Электронная подпись и GDPR: руководство для DPO

Какие персональные данные обрабатывает решение электронной подписи?

Платформа электронной подписи обрабатывает несколько категорий персональных данных.

• Личность подписывающего лица: имя, фамилия, адрес электронной почты, номер телефона
• Содержание документов: потенциально чувствительные персональные данные (трудовые контракты, данные здравоохранения, финансовые данные)
• Данные аудита: IP-адрес, временная метка, user-agent
• Поведенческие данные: след рукописной подписи на планшете (при биометрической QES)

Размещение и передача данных за пределы ЕС

GDPR требует, чтобы персональные данные передавались за пределы ЕС только в страны с адекватным уровнем защиты или при надлежащих гарантиях (SCCs, BCRs). Для решений электронной подписи это означает:

• Размещение в ЕС → собственная передача, без дополнительных формальностей
• Размещение в США с SCCs → возможно, но остаточный риск Cloud Act
• Компания США (Cloud Act) → неустранимый риск даже при размещении в ЕС

Американский Cloud Act и электронная подпись

Cloud Act (2018) позволяет американским органам доступа получать данные, размещённые компаниями американского права, даже если эти данные хранятся в Европе. DocuSign, Adobe Sign и Dropbox Sign — американские компании, подлежащие Cloud Act. Certyneo — французская компания, не подлежащая этой экстерриториальности.

Рекомендации для DPO

1. 1Выбирайте поставщика, юридическое лицо которого зарегистрировано в ЕС или Соединённом Королевстве (постбрексит с решением об адекватности)
2. 2Убедитесь, что размещение осуществляется исключительно в ЕС, без репликации на серверы за пределами ЕС
3. 3Получите и подпишите DPA, соответствующий статье 28 GDPR
4. 4Документируйте анализ воздействия (AIPD), если вы обрабатываете чувствительные данные в ваших документах
5. 5Проверьте период хранения данных и политику удаления в конце контракта

Вопросы GDPR об электронной подписи

Подразумевает ли электронная подпись обработку персональных данных?

Да. Адрес электронной почты, имя и потенциально номер телефона подписывающего лица собираются. Содержание документов также может содержать персональные данные. Поставщик услуг подписи является обработчиком данных по смыслу GDPR, подлежащим обязательствам статьи 28.

Соответствует ли DocuSign GDPR?

DocuSign утверждает, что соответствует GDPR, и предлагает SCCs. Однако, будучи американской компанией, она остаётся подлежащей Cloud Act. CNIL напомнила, что Cloud Act создаёт неустранимый риск для европейских данных, размещённых компаниями США, даже в ЕС.

Соответствует ли Certyneo GDPR?

Да. Certyneo — французская компания, размещённая в ЕС (IONOS Германия), не подлежащая Cloud Act. Данные зашифрованы при передаче (TLS 1.3) и в состоянии покоя. Certyneo предлагает DPA, соответствующий статье 28 GDPR.

Необходимо ли проводить AIPD при использовании решения электронной подписи?

AIPD не требуется систематически для стандартной электронной подписи. Она требуется, если вы подписываете документы, содержащие чувствительные данные (здравоохранение, кадры с профсоюзными данными и т. д.) или если ваше использование подписи включает профилирование или массовый мониторинг.