Elektronički potpis i GDPR: vodiči za DPO

Koje osobne podatke obrađuje rješenje za potpis?

Platforma za elektronički potpis obrađuje nekoliko kategorija osobnih podataka.

• Identitet potpisnika: ime, prezime, email, telefonski broj
• Sadržaj dokumenata: potencijalno osjetljivi osobni podaci (ugovori o radu, zdravstveni podaci, financijski podaci)
• Podaci audit trail-a: IP adresa, vremenska oznaka, user-agent
• Bihevioralni podaci: potez rukoročnog potpisa na tabletu (ako je QES biometrijski)

Pohrana podataka i transfer izvan EU-a

GDPR zahtijeva da se osobni podaci transferiraju izvan EU-a samo prema zemljama koje nude odgovarajuću razinu zaštite ili s odgovarajućim jamstvima (SCC-ovi, BCR-ovi). Za rješenja za potpis, to znači:

• Pohrana u EU → izvorni transfer, bez dodatnih formalnosti
• Pohrana u SAD-u sa SCC-ovima → moguće ali sa rezidualnim rizikom Cloud Act-a
• Entitet SAD-a (Cloud Act) → rizik koji se ne može ukloniti čak ni sa pohranom u EU-u

Američki Cloud Act i elektronički potpis

Cloud Act (2018) omogućava američkim vlastima pristup podacima koje pohranjuju SAD tvrtke, čak i ako se ti podaci nalaze pohranjena u Europi. DocuSign, Adobe Sign i Dropbox Sign su američke tvrtke podložne Cloud Act-u. Certyneo je francuska entitet, nije podložna toj ekstrateritorijali.

Preporuke za DPO

1. 1Odaberite davatelja usluge čija je pravna entitet smještena u EU ili Ujedinjenom Kraljevstvu (nakon Bregzita s odlukom o adekvatnosti)
2. 2Provjerite je li pohrana isključivo u EU-u, bez replilacije na poslužitelje izvan EU-a
3. 3Pribavite i potpisite DPA koji je u skladu s člankom 28 GDPR-a
4. 4Dokumentirajte analizu utjecaja (AIPD) ako obrađujete osjetljive podatke u vašim dokumentima
5. 5Provjerite trajnost pohrane podataka i politiku brisanja na kraju ugovora

Pitanja oko GDPR-a i elektroničkog potpisa

Podrazumijeva li elektronički potpis obradu osobnih podataka?

Da. Email, ime i potencijalno telefonski broj potpisnika se prikupljaju. Sadržaj dokumenata može sadržavati i osobne podatke. Davatelj usluge potpisa je podređeni procesor prema GDPR-u, podložan obvezama članka 28.

Je li DocuSign u skladu s GDPR-om?

DocuSign tvrdi da je u skladu s GDPR-om i nudi SCC-ove. Međutim, kao američka tvrtka, ostaje podložna Cloud Act-u. CNIL je napomenuo da Cloud Act stvara rizik koji se ne može ukloniti za europske podatke pohranene od strane američkih entiteta, čak i u EU-u.

Je li Certyneo u skladu s GDPR-om?

Da. Certyneo je francuska entitet, pohranjena u EU (IONOS Njemačka), nije podložna Cloud Act-u. Podaci su šifrirani tijekom prijenosa (TLS 1.3) i u mirovanju. Certyneo nudi DPA koji je u skladu s člankom 28 GDPR-a.

Je li potrebno obaviti AIPD za korištenje rješenja za potpis?

AIPD nije automatski obavezna za standardni elektronički potpis. Nametnuta je ako potpisujete dokumente koji sadržavaju osjetljive podatke (zdravstvo, HR s podatcima o sindikatima, itd.) ili ako vaša upotreba potpisa uključuje profiliranje ili praćenje u velikoj mjerilu.