Tanda Tangan Elektronik dan RGPD: panduan untuk DPO
Adopsi solusi tanda tangan elektronik menimbulkan beberapa pertanyaan RGPD: di mana data disimpan? Siapa yang dapat mengaksesnya? Apakah ada risiko Cloud Act? Panduan ini menjawab pertanyaan-pertanyaan tersebut dan menjelaskan cara memilih solusi yang sesuai dengan RGPD untuk organisasi Anda.
Data pribadi apa yang diproses oleh solusi tanda tangan?
Platform tanda tangan elektronik memproses beberapa kategori data pribadi.
- Identitas penandatangan: nama, nama depan, email, nomor telepon
- Konten dokumen: berpotensi berisi data pribadi sensitif (kontrak kerja, data kesehatan, data keuangan)
- Data audit trail: alamat IP, timestamp, user-agent
- Data perilaku: jejak tanda tangan tulisan tangan di tablet (jika QES biometrik)
Hosting dan transfer di luar UE
RGPD mengharuskan bahwa data pribadi hanya ditransfer di luar UE ke negara yang menawarkan tingkat perlindungan yang memadai atau di bawah jaminan yang sesuai (SCCs, BCRs). Untuk solusi tanda tangan, ini berarti:
- Hosting UE → transfer native, tidak ada formalitas tambahan
- Hosting US dengan SCCs → mungkin tetapi ada risiko residual Cloud Act
- Entitas US (Cloud Act) → risiko tidak dapat dihilangkan bahkan dengan hosting UE
Cloud Act Amerika dan tanda tangan elektronik
Cloud Act (2018) mengizinkan otoritas Amerika mengakses data yang dihosting oleh perusahaan hukum Amerika, bahkan jika data tersebut disimpan di Eropa. DocuSign, Adobe Sign dan Dropbox Sign adalah perusahaan Amerika yang tunduk pada Cloud Act. Certyneo adalah entitas Prancis, tidak tunduk pada ekstratèrorialitas ini.
| Solution | Tingkat risiko Cloud Act menurut solusi |
|---|---|
| Certyneo | Tidak ada risiko — entitas Prancis |
| Yousign | Tidak ada risiko — entitas Prancis |
| DocuSign | Risiko residual — entitas Amerika |
| Adobe Acrobat Sign | Risiko residual — entitas Amerika |
| Dropbox Sign | Risiko residual — entitas Amerika |
DPA dan dasar hukum
Pemrosesan data oleh solusi tanda tangan harus didasarkan pada dasar hukum yang sah (kontrak, kepentingan sah, atau persetujuan). Data Processing Agreement (DPA) harus ditandatangani dengan penyedia tanda tangan. Certyneo menawarkan DPA yang sesuai RGPD, dapat ditandatangani secara elektronik, dengan elemen yang diperlukan oleh pasal 28 RGPD.
Rekomendasi untuk DPO
- 1Pilih penyedia yang entitas hukumnya berdomisili di UE atau Inggris (pasca-Brexit dengan keputusan kecukupan)
- 2Verifikasi bahwa hosting berada sepenuhnya di UE, tanpa replikasi di server di luar UE
- 3Dapatkan dan tandatangani DPA yang sesuai dengan pasal 28 RGPD
- 4Dokumentasikan analisis dampak (AIPD) jika Anda memproses data sensitif dalam dokumen Anda
- 5Verifikasi periode penyimpanan data dan kebijakan penghapusan di akhir kontrak
Pertanyaan RGPD tentang tanda tangan elektronik
- Apakah tanda tangan elektronik melibatkan pemrosesan data pribadi?
- Ya. Email, nama, dan nomor telepon penandatangan secara potensial dikumpulkan. Konten dokumen juga dapat berisi data pribadi. Penyedia tanda tangan adalah subkontraktor dalam arti RGPD, tunduk pada kewajiban pasal 28.
- Apakah DocuSign sesuai dengan RGPD?
- DocuSign menyatakan sesuai dengan RGPD dan menawarkan SCCs. Namun, sebagai perusahaan Amerika, tetap tunduk pada Cloud Act. CNIL mengingatkan bahwa Cloud Act menciptakan risiko yang tidak dapat dihilangkan untuk data Eropa yang dihosting oleh entitas US, bahkan di UE.
- Apakah Certyneo sesuai dengan RGPD?
- Ya. Certyneo adalah entitas Prancis, dihosting di UE (IONOS Jerman), tidak tunduk pada Cloud Act. Data dienkripsi dalam transit (TLS 1.3) dan saat istirahat. Certyneo menawarkan DPA yang sesuai dengan pasal 28 RGPD.
- Apakah perlu melakukan AIPD untuk penggunaan solusi tanda tangan?
- AIPD tidak secara sistematis diperlukan untuk tanda tangan elektronik standar. AIPD diperlukan jika Anda menandatangani dokumen yang berisi data sensitif (kesehatan, HR dengan data serikat pekerja, dll) atau jika penggunaan tanda tangan Anda melibatkan profiling atau pengawasan skala besar.