Síniú Leictreonach agus GDPR: treoir do DPOs

Cad iad na sonraí pearsanta a phróiseálann réiteach sínithe?

Próiseálann ardán sínithe leictreonaigh roinnt catagóirí sonraí pearsanta.

• Aitheantas an tsinítheora: ainm, ainm baiste, ríomhphost, uimhir fhón
• Ábhar na ndoiciméad: sonraí pearsanta mothúchánach a bheith ann go fóill (conarthaí fostaíochta, sonraí sláinte, sonraí airgeadais)
• Sonraí trail iniúchta: seoladh IP, timestamp, user-agent
• Sonraí iompraíocha: rian sínithe lámhscríofa ar tablet (má tá QES biometric ann)

Fhostáil agus Aistrithe taobh amuigh den AE

Éilíonn an GDPR nach aistrítear sonraí pearsanta taobh amuigh den AE ach go dtí tíortha a sholáthraíonn leibhéal cosanta leordhóthanach nó faoi bharántais iomchuí (SCCs, BCRs). I gcás réiteach sínithe, ciallaíonn sé seo:

• Fhostáil AE → aistriú nádúrtha, gan formalitéisí bhreise
• Fhostáil US le SCCs → féideartha ach baol iarmharach Cloud Act
• Aonán US (Cloud Act) → baol nach bhféadfar a dhíchur fiú le hostáil AE

Cloud Act Meiriceánach agus Síniú Leictreonach

Ligeann an Cloud Act (2018) don údaráis Meiriceánacha rochtain a fháil ar shonraí a bhíonn stóráilte ag comhlachtaí dlí Meiriceánacha, fiú má bhíonn na sonraí sin stóráilte san Eoraip. Is comhlachtaí Meiriceánacha iad DocuSign, Adobe Sign agus Dropbox Sign atá faoi réir an Cloud Act. Is aonán Francach é Certyneo, nach bhfuil faoi réir an neamhiomlánaithe sin.

Moltaí do DPOs

1. 1Roghnaigh soláthraí ar aonán dlíthiúil atá lonnaithe san AE nó sa Ríochta Aontaithe (i ndiaidh Brexit le cinneadh oiriúnachta)
2. 2Fíoraigh go bhfuil an fhostáil go heisiach san AE, gan athdhíbirt ar fhreastalaí taobh amuigh den AE
3. 3Faigh agus sínaigh DPA atá comhréireach le halt 28 den GDPR
4. 4Déan doiciméadú ar an anailís tionchair (AIPD) má bhíonn tú i mbun sonraí mothúchánach a phróiseáil i do dhoiciméadanna
5. 5Fíoraigh an fad ama a choinneofar na sonraí agus an beartas dílchur ar deireadh an chonarthach

Ceisteanna GDPR ar Shíniú Leictreonach

An bhféineann síniú leictreonach próiseas sonraí pearsanta a bhailíonn?

Is ea. Bailítear an ríomhphost, an t-ainm, agus go fóill an uimhir ghuthán an tsinítheora. Is féidir don ábhar na ndoiciméad sonraí pearsanta a bheith ann freisin. Is fo-thráchtálaí an soláthraí sínithe de réir an GDPR, faoi réir oibleagáidí alt 28.

An bhfuil DocuSign comhréireach le GDPR?

Dearbhaíonn DocuSign go bhfuil sí comhréireach le GDPR agus cuireann sí SCCs ar fáil. Gabhann sí, áfach, mar chomhlacht Meiriceánach fós faoi réir an Cloud Act. Bhí cuimhne tugtha ag an CNIL ar an bhfíric gur cruthaíonn an Cloud Act baol nach bhféadfar a dhíchur do shonraí Eorapacha a bhíonn stóráilte ag aonáin US, fiú san AE.

An bhfuil Certyneo comhréireach le GDPR?

Is ea. Is aonán Francach í Certyneo, arna fhostáil san AE (IONOS an Ghearmáine), nach bhfuil faoi réir an Cloud Act. Tá na sonraí criptithe ar foluain (TLS 1.3) agus ar fos. Cuireann Certyneo DPA atá comhréireach le halt 28 den GDPR ar fáil.

An gá AIPD a dhéanamh d'úsáid réiteach sínithe?

Ní dhéantar AIPD a bhreithniú go ginearálta do shíniú leictreonach caighdeánach. Éilítear í má bhíonn tú i mbun doiciméad ina bhfuil sonraí mothúchánach (sláinte, RH le sonraí aontas, srl.) a shíniú nó má bhíonn d'úsáid den tsíniú i mbun próifíliú nó faireachán ar scála mór.