Elektronikong signature at GDPR: gabay para sa mga DPO

Anong personal na data ang ginagamit ng signature solution?

Ang electronic signature platform ay gumagamit ng maraming uri ng personal na data.

• Pagkakakilanlan ng nagpapasain: pangalan, unang pangalan, email, numero ng telepono
• Nilalaman ng dokumento: potensyal na sensitibong personal na data (employment contracts, health data, financial data)
• Audit trail data: IP address, timestamp, user-agent
• Behavioral data: handwritten signature trace sa tablet (kung biometric QES)

Hosting at data transfer sa labas ng UE

Ang GDPR ay nangangailangan na ang personal na data ay hindi dapat ilipat sa labas ng UE maliban sa mga bansa na may adequate protection level o may tamang guarantees (SCCs, BCRs). Para sa signature solutions, ito ay nangangahulugang:

• EU hosting → native transfer, walang karagdagang proseso
• US hosting na may SCCs → posible pero may residual Cloud Act risk
• US entity (Cloud Act) → hindi maalis ang risk kahit EU hosting

US Cloud Act at electronic signature

Ang Cloud Act (2018) ay nagbibigay-daan sa US authorities na maka-access sa data ng American law companies, kahit naka-store sa Europe. Ang DocuSign, Adobe Sign at Dropbox Sign ay American companies na sumailalim sa Cloud Act. Ang Certyneo ay French entity, hindi sumailalim sa extraterritoriality na ito.

Rekomendasyon para sa DPO

1. 1Pumili ng service provider na ang legal entity ay naroroon sa EU o sa United Kingdom (post-Brexit na may adequacy decision)
2. 2I-verify na ang hosting ay eksklusibo sa EU lamang, walang replication sa servers sa labas ng EU
3. 3Kumuha at mag-sign ng DPA na sumusunod sa Article 28 ng GDPR
4. 4I-document ang impact analysis (AIPD) kung kayo ay gumagamit ng sensitive data sa inyong mga dokumento
5. 5I-verify ang data retention period at deletion policy sa pagtatapos ng contract

GDPR questions tungkol sa electronic signature

Ang electronic signature ba ay nagsasama ng personal data processing?

Oo. Ang email, pangalan, at potensyal na numero ng telepono ng nagpapasain ay nakolekta. Ang nilalaman ng dokumento ay maaaring maglaman din ng personal na data. Ang signature service provider ay isang sub-processor sa ilalim ng GDPR, sumailalim sa obligations ng Article 28.

Ang DocuSign ba ay GDPR-compliant?

Ang DocuSign ay nagsasabing GDPR-compliant at nag-aalok ng SCCs. Ngunit, bilang American company, ito ay sumailalim pa rin sa Cloud Act. Ang CNIL ay nag-remind na ang Cloud Act ay lumilikha ng non-suppressible risk para sa European data na naka-host ng US entities, kahit sa EU.

Ang Certyneo ba ay GDPR-compliant?

Oo. Ang Certyneo ay French entity, na naka-host sa EU (IONOS Germany), hindi sumailalim sa Cloud Act. Ang data ay naka-encrypt in transit (TLS 1.3) at at rest. Ang Certyneo ay nag-aalok ng DPA na sumusunod sa Article 28 ng GDPR.

Kailangan ba ng AIPD para sa paggamit ng signature solution?

Ang AIPD ay hindi sistematikong kailangan para sa standard electronic signature. Ito ay nagiging sapaklaw kung ikaw ay nag-sign ng mga dokumento na naglalaman ng sensitive na data (kalusugan, HR na may union data, atbp.) o kung ang iyong paggamit ng signature ay nagsasangkot ng profiling o large-scale na surveillance.