Elektrooniline allkiri ja RGPD: DPO juhend
Elektrooniline allkirjasüsteem tõstatab mitmeid RGPD küsimusi: kus andmeid säilitatakse? Kes neile ligi pääsevad? Kas on Cloud Act riskid? See juhend vastab neile küsimustele ja selgitab, kuidas valida oma organisatsiooni jaoks RGPD-le vastav lahendus.
Milliseid isikuandmeid töötleb allkirjastamise lahendus?
Elektroonsete allkirjade platvorm töötleb mitut isikuandmete kategooriat.
- Allkirjastaja identiteet: nimi, perekonnanimi, e-post, telefoninumber
- Dokumentide sisu: potentsiaalselt tundlikud isikuandmed (töölepingud, tervisega seotud andmed, finantsnäitajad)
- Auditeerimisandmed: IP-aadress, ajatempel, user-agent
- Käitumuslikud andmed: käsitsi kirjutatud allkirja jälg tahvelarvutil (kui QES biomeetriline)
Majutus ja ülekanded väljaspool EL-i
RGPD-nõuete kohaselt tohib isikuandmeid edastada väljaspool EL-i ainult riikidesse, mis pakuvad asjakohaseid kaitsenorme, või asjakohaseid garantiisid (SCC-d, BCR-id). Allkirjalahendustele kohaldatakse järgmist:
- EL-i majutus → otsene ülekanne, täiendavaid formalitaate ei ole
- USA majutus SCC-dega → võimalik, kuid jääkrisk Cloud Act
- USA subjekt (Cloud Act) → kõrvaldamatu risk isegi EL-i majutusega
Ameerika Cloud Act ja elektrooniline allkiri
Cloud Act (2018) annab USA võimudele õiguse pääseda juurde andmetele, mida majutavad Ameerika õiguse alla kuuluvad ettevõtted, isegi kui neid andmeid hoitakse Euroopas. DocuSign, Adobe Sign ja Dropbox Sign on ameerika ettevõtted, mis kuuluvad Cloud Acti reguleerimise alla. Certyneo on prantsuse subjekt, mis ei ole sellele eksterritoriaalsusele allutatud.
| Solution | Cloud Act riski tase lahendite kaupa |
|---|---|
| Certyneo | Riskit pole — prantsuse subjekt |
| Yousign | Riskit pole — prantsuse subjekt |
| DocuSign | Jääkrisk — ameerika subjekt |
| Adobe Acrobat Sign | Jääkrisk — ameerika subjekt |
| Dropbox Sign | Jääkrisk — ameerika subjekt |
DPA ja õiguslikud alused
Andmete töötlemine allkirjalahenduse abil peab põhinema kehtival õigusliku alusel (leping, seaduslik huvi või nõusolek). Allkirjateenuse pakkujaga tuleb sõlmida andmetöötlemisleping (DPA). Certyneo pakub RGPD-nõuetele vastavat DPA-d, mida saab elektroonselt allkirjastada ja mis sisaldab RGPD artikli 28 nõutavaid elemente.
Soovitused andmekaitsealuste jaoks
- 1Valige teenusepakkuja, kelle õiguslik asukoht asub EL-is või Ühendkuningriigis (pärast Brexitit adekvaatsuse otsusega)
- 2Veenduge, et majutus asub ainult EL-is, ilma kopeerimiseta väljaspool EL-i asuvatele serveritele
- 3Hankige ja allkirjastage RGPD artikliga 28 kooskõlas olev DPA
- 4Dokumenteerige mõjuhinnang (AIPD), kui töötlete oma dokumentides tundlikke andmeid
- 5Veenduge andmete säilitamise kestuses ja kustutamispoliitikast lepingu lõppeamisel
RGPD küsimused elektroonsete allkirjade kohta
- Kas elektrooniline allkiri tähendab isikuandmete töötlemist?
- Jah. Allkirjastaja e-post, nimi ja potentsiaalselt telefoninumber kogutakse. Dokumentide sisu võib sisaldada ka isikuandmeid. Allkirjateenuse pakkuja on RGPD-i mõttes alampakkuja, kes kuulub artikli 28 kohustuste alla.
- Kas DocuSign on RGPD-nõuetele vastav?
- DocuSign väidab olevat RGPD-nõuetele vastav ja pakub SCC-sid. Kuid ameerika ettevõttena kuulub see Cloud Acti alla. CNIL on meelde tuletanud, et Cloud Act loob kõrvaldamatu riski Euroopa andmete jaoks, mida majutavad USA subjektid, isegi EL-is.
- Kas Certyneo on RGPD-nõuetele vastav?
- Jah. Certyneo on prantsuse subjekt, majutatud EL-is (IONOS Saksamaal), mis ei kuulu Cloud Acti alla. Andmed on krüpteeritud ülekandes (TLS 1.3) ja puhkeolekus. Certyneo pakub RGPD artikliga 28 kooskõlas olevat DPA-d.
- Kas allkirjalahenduse kasutamiseks on vaja teha AIPD?
- AIPD ei ole standardse elektroonsete allkirjade puhul automaatselt kohustuslik. See on nõutav, kui allkirjastate dokumente, mis sisaldavad tundlikke andmeid (tervis, personalitöö tundlike andmetega jne) või kui teie allkirjad hõlmavad profiilimist või suuremahulist jälgimist.