Elektronický podpis a GDPR: sprievodca pre DPO

Aké osobné údaje spracováva riešenie elektronického podpisu?

Platforma elektronického podpisu spracováva niekoľko kategórií osobných údajov.

• Identita podpisujúceho: meno, priezvisko, email, telefónne číslo
• Obsah dokumentov: potenciálne citlivé osobné údaje (pracovné zmluvy, zdravotné údaje, finančné údaje)
• Audit trail údaje: IP adresa, timestamp, user-agent
• Behaviorálne údaje: čiara ručného podpisu na tablete (ak biometrický QES)

Hosting a prenosy mimo EU

GDPR vyžaduje, aby sa osobné údaje prenášali mimo EU iba do krajín ponúkajúcich primeranú úroveň ochrany alebo pod príslušnými zárukami (SCCs, BCRs). Pre riešenia podpisu to znamená:

• Hosting EU → natívny prenos, bez ďalších formalít
• Hosting USA s SCCs → možný, ale zvyšný risk Cloud Act
• Subjekt USA (Cloud Act) → neodstrániteľný risk aj s hostingom v EU

Americký Cloud Act a elektronický podpis

Cloud Act (2018) umožňuje americkým úradom pristupovať k údajom hostovaným spoločnosťami amerického práva, aj keď sú tieto údaje uložené v Európe. DocuSign, Adobe Sign a Dropbox Sign sú americké spoločnosti podliehajúce Cloud Act. Certyneo je francúzsky subjekt, ktorý nepodlieha tejto extrateritoriálnosti.

Odporúčania pre DPO

1. 1Zvolte si poskytovateľa, ktorého právny subjekt má sídlo v EU alebo Spojenom kráľovstve (po Brexite s rozhodnutím o primeranosti)
2. 2Overte, že hosting je výlučne v EU, bez replikácie na serverov mimo EU
3. 3Získajte a podpíšte DPA v súlade s článkom 28 GDPR
4. 4Zdokumentujte analýzu vplyvu (AIPD), ak spracováte citlivé údaje vo svojich dokumentoch
5. 5Overte dobu uchovávania údajov a politiku vymazávania na konci zmluvy

Otázky GDPR na tému elektronického podpisu

Znamená elektronický podpis spracovanie osobných údajov?

Áno. Email, meno a potenciálne telefónne číslo podpisujúceho sú zbierané. Obsah dokumentov môže tiež obsahovať osobné údaje. Poskytovateľ podpisu je spracovateľom v zmysle GDPR, povinný plniť povinnosti článku 28.

Je DocuSign v súlade s GDPR?

DocuSign tvrdí, že je v súlade s GDPR a ponúka SCCs. Ako americká spoločnosť však zostáva podliehajúca Cloud Act. CNIL upozornila, že Cloud Act predstavuje neodstrániteľné riziko pre európske údaje hostované americkými subjektmi, aj v EU.

Je Certyneo v súlade s GDPR?

Áno. Certyneo je francúzsky subjekt, hostovaný v EU (IONOS Nemecko), nepodliehajúci Cloud Act. Údaje sú šifrované pri prenose (TLS 1.3) a v kľude. Certyneo ponúka DPA v súlade s článkom 28 GDPR.

Je potrebné vykonať AIPD pre použitie riešenia podpisu?

AIPD nie je systematicky požadovaná pre štandardný elektronický podpis. Uplatňuje sa, ak podpisujete dokumenty obsahujúce citlivé údaje (zdravotné, HR s odborovými údajmi atď.) alebo ak vaše používanie podpisu zahŕňa profilovanie alebo veľkoplošný monitoring.