Tarkoittaako sähköinen allekirjoitus henkilötietojen käsittelyä?

Kyllä. Allekirjoittajan sähköpostiosoite, nimi ja mahdollisesti puhelinnumero kerätään. Asiakirjojen sisältö voi myös sisältää henkilötietoja. Allekirjoituspalveluntarjoaja on GDPR:n mukaisesti rekisterinpitäjän toimeksiannon saaja ja on velvollinen noudattamaan GDPR:n 28. artiklan vaatimuksia.

Onko DocuSign GDPR-yhteensopiva?

DocuSign väittää olevansa GDPR-yhteensopiva ja tarjoaa SCCs-sopimuksia. Yhdysvaltalaisena yrityksenä se jää kuitenkin Cloud Actin soveltamisalaan. CNIL on muistuttanut, että Cloud Act aiheuttaa poistamattoman riskin EU:n sisällä yhdysvaltalaisten yhteisöjen isännöimille eurooppalaisille tiedoille.

Onko Certyneo GDPR-yhteensopiva?

Kyllä. Certyneo on ranskalainen yhteisö, jonka isännöinti on EU:ssa (IONOS Saksa), eikä Cloud Act sovellu siihen. Tiedot on salattu siirron aikana (TLS 1.3) ja levossa. Certyneo tarjoaa GDPR:n 28. artiklan mukaisen DPA-sopimuksen.

Onko vaikutustenarviointi (DPIA) pakollinen allekirjoituspalvelun käyttöön?

Vaikutustenarviointi ei ole automaattisesti pakollinen tavallisille sähköisen allekirjoituksen ratkaisuille. Se on pakollinen, jos allekirjoitat asiakirjoja, joissa on arkaluonteisia tietoja (terveys, henkilöstöresurssit unionitietojen kanssa jne.) tai jos allekirjoituksen käyttö sisältää profilointia tai laajamittaista valvontaa.

Compliance-opas 2026

Sähköinen allekirjoitus ja RGPD: opas DPO:ille

Sähköisen allekirjoitusratkaisun käyttöönotto herättää useita RGPD-kysymyksiä: missä tietoja säilytetään? Kuka niihin pääsee? Onko Cloud Act -riski? Tämä opas vastaa näihin kysymyksiin ja selittää, kuinka valita RGPD-noudattava ratkaisu organisaatioollesi.

Päivitetty 27. huhtikuuta 2026

Mitä henkilötietoja sähköisen allekirjoitusratkaisu käsittelee?

Sähköisen allekirjoituspalvelu käsittelee useita henkilötietojen luokkia.

Allekirjoittajan henkilöllisyys: nimi, etunimi, sähköposti, puhelinnumero
Asiakirjojen sisältö: mahdollisesti arkaluontoisia henkilötietoja (työsopimukset, terveystiedot, taloudelliset tiedot)
Audit trail -tiedot: IP-osoite, aikaleima, user-agent
Käyttäytymistiedot: käsinkirjoitetun allekirjoituksen piirteet tabletilla (jos biometrinen QES)

Isännöinti ja siirrot EU:n ulkopuolelle

RGPD edellyttää, että henkilötietoja siirretään EU:n ulkopuolelle vain maihin, jotka tarjoavat riittävän suojan tason tai asianmukaisia takeita (SCCs, BCRs). Sähköisen allekirjoitusratkaisun osalta tämä tarkoittaa:

EU-isännöinti → alkuperäinen siirto, ei lisäformaliteeteja
US-isännöinti SCC:n kanssa → mahdollista mutta jäännösriski Cloud Act
US-yhteisö (Cloud Act) → riski ei poistettavissa edes EU-isännöinnillä

Amerikkalainen Cloud Act ja sähköinen allekirjoitus

Cloud Act (2018) antaa Yhdysvaltain viranomaisille oikeuden saada käyttöoikeudet yhdysvaltalaisten yritysten isännöimiin tietoihin, vaikka nämä tiedot olisivat varastoituna Euroopassa. DocuSign, Adobe Sign ja Dropbox Sign ovat yhdysvaltalaisia yrityksiä, joihin Cloud Act soveltuu. Certyneo on ranskalainen yhteisö, johon tämä ekstraterritoriaalinen säännös ei sovellu.

Solution	Cloud Act -riskitaso ratkaisittain
Certyneo	Ei riskiä — ranskalainen yhteisö
Yousign	Ei riskiä — ranskalainen yhteisö
DocuSign	Jäännösriski — yhdysvaltalainen yhteisö
Adobe Acrobat Sign	Jäännösriski — yhdysvaltalainen yhteisö
Dropbox Sign	Jäännösriski — yhdysvaltalainen yhteisö

DPA ja oikeusperusteet

Allekirjoituspalvelun tietojen käsittelyyn tulee olla pätevä oikeusperusta (sopimus, laillinen etu tai suostumus). Allekirjoituspalveluntarjoajan kanssa on tehtävä tietojen käsittelysopimus (DPA). Certyneo tarjoaa GDPR-yhteensopivan DPA-sopimuksen, jonka voi allekirjoittaa sähköisesti ja joka sisältää GDPR:n 28. artiklassa vaaditut elementit.

Suositukset tietosuojahenkilöille

1Valitse palveluntarjoaja, jonka oikeussubjekti on EU:ssa tai Yhdistyneessä kuningaskunnassa (Brexit-jälkeen riittävyysratkaisulla)
2Varmista, että palvelun isännöinti on yksinomaan EU:ssa ilman replikaatiota EU:n ulkopuolisille palvelimille
3Hanki ja allekirjoita GDPR:n 28. artiklelin mukainen DPA-sopimus
4Dokumentoi vaikutustenarviointi (DPIA), jos käsittelet arkaluonteisia tietoja asiakirjoissasi
5Tarkista tietojen säilyttämisaika ja poistokäytäntö sopimuksen päättyessä

Sähköisen allekirjoituksen GDPR-kysymykset

Tarkoittaako sähköinen allekirjoitus henkilötietojen käsittelyä?: Kyllä. Allekirjoittajan sähköpostiosoite, nimi ja mahdollisesti puhelinnumero kerätään. Asiakirjojen sisältö voi myös sisältää henkilötietoja. Allekirjoituspalveluntarjoaja on GDPR:n mukaisesti rekisterinpitäjän toimeksiannon saaja ja on velvollinen noudattamaan GDPR:n 28. artiklan vaatimuksia.
Onko DocuSign GDPR-yhteensopiva?: DocuSign väittää olevansa GDPR-yhteensopiva ja tarjoaa SCCs-sopimuksia. Yhdysvaltalaisena yrityksenä se jää kuitenkin Cloud Actin soveltamisalaan. CNIL on muistuttanut, että Cloud Act aiheuttaa poistamattoman riskin EU:n sisällä yhdysvaltalaisten yhteisöjen isännöimille eurooppalaisille tiedoille.
Onko Certyneo GDPR-yhteensopiva?: Kyllä. Certyneo on ranskalainen yhteisö, jonka isännöinti on EU:ssa (IONOS Saksa), eikä Cloud Act sovellu siihen. Tiedot on salattu siirron aikana (TLS 1.3) ja levossa. Certyneo tarjoaa GDPR:n 28. artiklan mukaisen DPA-sopimuksen.
Onko vaikutustenarviointi (DPIA) pakollinen allekirjoituspalvelun käyttöön?: Vaikutustenarviointi ei ole automaattisesti pakollinen tavallisille sähköisen allekirjoituksen ratkaisuille. Se on pakollinen, jos allekirjoitat asiakirjoja, joissa on arkaluonteisia tietoja (terveys, henkilöstöresurssit unionitietojen kanssa jne.) tai jos allekirjoituksen käyttö sisältää profilointia tai laajamittaista valvontaa.

→ Turvallisuustakuumme · → Sähköisen allekirjoituksen opas · → eIDAS-asetus

GDPR-yhteensopiva allekirjoitusratkaisu

Ranskalainen yhteisö, yksinomainen EU-isännöinti, DPA saatavilla, Cloud Actin ulkopuolella.