Tanda Tangan Elektronik dan GDPR: panduan untuk DPO

Data pribadi apa yang diproses oleh solusi tanda tangan?

Platform tanda tangan elektronik memproses beberapa kategori data pribadi.

• Identitas penandatangan: nama, nama depan, email, nomor telepon
• Konten dokumen: berpotensi berisi data pribadi sensitif (kontrak kerja, data kesehatan, data keuangan)
• Data audit trail: alamat IP, timestamp, user-agent
• Data perilaku: jejak tanda tangan tulisan tangan di tablet (jika QES biometrik)

Hosting dan transfer di luar UE

GDPR mengharuskan bahwa data pribadi hanya ditransfer di luar UE ke negara yang menawarkan tingkat perlindungan yang memadai atau di bawah jaminan yang sesuai (SCCs, BCRs). Untuk solusi tanda tangan, ini berarti:

• Hosting UE → transfer native, tidak ada formalitas tambahan
• Hosting US dengan SCCs → mungkin tetapi ada risiko residual Cloud Act
• Entitas US (Cloud Act) → risiko tidak dapat dihilangkan bahkan dengan hosting UE

Cloud Act Amerika dan tanda tangan elektronik

Cloud Act (2018) mengizinkan otoritas Amerika mengakses data yang dihosting oleh perusahaan hukum Amerika, bahkan jika data tersebut disimpan di Eropa. DocuSign, Adobe Sign dan Dropbox Sign adalah perusahaan Amerika yang tunduk pada Cloud Act. Certyneo adalah entitas Prancis, tidak tunduk pada ekstratèrorialitas ini.

Rekomendasi untuk DPO

1. 1Pilih penyedia yang entitas hukumnya berdomisili di UE atau Inggris (pasca-Brexit dengan keputusan kecukupan)
2. 2Verifikasi bahwa hosting berada sepenuhnya di UE, tanpa replikasi di server di luar UE
3. 3Dapatkan dan tandatangani DPA yang sesuai dengan pasal 28 GDPR
4. 4Dokumentasikan analisis dampak (AIPD) jika Anda memproses data sensitif dalam dokumen Anda
5. 5Verifikasi periode penyimpanan data dan kebijakan penghapusan di akhir kontrak

Pertanyaan GDPR tentang tanda tangan elektronik

Apakah tanda tangan elektronik melibatkan pemrosesan data pribadi?

Ya. Email, nama, dan nomor telepon penandatangan secara potensial dikumpulkan. Konten dokumen juga dapat berisi data pribadi. Penyedia tanda tangan adalah subkontraktor dalam arti GDPR, tunduk pada kewajiban pasal 28.

Apakah DocuSign sesuai dengan GDPR?

DocuSign menyatakan sesuai dengan GDPR dan menawarkan SCCs. Namun, sebagai perusahaan Amerika, tetap tunduk pada Cloud Act. CNIL mengingatkan bahwa Cloud Act menciptakan risiko yang tidak dapat dihilangkan untuk data Eropa yang dihosting oleh entitas US, bahkan di UE.

Apakah Certyneo sesuai dengan GDPR?

Ya. Certyneo adalah entitas Prancis, dihosting di UE (IONOS Jerman), tidak tunduk pada Cloud Act. Data dienkripsi dalam transit (TLS 1.3) dan saat istirahat. Certyneo menawarkan DPA yang sesuai dengan pasal 28 GDPR.

Apakah perlu melakukan AIPD untuk penggunaan solusi tanda tangan?

AIPD tidak secara sistematis diperlukan untuk tanda tangan elektronik standar. AIPD diperlukan jika Anda menandatangani dokumen yang berisi data sensitif (kesehatan, HR dengan data serikat pekerja, dll) atau jika penggunaan tanda tangan Anda melibatkan profiling atau pengawasan skala besar.