Elektrooniline allkiri ja GDPR: DPO juhend

Milliseid isikuandmeid töötleb allkirjastamise lahendus?

Elektroonsete allkirjade platvorm töötleb mitut isikuandmete kategooriat.

• Allkirjastaja identiteet: nimi, perekonnanimi, e-post, telefoninumber
• Dokumentide sisu: potentsiaalselt tundlikud isikuandmed (töölepingud, tervisega seotud andmed, finantsnäitajad)
• Auditeerimisandmed: IP-aadress, ajatempel, user-agent
• Käitumuslikud andmed: käsitsi kirjutatud allkirja jälg tahvelarvutil (kui QES biomeetriline)

Majutus ja ülekanded väljaspool EL-i

GDPR-nõuete kohaselt tohib isikuandmeid edastada väljaspool EL-i ainult riikidesse, mis pakuvad asjakohaseid kaitsenorme, või asjakohaseid garantiisid (SCC-d, BCR-id). Allkirjalahendustele kohaldatakse järgmist:

• EL-i majutus → otsene ülekanne, täiendavaid formalitaate ei ole
• USA majutus SCC-dega → võimalik, kuid jääkrisk Cloud Act
• USA subjekt (Cloud Act) → kõrvaldamatu risk isegi EL-i majutusega

Ameerika Cloud Act ja elektrooniline allkiri

Cloud Act (2018) annab USA võimudele õiguse pääseda juurde andmetele, mida majutavad Ameerika õiguse alla kuuluvad ettevõtted, isegi kui neid andmeid hoitakse Euroopas. DocuSign, Adobe Sign ja Dropbox Sign on ameerika ettevõtted, mis kuuluvad Cloud Acti reguleerimise alla. Certyneo on prantsuse subjekt, mis ei ole sellele eksterritoriaalsusele allutatud.

Soovitused andmekaitsealuste jaoks

1. 1Valige teenusepakkuja, kelle õiguslik asukoht asub EL-is või Ühendkuningriigis (pärast Brexitit adekvaatsuse otsusega)
2. 2Veenduge, et majutus asub ainult EL-is, ilma kopeerimiseta väljaspool EL-i asuvatele serveritele
3. 3Hankige ja allkirjastage GDPR artikliga 28 kooskõlas olev DPA
4. 4Dokumenteerige mõjuhinnang (AIPD), kui töötlete oma dokumentides tundlikke andmeid
5. 5Veenduge andmete säilitamise kestuses ja kustutamispoliitikast lepingu lõppeamisel

GDPR küsimused elektroonsete allkirjade kohta

Kas elektrooniline allkiri tähendab isikuandmete töötlemist?

Jah. Allkirjastaja e-post, nimi ja potentsiaalselt telefoninumber kogutakse. Dokumentide sisu võib sisaldada ka isikuandmeid. Allkirjateenuse pakkuja on GDPR-i mõttes alampakkuja, kes kuulub artikli 28 kohustuste alla.

Kas DocuSign on GDPR-nõuetele vastav?

DocuSign väidab olevat GDPR-nõuetele vastav ja pakub SCC-sid. Kuid ameerika ettevõttena kuulub see Cloud Acti alla. CNIL on meelde tuletanud, et Cloud Act loob kõrvaldamatu riski Euroopa andmete jaoks, mida majutavad USA subjektid, isegi EL-is.

Kas Certyneo on GDPR-nõuetele vastav?

Jah. Certyneo on prantsuse subjekt, majutatud EL-is (IONOS Saksamaal), mis ei kuulu Cloud Acti alla. Andmed on krüpteeritud ülekandes (TLS 1.3) ja puhkeolekus. Certyneo pakub GDPR artikliga 28 kooskõlas olevat DPA-d.

Kas allkirjalahenduse kasutamiseks on vaja teha AIPD?

AIPD ei ole standardse elektroonsete allkirjade puhul automaatselt kohustuslik. See on nõutav, kui allkirjastate dokumente, mis sisaldavad tundlikke andmeid (tervis, personalitöö tundlike andmetega jne) või kui teie allkirjad hõlmavad profiilimist või suuremahulist jälgimist.