Elektroninis parašas ir RGPD: DPO vadovas
Elektroninio parašo sprendimo priėmimas keliakelią RGPD klausimų: kur saugomi duomenys? Kas gali jais pasiekti? Ar yra Cloud Act rizika? Šis vadovas atsakys į šiuos klausimus ir paaiškins, kaip pasirinkti RGPD atitinkantį sprendimą jūsų organizacijai.
Kokius asmeninius duomenis apdoroja elektroninio parašo sprendimas?
Elektroninio parašo platforma apdoroja kelis asmeninių duomenų kategorijas.
- Pasirašytojas identifikavimas: vardas, pavardė, el. paštas, telefono numeris
- Dokumento turinys: potencialiai jautrūs asmeniniai duomenys (darbo sutartys, sveikatos duomenys, finansiniai duomenys)
- Audito šlapo duomenys: IP adresas, laiko žyma, user-agent
- Elgsenos duomenys: rankraščio parašo kelias planšetėje (jei biometrinė QES)
Serveriai ir duomenų perdavimas už ES ribų
RGPD nustato, kad asmeniniai duomenys negali būti perkeliami už ES ribų, išskyrus šalis su adekvačia apsaugos lygiu ar tinkamomis garantijomis (SCC, BCR). Parašo sprendimuose tai reiškia:
- ES serveriai → savitas perdavimas, papildomų formalumų nereikia
- JAV serveriai su SCCs → galima, bet liko Cloud Act rizika
- JAV subjektas (Cloud Act) → neišvengiama rizika net ir ES serverių atveju
Amerikiečių Cloud Act ir elektroninis parašas
Cloud Act (2018) įgalina JAV valdžią pasiekti duomenis, kuriuos saugo amerikiečių įmonės, net jei šie duomenys saugomi Europoje. DocuSign, Adobe Sign ir Dropbox Sign yra amerikiečių įmonės, kurioms taikytinas Cloud Act. Certyneo yra prancūzų subjektas, nepatenkantis šiam ekstrateritorialumui.
| Solution | Cloud Act rizikos lygis pagal sprendimą |
|---|---|
| Certyneo | Jokios rizikos — prancūzų subjektas |
| Yousign | Jokios rizikos — prancūzų subjektas |
| DocuSign | Likutinė rizika — amerikiečių subjektas |
| Adobe Acrobat Sign | Likutinė rizika — amerikiečių subjektas |
| Dropbox Sign | Likutinė rizika — amerikiečių subjektas |
DPA ir teisinės pagrindat
Duomenų apdorojimas naudojant parašo sprendimą turi būti pagrįstas teisėta pagrindu (sutartis, teisėtas interesas arba sutikimas). Su parašo teikėju turi būti sudaryta duomenų apdorojimo sutartis (DPA). Certyneo siūlo GDPR atitinkamą DPA, kurį galima pasirašyti elektroniniu būdu, su visais GDPR 28 straipsnyje nurodytais elementais.
Rekomendacijos duomenų apsaugos pareigūnams
- 1Pasirinkite teikėją, kurio juridinis subjektas įsikūręs ES arba Jungtinėje Karalystėje (po Brexit su adekvatumo sprendimu)
- 2Patikrinkite, kad serveriai yra tik ES, be replikavimo už ES ribų
- 3Gaukite ir pasirašykite DPA, atitinkantį GDPR 28 straipsnį
- 4Dokumentuokite poveikio analizę (DPIA), jei apdorojate jautrius duomenis dokumentuose
- 5Patikrinkite duomenų saugojimo trukmę ir ištrynimo politiką pasibaigus sutarčiai
GDPR klausimai apie elektroninį parašą
- Ar elektroninis parašas reiškia asmeninių duomenų apdorojimą?
- Taip. Surenkami pasirašiusiojo el. paštas, vardas ir galimas telefonos numeris. Dokumentų turinys taip pat gali turėti asmeninių duomenų. Parašo teikėjas yra GDPR sąvokos atžvilgiu pasiuntinys, turintis 28 straipsnio pareigybę.
- Ar DocuSign atitinka GDPR?
- DocuSign tvirtina atitinkantis GDPR ir siūlo SCCs. Tačiau kaip JAV korporacija, ji lieka Cloud Act šalimi. CNIL priminė, kad Cloud Act sukuria neišvengiamą riziką europiškiems duomenims, kuriuos saugo JAV subjektai, net ir ES serverių atveju.
- Ar Certyneo atitinka GDPR?
- Taip. Certyneo yra prancūzų subjektas, serveriai dislokuoti ES (IONOS Vokietija), nepatenkantis Cloud Act. Duomenys šifruojami persiuntimo (TLS 1.3) ir poilsio metu. Certyneo siūlo GDPR 28 straipsnį atitinkantį DPA.
- Ar būtina atlikti DPIA elektroninio parašo sprendimui naudoti?
- DPIA nėra sistematiškai reikalinga standartiniam elektroniniam parašui. Ji būtina, jei pasirašote dokumentus, turinčius jautrius duomenis (sveikatos, HR su profsąjungų duomenimis ir pan.) arba jei parašo naudojimas apima profiliavimu arba didelės apimties stebėseną.