Elektronikus aláírás és GDPR: útmutató adatvédelmi tisztviselőknek

Milyen személyes adatokat kezel egy aláírási megoldás?

Egy elektronikus aláírási platform több személyes adat-kategóriát kezel.

• Az aláíró személyazonossága: név, vezetéknév, e-mail, telefonszám
• Dokumentumtartalom: potenciálisan érzékeny személyes adatok (munkaszerződések, egészségügyi adatok, pénzügyi adatok)
• Audit trail adatok: IP-cím, timestamp, user-agent
• Viselkedési adatok: kézírásos aláírás nyomvonala tableten (ha biometrikus QES)

Szerver-tárolás és az EU-n kívüli adatátvitel

A GDPR előírja, hogy személyes adatok csak az EU-n kívülre olyan országokba vihetők át, amelyek megfelelő adatvédelmi szintet biztosítanak, vagy megfelelő garanciák mellett (SCCs, BCRs). Az aláírási megoldások esetében ez a következőket jelenti:

• EU-s szerver-tárolás → natív átvitel, nincsenek további eljárások
• US szerver-tárolás SCCs-sel → lehetséges, de fennmarad a Cloud Act-ből adódó kockázat
• US entitás (Cloud Act) → nem szüntethető meg a kockázat még EU-s szerver-tárolás esetén sem

Az amerikai Cloud Act és az elektronikus aláírás

A Cloud Act (2018) felhatalmazást ad az amerikai hatóságoknak az amerikai jog alá tartozó vállalatok által tárolt adatokhoz való hozzáférésre, még akkor is, ha ezek az adatok Európában vannak tárolva. A DocuSign, az Adobe Sign és a Dropbox Sign amerikai vállalatok, amelyek a Cloud Act hatálya alá tartoznak. A Certyneo egy francia entitás, amely nem tartozik ez alá az extraterritorialitás alá.

Ajánlások adatvédelmi megbízottak számára

1. 1Válasszon olyan szolgáltatót, akinek jogi entitása az EU-ban vagy az Egyesült Királyságban található (Brexit után adekvátsági határozattal)
2. 2Ellenőrizze, hogy a szerver-tárolás kizárólag az EU-ban történik, EU-n kívüli szerverekre történő replikáció nélkül
3. 3Szerezze meg és írassa alá a GDPR 28. cikknek megfelelő DPA-t
4. 4Dokumentálja a hatásvizsgálatot (AIPD), ha érzékeny adatokat dolgoz fel a dokumentumokba
5. 5Ellenőrizze az adatok megőrzési időtartamát és a szerződés végén történő törlési szabályzatot

GDPR-kérdések az elektronikus aláírásról

Az elektronikus aláírás személyes adatok feldolgozásával jár?

Igen. Az aláíró e-mail-cím, neve és potenciálisan telefonszáma gyűjtésre kerül. A dokumentumok tartalma személyes adatokat is tartalmazhat. Az aláírási szolgáltató a GDPR értelmében adatfeldolgozó, és a 28. cikk kötelezettségeinek tartozik.

A DocuSign GDPR-kompatibilis?

A DocuSign azt állítja, hogy GDPR-kompatibilis, és SCCs-t kínál. Azonban amerikai vállalatként továbbra is a Cloud Act hatálya alá tartozik. A CNIL hangsúlyozta, hogy a Cloud Act nem szüntethető meg a kockázatot az EU-ban tárolt, amerikai entitások által kezelt európai adatok esetében, még az EU-ban sem.

A Certyneo GDPR-kompatibilis?

Igen. A Certyneo egy francia entitás, amely az EU-ban (IONOS Németország) van tárolva, és nem tartozik a Cloud Act hatálya alá. Az adatok tranzit során (TLS 1.3) és nyugalmi állapotban titkosítottak. A Certyneo a GDPR 28. cikknek megfelelő DPA-t biztosít.

Szükséges-e AIPD elvégzése az aláírási megoldás használatához?

Az AIPD nem szükséges a szokásos elektronikus aláíráshoz. Kötelező, ha érzékeny adatokat tartalmazó dokumentumokat írnak alá (egészség, HR szindikális adatokkal stb.), vagy ha az aláírás használata profilozást vagy nagyszabású megfigyelést tartalmaz.