Elektroniskais paraksts un RGPD: DPO ceļvedis
Elektroniskā paraksta risinājuma pieņemšana rada vairākus RGPD jautājumus: kur tiek uzglabāti dati? Kas tiem var piekļūt? Vai pastāv Cloud Act risks? Šis ceļvedis atbild uz šiem jautājumiem un skaidro, kā izvēlēties RGPD atbilstošu risinājumu jūsu organizācijai.
Kādi personīgi dati tiek apstrādāti elektroniskā paraksta risinājumā?
Elektroniskā paraksta platforma apstrādā vairākas personas datu kategorijas.
- Parakstītāja identitāte: vārds, uzvārds, e-pasts, tālruņa numurs
- Dokumentu saturs: potenciāli jutīgi personas dati (darba līgumi, veselības dati, finanšu dati)
- Audit trail dati: IP adrese, laika zīme, user-agent
- Uzvedības dati: rokaraksta līkne planšetdatorā (ja biometriskā QES)
Mitināšana un datu pārsūtīšana ārpus ES
GDPR nosaka, ka personas dati drīkst tikt pārsūtīti ārpus ES tikai uz valstīm ar atbilstošu aizsardzības līmeni vai ar atbilstošām garantijām (SCCs, BCRs). Paraksta risinājumiem tas nozīmē:
- ES mitināšana → iedzimta pārsūtīšana, bez papildu formalitātēm
- ASV mitināšana ar SCCs → iespējama, bet atlikušais Cloud Act risks
- ASV juridiska persona (Cloud Act) → nenoņemams risks pat ar ES mitināšanu
ASV Cloud Act un elektroniskais paraksts
Cloud Act (2018) ļauj ASV iestādēm piekļūt datu, kas mitināti ASV juridisku personu uzņēmumos, pat ja šie dati ir glabāti Eiropā. DocuSign, Adobe Sign un Dropbox Sign ir ASV uzņēmumi, uz kuriem attiecas Cloud Act. Certyneo ir franču juridiska persona, uz kuru neattiecas šī eksteritorialitāte.
| Solution | Cloud Act riska līmenis pa risinājumiem |
|---|---|
| Certyneo | Nav riska — franču juridiska persona |
| Yousign | Nav riska — franču juridiska persona |
| DocuSign | Atlikusis risks — ASV juridiska persona |
| Adobe Acrobat Sign | Atlikusis risks — ASV juridiska persona |
| Dropbox Sign | Atlikusis risks — ASV juridiska persona |
DPA un juridiskās bāzes
Datu apstrāde paraksta risinājumā jābalsta uz derīgu juridisko bāzi (līgums, leģitīmā interese vai piekrišana). Ar paraksta pakalpojumu sniedzēju jāslēdz datu apstrādes līgums (DPA). Certyneo piedāvā GDPR-atbilstošu DPA, ko var parakstīt elektronski, ar visiem GDPR 28. panta obligātajiem elementiem.
Ieteikumi DPO
- 1Izvēlieties pakalpojumu sniedzēju, kura juridiska persona atrodas ES vai Apvienotajā Karalistē (pēc Brexit ar adekvaciības lēmumu)
- 2Pārbaudiet, ka mitināšana ir tikai ES, bez replikācijas uz serveriem ārpus ES
- 3Iegūstiet un parakstiet DPA, kas atbilst GDPR 28. pantam
- 4Dokumentējiet ietekmes analīzi (AIPD), ja apstrādājat jutīgus datus jūsu dokumentos
- 5Pārbaudiet datu glabāšanas ilgumu un dzēšanas politiku līguma beigās
GDPR jautājumi par elektroniskajiem parakstiem
- Vai elektroniskais paraksts ietver personas datu apstrādi?
- Jā. Parakstītāja e-pasts, vārds un iespējams tālruņa numurs tiek apkopoti. Dokumentu saturs var arī saturēt personas datus. Paraksta pakalpojumu sniedzējs ir apakšuzņēmējs GDPR nozīmē, kas pakļauts 28. panta pienākumiem.
- Vai DocuSign ir GDPR atbilstošs?
- DocuSign apgalvo, ka ir GDPR atbilstošs un piedāvā SCCs. Tomēr, būdams ASV uzņēmums, tas joprojām ir pakļauts Cloud Act. CNIL atgādinājusi, ka Cloud Act rada nenoņemamu risku Eiropas datiem, ko mitina ASV juridiskas personas, pat ES.
- Vai Certyneo ir GDPR atbilstošs?
- Jā. Certyneo ir franču juridiska persona, mitināta ES (IONOS Vācija), uz kuru neattiecas Cloud Act. Dati ir šifrēti tranzītā (TLS 1.3) un miera stāvoklī. Certyneo piedāvā DPA, kas atbilst GDPR 28. pantam.
- Vai ir jāveic AIPD elektroniskā paraksta risinājuma lietošanai?
- AIPD nav sistēmiski nepieciešama standarta elektroniskajam parakstam. Tā ir obligāta, ja parakstāt dokumentus ar jutīgiem datiem (veselības, HR ar arodbiedrību datiem utt.) vai ja paraksta lietošana ietver profilēšanu vai liela mēroga uzraudzību.