Sähköinen allekirjoitus ja GDPR: opas DPO:ille

Mitä henkilötietoja sähköisen allekirjoitusratkaisu käsittelee?

Sähköisen allekirjoituspalvelu käsittelee useita henkilötietojen luokkia.

• Allekirjoittajan henkilöllisyys: nimi, etunimi, sähköposti, puhelinnumero
• Asiakirjojen sisältö: mahdollisesti arkaluontoisia henkilötietoja (työsopimukset, terveystiedot, taloudelliset tiedot)
• Audit trail -tiedot: IP-osoite, aikaleima, user-agent
• Käyttäytymistiedot: käsinkirjoitetun allekirjoituksen piirteet tabletilla (jos biometrinen QES)

Isännöinti ja siirrot EU:n ulkopuolelle

GDPR edellyttää, että henkilötietoja siirretään EU:n ulkopuolelle vain maihin, jotka tarjoavat riittävän suojan tason tai asianmukaisia takeita (SCCs, BCRs). Sähköisen allekirjoitusratkaisun osalta tämä tarkoittaa:

• EU-isännöinti → alkuperäinen siirto, ei lisäformaliteeteja
• US-isännöinti SCC:n kanssa → mahdollista mutta jäännösriski Cloud Act
• US-yhteisö (Cloud Act) → riski ei poistettavissa edes EU-isännöinnillä

Amerikkalainen Cloud Act ja sähköinen allekirjoitus

Cloud Act (2018) antaa Yhdysvaltain viranomaisille oikeuden saada käyttöoikeudet yhdysvaltalaisten yritysten isännöimiin tietoihin, vaikka nämä tiedot olisivat varastoituna Euroopassa. DocuSign, Adobe Sign ja Dropbox Sign ovat yhdysvaltalaisia yrityksiä, joihin Cloud Act soveltuu. Certyneo on ranskalainen yhteisö, johon tämä ekstraterritoriaalinen säännös ei sovellu.

Suositukset tietosuojahenkilöille

1. 1Valitse palveluntarjoaja, jonka oikeussubjekti on EU:ssa tai Yhdistyneessä kuningaskunnassa (Brexit-jälkeen riittävyysratkaisulla)
2. 2Varmista, että palvelun isännöinti on yksinomaan EU:ssa ilman replikaatiota EU:n ulkopuolisille palvelimille
3. 3Hanki ja allekirjoita GDPR:n 28. artiklelin mukainen DPA-sopimus
4. 4Dokumentoi vaikutustenarviointi (DPIA), jos käsittelet arkaluonteisia tietoja asiakirjoissasi
5. 5Tarkista tietojen säilyttämisaika ja poistokäytäntö sopimuksen päättyessä

Sähköisen allekirjoituksen GDPR-kysymykset

Tarkoittaako sähköinen allekirjoitus henkilötietojen käsittelyä?

Kyllä. Allekirjoittajan sähköpostiosoite, nimi ja mahdollisesti puhelinnumero kerätään. Asiakirjojen sisältö voi myös sisältää henkilötietoja. Allekirjoituspalveluntarjoaja on GDPR:n mukaisesti rekisterinpitäjän toimeksiannon saaja ja on velvollinen noudattamaan GDPR:n 28. artiklan vaatimuksia.

Onko DocuSign GDPR-yhteensopiva?

DocuSign väittää olevansa GDPR-yhteensopiva ja tarjoaa SCCs-sopimuksia. Yhdysvaltalaisena yrityksenä se jää kuitenkin Cloud Actin soveltamisalaan. CNIL on muistuttanut, että Cloud Act aiheuttaa poistamattoman riskin EU:n sisällä yhdysvaltalaisten yhteisöjen isännöimille eurooppalaisille tiedoille.

Onko Certyneo GDPR-yhteensopiva?

Kyllä. Certyneo on ranskalainen yhteisö, jonka isännöinti on EU:ssa (IONOS Saksa), eikä Cloud Act sovellu siihen. Tiedot on salattu siirron aikana (TLS 1.3) ja levossa. Certyneo tarjoaa GDPR:n 28. artiklan mukaisen DPA-sopimuksen.

Onko vaikutustenarviointi (DPIA) pakollinen allekirjoituspalvelun käyttöön?

Vaikutustenarviointi ei ole automaattisesti pakollinen tavallisille sähköisen allekirjoituksen ratkaisuille. Se on pakollinen, jos allekirjoitat asiakirjoja, joissa on arkaluonteisia tietoja (terveys, henkilöstöresurssit unionitietojen kanssa jne.) tai jos allekirjoituksen käyttö sisältää profilointia tai laajamittaista valvontaa.