Ηλεκτρονική υπογραφή και GDPR: οδηγός για τους DPO

Ποια προσωπικά δεδομένα επεξεργάζεται μια λύση υπογραφής;

Μια πλατφόρμα ηλεκτρονικής υπογραφής επεξεργάζεται διάφορες κατηγορίες προσωπικών δεδομένων.

• Ταυτότητα του υπογράφοντος: όνομα, επώνυμο, email, αριθμός τηλεφώνου
• Περιεχόμενο εγγράφων: πιθανώς ευαίσθητα προσωπικά δεδομένα (συμβάσεις εργασίας, δεδομένα υγείας, χρηματοοικονομικά δεδομένα)
• Δεδομένα audit trail: διεύθυνση IP, timestamp, user-agent
• Συμπεριφορικά δεδομένα: χειρόγραφη υπογραφή σε tablet (εάν QES βιομετρικό)

Φιλοξενία και μεταφορές εκτός ΕΕ

Το GDPR απαιτεί ότι τα προσωπικά δεδομένα δεν μπορούν να μεταφερθούν εκτός ΕΕ παρά μόνο σε χώρες που παρέχουν επαρκές επίπεδο προστασίας ή υπό κατάλληλες εγγυήσεις (SCCs, BCRs). Για τις λύσεις υπογραφής, αυτό σημαίνει:

• Φιλοξενία ΕΕ → εγγενή μεταφορά, χωρίς πρόσθετες διαδικασίες
• Φιλοξενία ΗΠΑ με SCCs → δυνατή αλλά με υπολειπόμενο κίνδυνο Cloud Act
• Αμερικανικό νομικό πρόσωπο (Cloud Act) → κίνδυνος που δεν μπορεί να εξαλειφθεί ακόμη και με φιλοξενία ΕΕ

Αμερικανικό Cloud Act και ηλεκτρονική υπογραφή

Το Cloud Act (2018) επιτρέπει στις αμερικανικές αρχές να προσπελάσουν δεδομένα που φιλοξενούνται από αμερικανικές εταιρείες, ακόμη και αν αποθηκεύονται στην Ευρώπη. Οι DocuSign, Adobe Sign και Dropbox Sign είναι αμερικανικές εταιρείες που υπόκεινται στο Cloud Act. Η Certyneo είναι γαλλική εταιρεία, μη υπόκειμενη σε αυτή την εξωτερικότητα.

Συστάσεις για DPO

1. 1Επιλέξτε έναν πάροχο του οποίου το νομικό πρόσωπο βρίσκεται στην ΕΕ ή στο Ηνωμένο Βασίλειο (μετά-Brexit με απόφαση επάρκειας)
2. 2Επαληθεύστε ότι η φιλοξενία είναι αποκλειστικά στην ΕΕ, χωρίς αντιγραφή σε εξυπηρετητές εκτός ΕΕ
3. 3Λάβετε και υπογράψτε ηλεκτρονικά ένα DPA συμpatible με το άρθρο 28 του GDPR
4. 4Τεκμηριώστε την ανάλυση επιπτώσεων (AIPD) εάν επεξεργάζεστε ευαίσθητα δεδομένα στα έγγραφά σας
5. 5Επαληθεύστε την περίοδο διατήρησης δεδομένων και την πολιτική διαγραφής στο τέλος της σύμβασης

Ερωτήσεις GDPR σχετικά με ηλεκτρονική υπογραφή

Συνεπάγεται η ηλεκτρονική υπογραφή επεξεργασία προσωπικών δεδομένων;

Ναι. Το email, το όνομα και πιθανώς ο αριθμός τηλεφώνου του υπογράφοντος συλλέγονται. Το περιεχόμενο των εγγράφων μπορεί επίσης να περιέχει προσωπικά δεδομένα. Ο πάροχος υπογραφής είναι επεξεργαστής δεδομένων κατά την έννοια του GDPR, υπόχρεος στις υποχρεώσεις του άρθρου 28.

Είναι η DocuSign συμpatible με το GDPR;

Η DocuSign ισχυρίζεται ότι είναι συmpatible με το GDPR και προσφέρει SCCs. Ωστόσο, ως αμερικανική εταιρεία, παραμένει υπόχρεη στο Cloud Act. Η CNIL υπενθύμισε ότι το Cloud Act δημιουργεί ένα κίνδυνο που δεν μπορεί να εξαλειφθεί για τα ευρωπαϊκά δεδομένα που φιλοξενούνται από αμερικανικά νομικά πρόσωπα, ακόμη και στην ΕΕ.

Είναι η Certyneo συmpatible με το GDPR;

Ναι. Η Certyneo είναι γαλλικό νομικό πρόσωπο, φιλοξενούμενο στην ΕΕ (IONOS Γερμανία), μη υπόχρεο στο Cloud Act. Τα δεδομένα είναι κρυπτογραφημένα κατά τη μεταφορά (TLS 1.3) και ακίνητα. Η Certyneo προσφέρει ένα DPA συmpatible με το άρθρο 28 του GDPR.

Είναι απαραίτητο να πραγματοποιήσετε AIPD για τη χρήση λύσης υπογραφής;

Το AIPD δεν απαιτείται συστηματικά για τυπική ηλεκτρονική υπογραφή. Είναι υποχρεωτικό εάν υπογράφετε έγγραφα που περιέχουν ευαίσθητα δεδομένα (υγεία, ανθρώπινα δυναμικά με συνδικαλιστικά δεδομένα, κλπ) ή εάν η χρήση υπογραφής συνεπάγεται profile ή επιτήρηση μεγάλης κλίμακας.