Elektroniskais paraksts un GDPR: DPO ceļvedis

Kādi personīgi dati tiek apstrādāti elektroniskā paraksta risinājumā?

Elektroniskā paraksta platforma apstrādā vairākas personas datu kategorijas.

• Parakstītāja identitāte: vārds, uzvārds, e-pasts, tālruņa numurs
• Dokumentu saturs: potenciāli jutīgi personas dati (darba līgumi, veselības dati, finanšu dati)
• Audit trail dati: IP adrese, laika zīme, user-agent
• Uzvedības dati: rokaraksta līkne planšetdatorā (ja biometriskā QES)

Mitināšana un datu pārsūtīšana ārpus ES

GDPR nosaka, ka personas dati drīkst tikt pārsūtīti ārpus ES tikai uz valstīm ar atbilstošu aizsardzības līmeni vai ar atbilstošām garantijām (SCCs, BCRs). Paraksta risinājumiem tas nozīmē:

• ES mitināšana → iedzimta pārsūtīšana, bez papildu formalitātēm
• ASV mitināšana ar SCCs → iespējama, bet atlikušais Cloud Act risks
• ASV juridiska persona (Cloud Act) → nenoņemams risks pat ar ES mitināšanu

ASV Cloud Act un elektroniskais paraksts

Cloud Act (2018) ļauj ASV iestādēm piekļūt datu, kas mitināti ASV juridisku personu uzņēmumos, pat ja šie dati ir glabāti Eiropā. DocuSign, Adobe Sign un Dropbox Sign ir ASV uzņēmumi, uz kuriem attiecas Cloud Act. Certyneo ir franču juridiska persona, uz kuru neattiecas šī eksteritorialitāte.

Ieteikumi DPO

1. 1Izvēlieties pakalpojumu sniedzēju, kura juridiska persona atrodas ES vai Apvienotajā Karalistē (pēc Brexit ar adekvaciības lēmumu)
2. 2Pārbaudiet, ka mitināšana ir tikai ES, bez replikācijas uz serveriem ārpus ES
3. 3Iegūstiet un parakstiet DPA, kas atbilst GDPR 28. pantam
4. 4Dokumentējiet ietekmes analīzi (AIPD), ja apstrādājat jutīgus datus jūsu dokumentos
5. 5Pārbaudiet datu glabāšanas ilgumu un dzēšanas politiku līguma beigās

GDPR jautājumi par elektroniskajiem parakstiem

Vai elektroniskais paraksts ietver personas datu apstrādi?

Jā. Parakstītāja e-pasts, vārds un iespējams tālruņa numurs tiek apkopoti. Dokumentu saturs var arī saturēt personas datus. Paraksta pakalpojumu sniedzējs ir apakšuzņēmējs GDPR nozīmē, kas pakļauts 28. panta pienākumiem.

Vai DocuSign ir GDPR atbilstošs?

DocuSign apgalvo, ka ir GDPR atbilstošs un piedāvā SCCs. Tomēr, būdams ASV uzņēmums, tas joprojām ir pakļauts Cloud Act. CNIL atgādinājusi, ka Cloud Act rada nenoņemamu risku Eiropas datiem, ko mitina ASV juridiskas personas, pat ES.

Vai Certyneo ir GDPR atbilstošs?

Jā. Certyneo ir franču juridiska persona, mitināta ES (IONOS Vācija), uz kuru neattiecas Cloud Act. Dati ir šifrēti tranzītā (TLS 1.3) un miera stāvoklī. Certyneo piedāvā DPA, kas atbilst GDPR 28. pantam.

Vai ir jāveic AIPD elektroniskā paraksta risinājuma lietošanai?

AIPD nav sistēmiski nepieciešama standarta elektroniskajam parakstam. Tā ir obligāta, ja parakstāt dokumentus ar jutīgiem datiem (veselības, HR ar arodbiedrību datiem utt.) vai ja paraksta lietošana ietver profilēšanu vai liela mēroga uzraudzību.