Elektroninis parašas ir GDPR: DPO vadovas

Kokius asmeninius duomenis apdoroja elektroninio parašo sprendimas?

Elektroninio parašo platforma apdoroja kelis asmeninių duomenų kategorijas.

• Pasirašytojas identifikavimas: vardas, pavardė, el. paštas, telefono numeris
• Dokumento turinys: potencialiai jautrūs asmeniniai duomenys (darbo sutartys, sveikatos duomenys, finansiniai duomenys)
• Audito šlapo duomenys: IP adresas, laiko žyma, user-agent
• Elgsenos duomenys: rankraščio parašo kelias planšetėje (jei biometrinė QES)

Serveriai ir duomenų perdavimas už ES ribų

GDPR nustato, kad asmeniniai duomenys negali būti perkeliami už ES ribų, išskyrus šalis su adekvačia apsaugos lygiu ar tinkamomis garantijomis (SCC, BCR). Parašo sprendimuose tai reiškia:

• ES serveriai → savitas perdavimas, papildomų formalumų nereikia
• JAV serveriai su SCCs → galima, bet liko Cloud Act rizika
• JAV subjektas (Cloud Act) → neišvengiama rizika net ir ES serverių atveju

Amerikiečių Cloud Act ir elektroninis parašas

Cloud Act (2018) įgalina JAV valdžią pasiekti duomenis, kuriuos saugo amerikiečių įmonės, net jei šie duomenys saugomi Europoje. DocuSign, Adobe Sign ir Dropbox Sign yra amerikiečių įmonės, kurioms taikytinas Cloud Act. Certyneo yra prancūzų subjektas, nepatenkantis šiam ekstrateritorialumui.

Rekomendacijos duomenų apsaugos pareigūnams

1. 1Pasirinkite teikėją, kurio juridinis subjektas įsikūręs ES arba Jungtinėje Karalystėje (po Brexit su adekvatumo sprendimu)
2. 2Patikrinkite, kad serveriai yra tik ES, be replikavimo už ES ribų
3. 3Gaukite ir pasirašykite DPA, atitinkantį GDPR 28 straipsnį
4. 4Dokumentuokite poveikio analizę (DPIA), jei apdorojate jautrius duomenis dokumentuose
5. 5Patikrinkite duomenų saugojimo trukmę ir ištrynimo politiką pasibaigus sutarčiai

GDPR klausimai apie elektroninį parašą

Ar elektroninis parašas reiškia asmeninių duomenų apdorojimą?

Taip. Surenkami pasirašiusiojo el. paštas, vardas ir galimas telefonos numeris. Dokumentų turinys taip pat gali turėti asmeninių duomenų. Parašo teikėjas yra GDPR sąvokos atžvilgiu pasiuntinys, turintis 28 straipsnio pareigybę.

Ar DocuSign atitinka GDPR?

DocuSign tvirtina atitinkantis GDPR ir siūlo SCCs. Tačiau kaip JAV korporacija, ji lieka Cloud Act šalimi. CNIL priminė, kad Cloud Act sukuria neišvengiamą riziką europiškiems duomenims, kuriuos saugo JAV subjektai, net ir ES serverių atveju.

Ar Certyneo atitinka GDPR?

Taip. Certyneo yra prancūzų subjektas, serveriai dislokuoti ES (IONOS Vokietija), nepatenkantis Cloud Act. Duomenys šifruojami persiuntimo (TLS 1.3) ir poilsio metu. Certyneo siūlo GDPR 28 straipsnį atitinkantį DPA.

Ar būtina atlikti DPIA elektroninio parašo sprendimui naudoti?

DPIA nėra sistematiškai reikalinga standartiniam elektroniniam parašui. Ji būtina, jei pasirašote dokumentus, turinčius jautrius duomenis (sveikatos, HR su profsąjungų duomenimis ir pan.) arba jei parašo naudojimas apima profiliavimu arba didelės apimties stebėseną.