האם חתימה אלקטרונית כוללת עיבוד נתונים אישיים?

כן. הדוא״ל, השם, וכנראה מספר הטלפון של החתום נאספים. תוכן המסמכים יכול גם להכיל נתונים אישיים. ספק החתימה הוא מעבד משנה לפי GDPR, כפוף לחובות סעיף 28.

האם DocuSign תואם GDPR?

DocuSign טוען שהוא תואם GDPR ומציע SCCs. עם זאת, כחברה אמריקאית, היא נותרת כפופה ל-Cloud Act. CNIL הזכירה שCloud Act יוצר סיכון שלא ניתן לסלקו לנתונים אירופיים המאוחסנים על ידי ישויות בארה״ב, גם באיחוד האירופי.

האם Certyneo תואם GDPR?

כן. Certyneo היא ישות צרפתית, מארוחת באיחוד האירופי (IONOS גרמניה), שאינה כפופה ל-Cloud Act. הנתונים מוצפנים בתעבורה (TLS 1.3) ובמנוחה. Certyneo מציע DPA תואם לסעיף 28 של GDPR.

האם יש צורך לבצע AIPD לשימוש בפתרון חתימה?

AIPD אינה נדרשת באופן שיטתי לחתימה אלקטרונית סטנדרטית. היא נדרשת אם אתם חותמים על מסמכים המכילים נתונים רגישים (בריאות, משאבי אנוש עם נתוני איגודים, וכו׳) או אם השימוש שלכם בחתימה כרוך בעיבוד או בעקבוב בהיקף גדול.

מדריך תאימות 2026

חתימה אלקטרונית ו-GDPR: מדריך עבור DPOs

אימוץ פתרון חתימה אלקטרונית מעלה מספר שאלות GDPR: היכן מתוח הנתונים? מי יכול לגשת אליהם? האם יש סיכון Cloud Act? מדריך זה עונה על שאלות אלו ומסביר כיצד לבחור פתרון תואם GDPR לארגון שלך.

עדכן בתאריך 27 באפריל 2026

אילו נתונים אישיים מטיפלים בפתרון חתימה?

פלטפורמה של חתימה אלקטרונית עובדת עם מספר קטגוריות של נתונים אישיים.

זהות החתום: שם משפחה, שם פרטי, דוא״ל, מספר טלפון
תוכן המסמכים: אפשרות לנתונים אישיים רגישים (חוזי עבודה, נתוני בריאות, נתונים כספיים)
נתוני ביקורת: כתובת IP, חותם זמן, user-agent
נתונים התנהגותיים: מסלול חתימה בכתב יד בטבלט (אם QES ביומטרי)

אירוח והעברות מחוץ לאיחוד האירופי

GDPR קובע שנתונים אישיים עשויים להעבר מחוץ לאיחוד האירופי רק למדינות המציעות רמת הגנה הולמת או תחת הבטחות מתאימות (SCCs, BCRs). לפתרונות חתימה, זה אומר:

אירוח האיחוד האירופי → העברה ילידה, ללא פורמליויות נוספות
אירוח בארה״ב עם SCCs → אפשרי אך עם סיכון שיורי Cloud Act
ישות בארה״ב (Cloud Act) → סיכון שלא ניתן לסלקו גם עם אירוח באיחוד האירופי

Cloud Act אמריקאי וחתימה אלקטרונית

Cloud Act (2018) מאפשר לרשויות אמריקאיות לגשת לנתונים המאוחסנים על ידי חברות בחוק אמריקאי, גם אם הנתונים מאוחסנים באירופה. DocuSign, Adobe Sign ו-Dropbox Sign הן חברות אמריקאיות הכפופות לCloud Act. Certyneo היא ישות צרפתית שאינה כפופה לחלוקה טריטוריאלית זו.

Solution	רמת סיכון Cloud Act לפי פתרון
Certyneo	אין סיכון — ישות צרפתית
Yousign	אין סיכון — ישות צרפתית
DocuSign	סיכון שיורי — ישות אמריקאית
Adobe Acrobat Sign	סיכון שיורי — ישות אמריקאית
Dropbox Sign	סיכון שיורי — ישות אמריקאית

DPA ובסיסים משפטיים

עיבוד נתונים על ידי פתרון חתימה חייב להיות מבוסס על בסיס משפטי תקף (חוזה, אינטרס לגיטימי, או הסכמה). יש להתחיל Data Processing Agreement (DPA) עם הספק החתימה. Certyneo מציע DPA תואם GDPR, שניתן לחתום עליו אלקטרונית, עם האלמנטים הנדרשים לפי סעיף 28 של GDPR.

המלצות לאחראים להגנת נתונים

1בחרו ספק שישותו המשפטית ממוקמת באיחוד האירופי או בממלכה המאוחדת (לאחר Brexit עם החלטת כושר)
2אמתו שהאירוח הוא בלעדי באיחוד האירופי, ללא שכפול על שרתים מחוץ לאיחוד האירופי
3השגו וחתמו על DPA תואם לסעיף 28 של GDPR
4תיעדו את ניתוח ההשפעה (AIPD) אם אתם עובדים עם נתונים רגישים במסמכיכם
5אמתו את משך שמירת הנתונים ואת מדיניות המחיקה בסיום החוזה

שאלות GDPR על חתימה אלקטרונית

האם חתימה אלקטרונית כוללת עיבוד נתונים אישיים?: כן. הדוא״ל, השם, וכנראה מספר הטלפון של החתום נאספים. תוכן המסמכים יכול גם להכיל נתונים אישיים. ספק החתימה הוא מעבד משנה לפי GDPR, כפוף לחובות סעיף 28.
האם DocuSign תואם GDPR?: DocuSign טוען שהוא תואם GDPR ומציע SCCs. עם זאת, כחברה אמריקאית, היא נותרת כפופה ל-Cloud Act. CNIL הזכירה שCloud Act יוצר סיכון שלא ניתן לסלקו לנתונים אירופיים המאוחסנים על ידי ישויות בארה״ב, גם באיחוד האירופי.
האם Certyneo תואם GDPR?: כן. Certyneo היא ישות צרפתית, מארוחת באיחוד האירופי (IONOS גרמניה), שאינה כפופה ל-Cloud Act. הנתונים מוצפנים בתעבורה (TLS 1.3) ובמנוחה. Certyneo מציע DPA תואם לסעיף 28 של GDPR.
האם יש צורך לבצע AIPD לשימוש בפתרון חתימה?: AIPD אינה נדרשת באופן שיטתי לחתימה אלקטרונית סטנדרטית. היא נדרשת אם אתם חותמים על מסמכים המכילים נתונים רגישים (בריאות, משאבי אנוש עם נתוני איגודים, וכו׳) או אם השימוש שלכם בחתימה כרוך בעיבוד או בעקבוב בהיקף גדול.

→ הבטחות האבטחה שלנו · → מדריך חתימה אלקטרונית · → תקנון eIDAS

מאמרים מומלצים

RGPD בניהול משאבי אנוש: טיפול בנתונים של עובדים

ה-RGPD מטיל על שירותי משאבי אנוש חובות קשות בטיפול בנתונים אישיים של עובדים. גלה כיצד להיענות לדרישות אלו בצורה מעשית.

9 min

RGPD בניהול משאבים אנושיים: עיבוד נתונים של עובדים

ה-RGPD מטיל על מעסיקים כללים קשוחים על אסיפה ועיבוד של נתונים אישיים של עובדים. גלו כיצד להבטיח את התאמתכם לתקנות וכדי להימנע מעונשים.

8 min

A man sitting at a desk writing on a piece of paper

חתימה אלקטרונית משאבי אנוש וRGPD: מדריך שלם 2026

בין eIDAS, RGPD וניהול נתונים אישיים של עובדים, החתימה האלקטרונית של מסמכי משאבי אנוש שלך כפופה לכללים קפדניים. גלה כיצד להישאר תואם.

9 min

Two doctors looking at a tablet together

التوقيع الإلكتروني في القطاع الطبي: RGPD و HDS

القطاع الطبي يخضع لأكثر القيود صرامة فيما يتعلق بالامتثال الرقمي. اكتشف كيفية نشر توقيع إلكتروني قانوني ومتوافق مع RGPD ومعتمد من HDS لمؤسساتك الصحية.

9 min

Digitalisation des processus administratifs — équipe en réunion de travail

Sécurité

הגנה על נתוני לקוחות מסחר אלקטרוני: תאימות ל-GDPR

4 min

Sécurité

GDPR ב-HR: עיבוד נתוני עובדים

4 min

פתרון חתימה תואם GDPR

ישות צרפתית, אירוח באיחוד האירופי בלעדי, DPA זמין, מחוץ לCloud Act.