Elektronički potpis i RGPD: vodiči za DPO
Primjena rješenja za elektronički potpis postavlja nekoliko pitanja oko RGPD-a: gdje se podaci pohranjuju? Tko im može pristupiti? Postoji li rizik od Cloud Act-a? Ovaj vodič odgovara na ta pitanja i objašnjava kako odabrati rješenje koje je u skladu s RGPD-om za vašu organizaciju.
Koje osobne podatke obrađuje rješenje za potpis?
Platforma za elektronički potpis obrađuje nekoliko kategorija osobnih podataka.
- Identitet potpisnika: ime, prezime, email, telefonski broj
- Sadržaj dokumenata: potencijalno osjetljivi osobni podaci (ugovori o radu, zdravstveni podaci, financijski podaci)
- Podaci audit trail-a: IP adresa, vremenska oznaka, user-agent
- Bihevioralni podaci: potez rukoročnog potpisa na tabletu (ako je QES biometrijski)
Pohrana podataka i transfer izvan EU-a
RGPD zahtijeva da se osobni podaci transferiraju izvan EU-a samo prema zemljama koje nude odgovarajuću razinu zaštite ili s odgovarajućim jamstvima (SCC-ovi, BCR-ovi). Za rješenja za potpis, to znači:
- Pohrana u EU → izvorni transfer, bez dodatnih formalnosti
- Pohrana u SAD-u sa SCC-ovima → moguće ali sa rezidualnim rizikom Cloud Act-a
- Entitet SAD-a (Cloud Act) → rizik koji se ne može ukloniti čak ni sa pohranom u EU-u
Američki Cloud Act i elektronički potpis
Cloud Act (2018) omogućava američkim vlastima pristup podacima koje pohranjuju SAD tvrtke, čak i ako se ti podaci nalaze pohranjena u Europi. DocuSign, Adobe Sign i Dropbox Sign su američke tvrtke podložne Cloud Act-u. Certyneo je francuska entitet, nije podložna toj ekstrateritorijali.
| Solution | Razina rizika Cloud Act-a po rješenju |
|---|---|
| Certyneo | Nema rizika — francuska entitet |
| Yousign | Nema rizika — francuska entitet |
| DocuSign | Rezidualni rizik — američka entitet |
| Adobe Acrobat Sign | Rezidualni rizik — američka entitet |
| Dropbox Sign | Rezidualni rizik — američka entitet |
DPA i pravne osnove
Obrada podataka od strane rješenja za potpis mora se temeljiti na važećoj pravnoj osnovi (ugovor, legitimni interes ili suglasnost). Dogovor o obradi podataka (DPA) mora se zaključiti s davateljem usluge potpisa. Certyneo nudi DPA koji je u skladu s RGPD-om, koji se može potpisati elektronički, sa elementima zahtjevnima prema članku 28 RGPD-a.
Preporuke za DPO
- 1Odaberite davatelja usluge čija je pravna entitet smještena u EU ili Ujedinjenom Kraljevstvu (nakon Bregzita s odlukom o adekvatnosti)
- 2Provjerite je li pohrana isključivo u EU-u, bez replilacije na poslužitelje izvan EU-a
- 3Pribavite i potpisite DPA koji je u skladu s člankom 28 RGPD-a
- 4Dokumentirajte analizu utjecaja (AIPD) ako obrađujete osjetljive podatke u vašim dokumentima
- 5Provjerite trajnost pohrane podataka i politiku brisanja na kraju ugovora
Pitanja oko RGPD-a i elektroničkog potpisa
- Podrazumijeva li elektronički potpis obradu osobnih podataka?
- Da. Email, ime i potencijalno telefonski broj potpisnika se prikupljaju. Sadržaj dokumenata može sadržavati i osobne podatke. Davatelj usluge potpisa je podređeni procesor prema RGPD-u, podložan obvezama članka 28.
- Je li DocuSign u skladu s RGPD-om?
- DocuSign tvrdi da je u skladu s RGPD-om i nudi SCC-ove. Međutim, kao američka tvrtka, ostaje podložna Cloud Act-u. CNIL je napomenuo da Cloud Act stvara rizik koji se ne može ukloniti za europske podatke pohranene od strane američkih entiteta, čak i u EU-u.
- Je li Certyneo u skladu s RGPD-om?
- Da. Certyneo je francuska entitet, pohranjena u EU (IONOS Njemačka), nije podložna Cloud Act-u. Podaci su šifrirani tijekom prijenosa (TLS 1.3) i u mirovanju. Certyneo nudi DPA koji je u skladu s člankom 28 RGPD-a.
- Je li potrebno obaviti AIPD za korištenje rješenja za potpis?
- AIPD nije automatski obavezna za standardni elektronički potpis. Nametnuta je ako potpisujete dokumente koji sadržavaju osjetljive podatke (zdravstvo, HR s podatcima o sindikatima, itd.) ili ako vaša upotreba potpisa uključuje profiliranje ili praćenje u velikoj mjerilu.