Az elektronikus aláírás személyes adatok feldolgozásával jár?

Igen. Az aláíró e-mail-cím, neve és potenciálisan telefonszáma gyűjtésre kerül. A dokumentumok tartalma személyes adatokat is tartalmazhat. Az aláírási szolgáltató a RGPD értelmében adatfeldolgozó, és a 28. cikk kötelezettségeinek tartozik.

A DocuSign RGPD-kompatibilis?

A DocuSign azt állítja, hogy RGPD-kompatibilis, és SCCs-t kínál. Azonban amerikai vállalatként továbbra is a Cloud Act hatálya alá tartozik. A CNIL hangsúlyozta, hogy a Cloud Act nem szüntethető meg a kockázatot az EU-ban tárolt, amerikai entitások által kezelt európai adatok esetében, még az EU-ban sem.

Szükséges-e AIPD elvégzése az aláírási megoldás használatához?

Az AIPD nem szükséges a szokásos elektronikus aláíráshoz. Kötelező, ha érzékeny adatokat tartalmazó dokumentumokat írnak alá (egészség, HR szindikális adatokkal stb.), vagy ha az aláírás használata profilozást vagy nagyszabású megfigyelést tartalmaz.

Megfelelőségi útmutató 2026

Elektronikus aláírás és RGPD: útmutató adatvédelmi tisztviselőknek

Az elektronikus aláírási megoldás bevezetése számos RGPD-vel kapcsolatos kérdést felvet: hol tárolódnak az adatok? Ki férhet hozzájuk? Van-e Cloud Act kockázat? Ez az útmutató megválaszolja ezeket a kérdéseket, és elmagyarázza, hogyan lehet az RGPD-vel megfelelő megoldást választani szervezete számára.

Frissítve 2026. április 27.

Milyen személyes adatokat kezel egy aláírási megoldás?

Egy elektronikus aláírási platform több személyes adat-kategóriát kezel.

Az aláíró személyazonossága: név, vezetéknév, e-mail, telefonszám
Dokumentumtartalom: potenciálisan érzékeny személyes adatok (munkaszerződések, egészségügyi adatok, pénzügyi adatok)
Audit trail adatok: IP-cím, timestamp, user-agent
Viselkedési adatok: kézírásos aláírás nyomvonala tableten (ha biometrikus QES)

Szerver-tárolás és az EU-n kívüli adatátvitel

A RGPD előírja, hogy személyes adatok csak az EU-n kívülre olyan országokba vihetők át, amelyek megfelelő adatvédelmi szintet biztosítanak, vagy megfelelő garanciák mellett (SCCs, BCRs). Az aláírási megoldások esetében ez a következőket jelenti:

EU-s szerver-tárolás → natív átvitel, nincsenek további eljárások
US szerver-tárolás SCCs-sel → lehetséges, de fennmarad a Cloud Act-ből adódó kockázat
US entitás (Cloud Act) → nem szüntethető meg a kockázat még EU-s szerver-tárolás esetén sem

Az amerikai Cloud Act és az elektronikus aláírás

A Cloud Act (2018) felhatalmazást ad az amerikai hatóságoknak az amerikai jog alá tartozó vállalatok által tárolt adatokhoz való hozzáférésre, még akkor is, ha ezek az adatok Európában vannak tárolva. A DocuSign, az Adobe Sign és a Dropbox Sign amerikai vállalatok, amelyek a Cloud Act hatálya alá tartoznak. A Certyneo egy francia entitás, amely nem tartozik ez alá az extraterritorialitás alá.

Solution	Cloud Act kockázati szint megoldásonként
Certyneo	Nincs kockázat — francia entitás
Yousign	Nincs kockázat — francia entitás
DocuSign	Fennmaradó kockázat — amerikai entitás
Adobe Acrobat Sign	Fennmaradó kockázat — amerikai entitás
Dropbox Sign	Fennmaradó kockázat — amerikai entitás

DPA és jogi alapok

Az aláírási megoldás által végzett adatfeldolgozásnak érvényes jogi alapon kell alapulnia (szerződés, jogos érdek vagy hozzájárulás). Adatfeldolgozási szerződést (DPA) kell kötni az aláírási szolgáltatóval. A Certyneo RGPD-kompatibilis DPA-t biztosít, amely elektronikusan aláírható, és tartalmazza a RGPD 28. cikke által előírt elemeket.

Ajánlások adatvédelmi megbízottak számára

1Válasszon olyan szolgáltatót, akinek jogi entitása az EU-ban vagy az Egyesült Királyságban található (Brexit után adekvátsági határozattal)
2Ellenőrizze, hogy a szerver-tárolás kizárólag az EU-ban történik, EU-n kívüli szerverekre történő replikáció nélkül
3Szerezze meg és írassa alá a RGPD 28. cikknek megfelelő DPA-t
4Dokumentálja a hatásvizsgálatot (AIPD), ha érzékeny adatokat dolgoz fel a dokumentumokba
5Ellenőrizze az adatok megőrzési időtartamát és a szerződés végén történő törlési szabályzatot

RGPD-kérdések az elektronikus aláírásról

Az elektronikus aláírás személyes adatok feldolgozásával jár?: Igen. Az aláíró e-mail-cím, neve és potenciálisan telefonszáma gyűjtésre kerül. A dokumentumok tartalma személyes adatokat is tartalmazhat. Az aláírási szolgáltató a RGPD értelmében adatfeldolgozó, és a 28. cikk kötelezettségeinek tartozik.
A DocuSign RGPD-kompatibilis?: A DocuSign azt állítja, hogy RGPD-kompatibilis, és SCCs-t kínál. Azonban amerikai vállalatként továbbra is a Cloud Act hatálya alá tartozik. A CNIL hangsúlyozta, hogy a Cloud Act nem szüntethető meg a kockázatot az EU-ban tárolt, amerikai entitások által kezelt európai adatok esetében, még az EU-ban sem.
A Certyneo RGPD-kompatibilis?: Igen. A Certyneo egy francia entitás, amely az EU-ban (IONOS Németország) van tárolva, és nem tartozik a Cloud Act hatálya alá. Az adatok tranzit során (TLS 1.3) és nyugalmi állapotban titkosítottak. A Certyneo a RGPD 28. cikknek megfelelő DPA-t biztosít.
Szükséges-e AIPD elvégzése az aláírási megoldás használatához?: Az AIPD nem szükséges a szokásos elektronikus aláíráshoz. Kötelező, ha érzékeny adatokat tartalmazó dokumentumokat írnak alá (egészség, HR szindikális adatokkal stb.), vagy ha az aláírás használata profilozást vagy nagyszabású megfigyelést tartalmaz.

→ Biztonsági garanciáink · → Elektronikus aláírás útmutató · → eIDAS rendelet

RGPD-kompatibilis aláírási megoldás

Francia entitás, kizárólagos EU-s szerver-tárolás, elérhető DPA, Cloud Act-en kívül.