεδο προστασίας ή υπό κατάλληλες εγγυήσεις (SCCs, BCRs). Για τις λύσεις υπογραφής, αυτό σημαίνει:

Φιλοξενία ΕΕ → εγγενή μεταφορά, χωρίς πρόσθετες διαδικασίες
Φιλοξενία ΗΠΑ με SCCs → δυνατή αλλά με υπολειπόμενο κίνδυνο Cloud Act
Αμερικανικό νομικό πρόσωπο (Cloud Act) → κίνδυνος που δεν μπορεί να εξαλειφθεί ακόμη και με φιλοξενία ΕΕ

Αμερικανικό Cloud Act και ηλεκτρονική υπογραφή

Το Cloud Act (2018) επιτρέπει στις αμερικανικές αρχές να προσπελάσουν δεδομένα που φιλοξενούνται από αμερικανικές εταιρείες, ακόμη και αν αποθηκεύονται στην Ευρώπη. Οι DocuSign, Adobe Sign και Dropbox Sign είναι αμερικανικές εταιρείες που υπόκεινται στο Cloud Act. Η Certyneo είναι γαλλική εταιρεία, μη υπόκειμενη σε αυτή την εξωτερικότητα.

Solution	Επίπεδο κινδύνου Cloud Act ανά λύση
Certyneo	Κανένας κίνδυνος — γαλλικό νομικό πρόσωπο
Yousign	Κανένας κίνδυνος — γαλλικό νομικό πρόσωπο
DocuSign	Υπολειπόμενος κίνδυνος — αμερικανικό νομικό πρόσωπο
Adobe Acrobat Sign	Υπολειπόμενος κίνδυνος — αμερικανικό νομικό πρόσωπο
Dropbox Sign	Υπολειπόμενος κίνδυνος — αμερικανικό νομικό πρόσωπο

DPA και νομικές βάσεις

Η επεξεργασία δεδομένων από μια λύση υπογραφής πρέπει να βασίζεται σε έγκυρη νομική βάση (συμβάσεις, νόμιμο συμφέρον, ή συναίνεση). Πρέπει να συναφθεί Data Processing Agreement (DPA) με τον πάροχο υπογραφής. Η Certyneo παρέχει ένα DPA συμpatible με το RGPD, υπογράφιμο ηλεκτρονικά, με τα στοιχεία που απαιτούνται από το άρθρο 28 του RGPD.

Συστάσεις για DPO

1Επιλέξτε έναν πάροχο του οποίου το νομικό πρόσωπο βρίσκεται στην ΕΕ ή στο Ηνωμένο Βασίλειο (μετά-Brexit με απόφαση επάρκειας)
2Επαληθεύστε ότι η φιλοξενία είναι αποκλειστικά στην ΕΕ, χωρίς αντιγραφή σε εξυπηρετητές εκτός ΕΕ
3Λάβετε και υπογράψτε ηλεκτρονικά ένα DPA συμpatible με το άρθρο 28 του RGPD
4Τεκμηριώστε την ανάλυση επιπτώσεων (AIPD) εάν επεξεργάζεστε ευαίσθητα δεδομένα στα έγγραφά σας
5Επαληθεύστε την περίοδο διατήρησης δεδομένων και την πολιτική διαγραφής στο τέλος της σύμβασης

Ερωτήσεις RGPD σχετικά με ηλεκτρονική υπογραφή

Συνεπάγεται η ηλεκτρονική υπογραφή επεξεργασία προσωπικών δεδομένων;: Ναι. Το email, το όνομα και πιθανώς ο αριθμός τηλεφώνου του υπογράφοντος συλλέγονται. Το περιεχόμενο των εγγράφων μπορεί επίσης να περιέχει προσωπικά δεδομένα. Ο πάροχος υπογραφής είναι επεξεργαστής δεδομένων κατά την έννοια του RGPD, υπόχρεος στις υποχρεώσεις του άρθρου 28.
Είναι η DocuSign συμpatible με το RGPD;: Η DocuSign ισχυρίζεται ότι είναι συmpatible με το RGPD και προσφέρει SCCs. Ωστόσο, ως αμερικανική εταιρεία, παραμένει υπόχρεη στο Cloud Act. Η CNIL υπενθύμισε ότι το Cloud Act δημιουργεί ένα κίνδυνο που δεν μπορεί να εξαλειφθεί για τα ευρωπαϊκά δεδομένα που φιλοξενούνται από αμερικανικά νομικά πρόσωπα, ακόμη και στην ΕΕ.
Είναι η Certyneo συmpatible με το RGPD;: Ναι. Η Certyneo είναι γαλλικό νομικό πρόσωπο, φιλοξενούμενο στην ΕΕ (IONOS Γερμανία), μη υπόχρεο στο Cloud Act. Τα δεδομένα είναι κρυπτογραφημένα κατά τη μεταφορά (TLS 1.3) και ακίνητα. Η Certyneo προσφέρει ένα DPA συmpatible με το άρθρο 28 του RGPD.
Είναι απαραίτητο να πραγματοποιήσετε AIPD για τη χρήση λύσης υπογραφής;: Το AIPD δεν απαιτείται συστηματικά για τυπική ηλεκτρονική υπογραφή. Είναι υποχρεωτικό εάν υπογράφετε έγγραφα που περιέχουν ευαίσθητα δεδομένα (υγεία, ανθρώπινα δυναμικά με συνδικαλιστικά δεδομένα, κλπ) ή εάν η χρήση υπογραφής συνεπάγεται profile ή επιτήρηση μεγάλης κλίμακας.

→ Οι εγγυήσεις ασφάλειάς μας · → Οδηγός ηλεκτρονικής υπογραφής · → Κανονισμός eIDAS

Μια λύση υπογραφής συmpatible με το RGPD

Γαλλικό νομικό πρόσωπο, αποκλειστική φιλοξενία ΕΕ, διαθέσιμο DPA, εκτός Cloud Act.