Podpis elektroniczny i RODO: przewodnik dla DPO

Jakie dane osobowe przetwarza rozwiązanie do podpisów?

Platforma do podpisów elektronicznych przetwarza kilka kategorii danych osobowych.

• Tożsamość podpisującego: imię, nazwisko, adres e-mail, numer telefonu
• Zawartość dokumentów: potencjalnie wrażliwe dane osobowe (umowy o pracę, dane zdrowotne, dane finansowe)
• Dane historii zmian: adres IP, znacznik czasu, user-agent
• Dane behawioralne: ślad podpisu odbytego na tablecie (jeśli QES biometryczny)

Host i transfery poza UE

RODO nakazuje, że dane osobowe mogą być przenoszone poza UE jedynie do krajów oferujących odpowiedni poziom ochrony lub pod gwarancjami (SCC, BCR). Dla rozwiązań do podpisów oznacza to:

• Host w UE → natywny transfer, bez dodatkowych formalności
• Host w USA z SCC → możliwe, ale ryzyko rezydowe Cloud Act
• Jednostka USA (Cloud Act) → ryzyko nieusuwalne nawet z hostem w UE

Amerykański Cloud Act i podpis elektroniczny

Cloud Act (2018) upoważnia władze amerykańskie do dostępu do danych hostowanych przez przedsiębiorstwa prawa amerykańskiego, nawet jeśli dane te są przechowywane w Europie. DocuSign, Adobe Sign i Dropbox Sign to przedsiębiorstwa amerykańskie podlegające Cloud Act. Certyneo to jednostka francuska, nieposiadająca tej eksterytorialności.

Rekomendacje dla Inspektorów Ochrony Danych

1. 1Wybierz dostawcę, którego jednostka prawna ma siedzibę w UE lub Wielkiej Brytanii (po Brexit z decyzją o adekwatności)
2. 2Upewnij się, że hosting znajduje się wyłącznie w UE bez replikacji na serwerach poza UE
3. 3Uzyskaj i podpisz DPA zgodny z artykułem 28 RODO
4. 4Dokumentuj analizę skutków dla ochrony danych (DPIA), jeśli przetwarzasz wrażliwe dane w dokumentach
5. 5Sprawdź okres przechowywania danych i politykę usuwania danych po zakończeniu umowy

Pytania RODO dotyczące podpisu elektronicznego

Czy podpis elektroniczny wiąże się z przetwarzaniem danych osobowych?

Tak. Email, nazwisko i potencjalnie numer telefonu sygnatariusza są zbierane. Zawartość dokumentów może również zawierać dane osobowe. Dostawca usług podpisu jest przetwarzającym w rozumieniu RODO, podlegający obowiązkom artykułu 28.

Czy DocuSign jest zgodny z RODO?

DocuSign twierdzi, że jest zgodny z RODO i oferuje SCC. Jednak jako firma amerykańska pozostaje podległa Cloud Act. CNIL przypomniała, że Cloud Act stwarza niemożliwe do wyeliminowania ryzyko dla europejskich danych hostowanych przez podmioty amerykańskie, nawet w UE.

Czy Certyneo jest zgodny z RODO?

Tak. Certyneo jest jednostką francuską, hostowaną w UE (IONOS Niemcy), nie podlegającą Cloud Act. Dane są szyfrowane podczas przesyłania (TLS 1.3) i w spoczynku. Certyneo oferuje DPA zgodny z artykułem 28 RODO.

Czy konieczne jest przeprowadzenie DPIA dla użycia rozwiązania do podpisu?

DPIA nie jest systematycznie wymagana dla standardowego podpisu elektronicznego. Staje się obowiązkowa, jeśli podpisujesz dokumenty zawierające wrażliwe dane (zdrowotne, HR z danymi związkowymi itp.) lub jeśli Twoje użycie podpisu wiąże się z profilowaniem lub monitorowaniem na dużą skalę.