Podpis elektroniczny i RGPD: przewodnik dla DPO
Wdrażanie rozwiązania do podpisów elektronicznych rodzi kilka pytań dotyczących RGPD: gdzie dane są hostowane? Kto może do nich uzyskać dostęp? Czy istnieje ryzyko Cloud Act? Ten przewodnik odpowiada na te pytania i wyjaśnia, jak wybrać rozwiązanie zgodne z RGPD dla Twojej organizacji.
Jakie dane osobowe przetwarza rozwiązanie do podpisów?
Platforma do podpisów elektronicznych przetwarza kilka kategorii danych osobowych.
- Tożsamość podpisującego: imię, nazwisko, adres e-mail, numer telefonu
- Zawartość dokumentów: potencjalnie wrażliwe dane osobowe (umowy o pracę, dane zdrowotne, dane finansowe)
- Dane historii zmian: adres IP, znacznik czasu, user-agent
- Dane behawioralne: ślad podpisu odbytego na tablecie (jeśli QES biometryczny)
Host i transfery poza UE
RGPD nakazuje, że dane osobowe mogą być przenoszone poza UE jedynie do krajów oferujących odpowiedni poziom ochrony lub pod gwarancjami (SCC, BCR). Dla rozwiązań do podpisów oznacza to:
- Host w UE → natywny transfer, bez dodatkowych formalności
- Host w USA z SCC → możliwe, ale ryzyko rezydowe Cloud Act
- Jednostka USA (Cloud Act) → ryzyko nieusuwalne nawet z hostem w UE
Amerykański Cloud Act i podpis elektroniczny
Cloud Act (2018) upoważnia władze amerykańskie do dostępu do danych hostowanych przez przedsiębiorstwa prawa amerykańskiego, nawet jeśli dane te są przechowywane w Europie. DocuSign, Adobe Sign i Dropbox Sign to przedsiębiorstwa amerykańskie podlegające Cloud Act. Certyneo to jednostka francuska, nieposiadająca tej eksterytorialności.
| Solution | Poziom ryzyka Cloud Act według rozwiązania |
|---|---|
| Certyneo | Brak ryzyka — jednostka francuska |
| Yousign | Brak ryzyka — jednostka francuska |
| DocuSign | Ryzyko rezydowe — jednostka amerykańska |
| Adobe Acrobat Sign | Ryzyko rezydowe — jednostka amerykańska |
| Dropbox Sign | Ryzyko rezydowe — jednostka amerykańska |
DPA i podstawy prawne
Przetwarzanie danych przez rozwiązanie do podpisu musi opierać się na ważnej podstawie prawnej (umowa, uzasadniony interes lub zgoda). Należy zawrzeć Data Processing Agreement (DPA) z dostawcą usług podpisu. Certyneo oferuje DPA zgodny z RGPD, podlegający podpisaniu elektronicznym, zawierający elementy wymagane artykułem 28 RGPD.
Rekomendacje dla Inspektorów Ochrony Danych
- 1Wybierz dostawcę, którego jednostka prawna ma siedzibę w UE lub Wielkiej Brytanii (po Brexit z decyzją o adekwatności)
- 2Upewnij się, że hosting znajduje się wyłącznie w UE bez replikacji na serwerach poza UE
- 3Uzyskaj i podpisz DPA zgodny z artykułem 28 RGPD
- 4Dokumentuj analizę skutków dla ochrony danych (DPIA), jeśli przetwarzasz wrażliwe dane w dokumentach
- 5Sprawdź okres przechowywania danych i politykę usuwania danych po zakończeniu umowy
Pytania RGPD dotyczące podpisu elektronicznego
- Czy podpis elektroniczny wiąże się z przetwarzaniem danych osobowych?
- Tak. Email, nazwisko i potencjalnie numer telefonu sygnatariusza są zbierane. Zawartość dokumentów może również zawierać dane osobowe. Dostawca usług podpisu jest przetwarzającym w rozumieniu RGPD, podlegający obowiązkom artykułu 28.
- Czy DocuSign jest zgodny z RGPD?
- DocuSign twierdzi, że jest zgodny z RGPD i oferuje SCC. Jednak jako firma amerykańska pozostaje podległa Cloud Act. CNIL przypomniała, że Cloud Act stwarza niemożliwe do wyeliminowania ryzyko dla europejskich danych hostowanych przez podmioty amerykańskie, nawet w UE.
- Czy Certyneo jest zgodny z RGPD?
- Tak. Certyneo jest jednostką francuską, hostowaną w UE (IONOS Niemcy), nie podlegającą Cloud Act. Dane są szyfrowane podczas przesyłania (TLS 1.3) i w spoczynku. Certyneo oferuje DPA zgodny z artykułem 28 RGPD.
- Czy konieczne jest przeprowadzenie DPIA dla użycia rozwiązania do podpisu?
- DPIA nie jest systematycznie wymagana dla standardowego podpisu elektronicznego. Staje się obowiązkowa, jeśli podpisujesz dokumenty zawierające wrażliwe dane (zdrowotne, HR z danymi związkowymi itp.) lub jeśli Twoje użycie podpisu wiąże się z profilowaniem lub monitorowaniem na dużą skalę.