Электронная подпись и RGPD: руководство для DPO
Внедрение решения электронной подписи вызывает несколько вопросов RGPD: где размещаются данные? Кто к ним имеет доступ? Есть ли риск Cloud Act? Данное руководство отвечает на эти вопросы и объясняет, как выбрать решение, соответствующее RGPD, для вашей организации.
Какие персональные данные обрабатывает решение электронной подписи?
Платформа электронной подписи обрабатывает несколько категорий персональных данных.
- Личность подписывающего лица: имя, фамилия, адрес электронной почты, номер телефона
- Содержание документов: потенциально чувствительные персональные данные (трудовые контракты, данные здравоохранения, финансовые данные)
- Данные аудита: IP-адрес, временная метка, user-agent
- Поведенческие данные: след рукописной подписи на планшете (при биометрической QES)
Размещение и передача данных за пределы ЕС
RGPD требует, чтобы персональные данные передавались за пределы ЕС только в страны с адекватным уровнем защиты или при надлежащих гарантиях (SCCs, BCRs). Для решений электронной подписи это означает:
- Размещение в ЕС → собственная передача, без дополнительных формальностей
- Размещение в США с SCCs → возможно, но остаточный риск Cloud Act
- Компания США (Cloud Act) → неустранимый риск даже при размещении в ЕС
Американский Cloud Act и электронная подпись
Cloud Act (2018) позволяет американским органам доступа получать данные, размещённые компаниями американского права, даже если эти данные хранятся в Европе. DocuSign, Adobe Sign и Dropbox Sign — американские компании, подлежащие Cloud Act. Certyneo — французская компания, не подлежащая этой экстерриториальности.
| Solution | Уровень риска Cloud Act по решениям |
|---|---|
| Certyneo | Нет риска — французская компания |
| Yousign | Нет риска — французская компания |
| DocuSign | Остаточный риск — американская компания |
| Adobe Acrobat Sign | Остаточный риск — американская компания |
| Dropbox Sign | Остаточный риск — американская компания |
DPA и правовые основания
Обработка данных решением электронной подписи должна основываться на действительном правовом основании (контракт, законный интерес или согласие). С поставщиком услуг подписи должно быть заключено соглашение об обработке данных (DPA). Certyneo предлагает DPA, соответствующий RGPD, подписываемый электронно, с элементами, требуемыми статьёй 28 RGPD.
Рекомендации для DPO
- 1Выбирайте поставщика, юридическое лицо которого зарегистрировано в ЕС или Соединённом Королевстве (постбрексит с решением об адекватности)
- 2Убедитесь, что размещение осуществляется исключительно в ЕС, без репликации на серверы за пределами ЕС
- 3Получите и подпишите DPA, соответствующий статье 28 RGPD
- 4Документируйте анализ воздействия (AIPD), если вы обрабатываете чувствительные данные в ваших документах
- 5Проверьте период хранения данных и политику удаления в конце контракта
Вопросы RGPD об электронной подписи
- Подразумевает ли электронная подпись обработку персональных данных?
- Да. Адрес электронной почты, имя и потенциально номер телефона подписывающего лица собираются. Содержание документов также может содержать персональные данные. Поставщик услуг подписи является обработчиком данных по смыслу RGPD, подлежащим обязательствам статьи 28.
- Соответствует ли DocuSign RGPD?
- DocuSign утверждает, что соответствует RGPD, и предлагает SCCs. Однако, будучи американской компанией, она остаётся подлежащей Cloud Act. CNIL напомнила, что Cloud Act создаёт неустранимый риск для европейских данных, размещённых компаниями США, даже в ЕС.
- Соответствует ли Certyneo RGPD?
- Да. Certyneo — французская компания, размещённая в ЕС (IONOS Германия), не подлежащая Cloud Act. Данные зашифрованы при передаче (TLS 1.3) и в состоянии покоя. Certyneo предлагает DPA, соответствующий статье 28 RGPD.
- Необходимо ли проводить AIPD при использовании решения электронной подписи?
- AIPD не требуется систематически для стандартной электронной подписи. Она требуется, если вы подписываете документы, содержащие чувствительные данные (здравоохранение, кадры с профсоюзными данными и т. д.) или если ваше использование подписи включает профилирование или массовый мониторинг.