חתימה אלקטרונית ו-RGPD: מדריך עבור DPOs
אימוץ פתרון חתימה אלקטרונית מעלה מספר שאלות RGPD: היכן מתוח הנתונים? מי יכול לגשת אליהם? האם יש סיכון Cloud Act? מדריך זה עונה על שאלות אלו ומסביר כיצד לבחור פתרון תואם RGPD לארגון שלך.
אילו נתונים אישיים מטיפלים בפתרון חתימה?
פלטפורמה של חתימה אלקטרונית עובדת עם מספר קטגוריות של נתונים אישיים.
- זהות החתום: שם משפחה, שם פרטי, דוא״ל, מספר טלפון
- תוכן המסמכים: אפשרות לנתונים אישיים רגישים (חוזי עבודה, נתוני בריאות, נתונים כספיים)
- נתוני ביקורת: כתובת IP, חותם זמן, user-agent
- נתונים התנהגותיים: מסלול חתימה בכתב יד בטבלט (אם QES ביומטרי)
אירוח והעברות מחוץ לאיחוד האירופי
RGPD קובע שנתונים אישיים עשויים להעבר מחוץ לאיחוד האירופי רק למדינות המציעות רמת הגנה הולמת או תחת הבטחות מתאימות (SCCs, BCRs). לפתרונות חתימה, זה אומר:
- אירוח האיחוד האירופי → העברה ילידה, ללא פורמליויות נוספות
- אירוח בארה״ב עם SCCs → אפשרי אך עם סיכון שיורי Cloud Act
- ישות בארה״ב (Cloud Act) → סיכון שלא ניתן לסלקו גם עם אירוח באיחוד האירופי
Cloud Act אמריקאי וחתימה אלקטרונית
Cloud Act (2018) מאפשר לרשויות אמריקאיות לגשת לנתונים המאוחסנים על ידי חברות בחוק אמריקאי, גם אם הנתונים מאוחסנים באירופה. DocuSign, Adobe Sign ו-Dropbox Sign הן חברות אמריקאיות הכפופות לCloud Act. Certyneo היא ישות צרפתית שאינה כפופה לחלוקה טריטוריאלית זו.
| Solution | רמת סיכון Cloud Act לפי פתרון |
|---|---|
| Certyneo | אין סיכון — ישות צרפתית |
| Yousign | אין סיכון — ישות צרפתית |
| DocuSign | סיכון שיורי — ישות אמריקאית |
| Adobe Acrobat Sign | סיכון שיורי — ישות אמריקאית |
| Dropbox Sign | סיכון שיורי — ישות אמריקאית |
DPA ובסיסים משפטיים
עיבוד נתונים על ידי פתרון חתימה חייב להיות מבוסס על בסיס משפטי תקף (חוזה, אינטרס לגיטימי, או הסכמה). יש להתחיל Data Processing Agreement (DPA) עם הספק החתימה. Certyneo מציע DPA תואם RGPD, שניתן לחתום עליו אלקטרונית, עם האלמנטים הנדרשים לפי סעיף 28 של RGPD.
המלצות לאחראים להגנת נתונים
- 1בחרו ספק שישותו המשפטית ממוקמת באיחוד האירופי או בממלכה המאוחדת (לאחר Brexit עם החלטת כושר)
- 2אמתו שהאירוח הוא בלעדי באיחוד האירופי, ללא שכפול על שרתים מחוץ לאיחוד האירופי
- 3השגו וחתמו על DPA תואם לסעיף 28 של RGPD
- 4תיעדו את ניתוח ההשפעה (AIPD) אם אתם עובדים עם נתונים רגישים במסמכיכם
- 5אמתו את משך שמירת הנתונים ואת מדיניות המחיקה בסיום החוזה
שאלות RGPD על חתימה אלקטרונית
- האם חתימה אלקטרונית כוללת עיבוד נתונים אישיים?
- כן. הדוא״ל, השם, וכנראה מספר הטלפון של החתום נאספים. תוכן המסמכים יכול גם להכיל נתונים אישיים. ספק החתימה הוא מעבד משנה לפי RGPD, כפוף לחובות סעיף 28.
- האם DocuSign תואם RGPD?
- DocuSign טוען שהוא תואם RGPD ומציע SCCs. עם זאת, כחברה אמריקאית, היא נותרת כפופה ל-Cloud Act. CNIL הזכירה שCloud Act יוצר סיכון שלא ניתן לסלקו לנתונים אירופיים המאוחסנים על ידי ישויות בארה״ב, גם באיחוד האירופי.
- האם Certyneo תואם RGPD?
- כן. Certyneo היא ישות צרפתית, מארוחת באיחוד האירופי (IONOS גרמניה), שאינה כפופה ל-Cloud Act. הנתונים מוצפנים בתעבורה (TLS 1.3) ובמנוחה. Certyneo מציע DPA תואם לסעיף 28 של RGPD.
- האם יש צורך לבצע AIPD לשימוש בפתרון חתימה?
- AIPD אינה נדרשת באופן שיטתי לחתימה אלקטרונית סטנדרטית. היא נדרשת אם אתם חותמים על מסמכים המכילים נתונים רגישים (בריאות, משאבי אנוש עם נתוני איגודים, וכו׳) או אם השימוש שלכם בחתימה כרוך בעיבוד או בעקבוב בהיקף גדול.