전자 서명 및 GDPR: DPO를 위한 가이드

전자 서명 솔루션이 처리하는 개인 데이터는 무엇입니까?

전자 서명 플랫폼은 여러 범주의 개인 데이터를 처리합니다.

• 서명자의 신원: 이름, 성, 이메일, 전화번호
• 문서 내용: 잠재적으로 민감한 개인 데이터(고용 계약, 건강 데이터, 재정 데이터)
• 감시 추적 데이터: IP 주소, 타임스탬프, 사용자 에이전트
• 행동 데이터: 태블릿에서의 손글씨 서명 자취 (QES 생체인식인 경우)

EU 외부로의 호스팅 및 데이터 이전

GDPR는 개인 데이터가 EU 외부로 이전되는 경우, 적절한 보호 수준을 제공하는 국가로만 이전되거나 적절한 보증(SCC, BCR) 하에서만 이전되도록 규정합니다. 서명 솔루션의 경우 이는 다음을 의미합니다:

• EU 호스팅 → 기본 이전, 추가 절차 불필요
• SCC가 있는 US 호스팅 → 가능하지만 Cloud Act 잔존 위험
• US 기업(Cloud Act) → EU 호스팅도 제거 불가능한 위험

미국 Cloud Act와 전자 서명

Cloud Act(2018)는 미국 당국이 미국 법인이 소유한 기업에서 호스팅하는 데이터에 접근할 수 있도록 허가합니다. 이 데이터가 유럽에 저장되어 있어도 마찬가지입니다. DocuSign, Adobe Sign 및 Dropbox Sign은 Cloud Act의 적용을 받는 미국 기업입니다. Certyneo는 프랑스 법인으로, 이러한 역외 적용의 대상이 아닙니다.

DPO를 위한 권장사항

1. 1법적 실체가 EU 또는 영국(Brexit 이후 적절성 결정)에 소재한 서비스 제공자를 선택하세요
2. 2호스팅이 EU 전용이며 EU 외부 서버에 복제되지 않는지 확인하세요
3. 3GDPR 제28조에 준수하는 DPA를 확보하고 서명하세요
4. 4문서에서 민감한 데이터를 처리하는 경우 영향 평가(AIPD)를 문서화하세요
5. 5데이터 보관 기간 및 계약 종료 시 삭제 정책을 확인하세요

전자 서명에 대한 GDPR 질문

전자 서명이 개인 데이터 처리를 포함합니까?

예. 서명자의 이메일, 이름 및 잠재적으로 전화번호가 수집됩니다. 문서 내용도 개인 데이터를 포함할 수 있습니다. 서명 서비스 제공자는 GDPR의 관점에서 하도급자이며, 제28조의 의무를 따릅니다.

DocuSign은 GDPR 준수입니까?

DocuSign은 GDPR 준수를 주장하며 SCC를 제공합니다. 그러나 미국 회사로서 Cloud Act의 적용을 받습니다. CNIL은 Cloud Act가 미국 법인에 의해 호스팅되는 유럽 데이터에 대해 EU에서도 제거 불가능한 위험을 야기한다고 상기시켰습니다.

Certyneo는 GDPR 준수입니까?

예. Certyneo는 프랑스 법인이며, EU(독일 IONOS)에서 호스팅되며, Cloud Act의 적용을 받지 않습니다. 데이터는 전송 중(TLS 1.3)과 저장 중에 암호화됩니다. Certyneo는 GDPR 제28조에 준수하는 DPA를 제공합니다.

서명 솔루션 사용에 대해 AIPD를 수행해야 합니까?

AIPD는 표준 전자 서명에 대해 자동으로 요구되지 않습니다. 민감한 데이터(건강, 노조 데이터가 포함된 HR 등)가 포함된 문서에 서명하거나 서명 사용이 대규모 프로파일링 또는 감시를 포함하는 경우에는 AIPD가 필수입니다.