Elektronický podpis a RGPD: sprievodca pre DPO
Prijatie riešenia elektronického podpisu vyvoláva niekoľko otázok týkajúcich sa RGPD: kde sú údaje hostované? Kto k nim má prístup? Existuje riziko Cloud Act? Tento sprievodca odpovedá na tieto otázky a vysvetľuje, ako vybrať riešenie v súlade s RGPD pre vašu organizáciu.
Aké osobné údaje spracováva riešenie elektronického podpisu?
Platforma elektronického podpisu spracováva niekoľko kategórií osobných údajov.
- Identita podpisujúceho: meno, priezvisko, email, telefónne číslo
- Obsah dokumentov: potenciálne citlivé osobné údaje (pracovné zmluvy, zdravotné údaje, finančné údaje)
- Audit trail údaje: IP adresa, timestamp, user-agent
- Behaviorálne údaje: čiara ručného podpisu na tablete (ak biometrický QES)
Hosting a prenosy mimo EU
RGPD vyžaduje, aby sa osobné údaje prenášali mimo EU iba do krajín ponúkajúcich primeranú úroveň ochrany alebo pod príslušnými zárukami (SCCs, BCRs). Pre riešenia podpisu to znamená:
- Hosting EU → natívny prenos, bez ďalších formalít
- Hosting USA s SCCs → možný, ale zvyšný risk Cloud Act
- Subjekt USA (Cloud Act) → neodstrániteľný risk aj s hostingom v EU
Americký Cloud Act a elektronický podpis
Cloud Act (2018) umožňuje americkým úradom pristupovať k údajom hostovaným spoločnosťami amerického práva, aj keď sú tieto údaje uložené v Európe. DocuSign, Adobe Sign a Dropbox Sign sú americké spoločnosti podliehajúce Cloud Act. Certyneo je francúzsky subjekt, ktorý nepodlieha tejto extrateritoriálnosti.
| Solution | Úroveň rizika Cloud Act podľa riešenia |
|---|---|
| Certyneo | Žiadne riziko — francúzsky subjekt |
| Yousign | Žiadne riziko — francúzsky subjekt |
| DocuSign | Zvyšný risk — americký subjekt |
| Adobe Acrobat Sign | Zvyšný risk — americký subjekt |
| Dropbox Sign | Zvyšný risk — americký subjekt |
DPA a právne základy
Spracovanie údajov riešením podpisu musí byť založené na platnom právnom základe (zmluva, oprávnený záujem alebo súhlas). S poskytovateľom podpisu musí byť uzavretá zmluva o spracovaní údajov (DPA). Certyneo ponúka DPA v súlade s RGPD, ktorá sa dá podpísať elektronicky, s prvkami požadovanými článkom 28 RGPD.
Odporúčania pre DPO
- 1Zvolte si poskytovateľa, ktorého právny subjekt má sídlo v EU alebo Spojenom kráľovstve (po Brexite s rozhodnutím o primeranosti)
- 2Overte, že hosting je výlučne v EU, bez replikácie na serverov mimo EU
- 3Získajte a podpíšte DPA v súlade s článkom 28 RGPD
- 4Zdokumentujte analýzu vplyvu (AIPD), ak spracováte citlivé údaje vo svojich dokumentoch
- 5Overte dobu uchovávania údajov a politiku vymazávania na konci zmluvy
Otázky RGPD na tému elektronického podpisu
- Znamená elektronický podpis spracovanie osobných údajov?
- Áno. Email, meno a potenciálne telefónne číslo podpisujúceho sú zbierané. Obsah dokumentov môže tiež obsahovať osobné údaje. Poskytovateľ podpisu je spracovateľom v zmysle RGPD, povinný plniť povinnosti článku 28.
- Je DocuSign v súlade s RGPD?
- DocuSign tvrdí, že je v súlade s RGPD a ponúka SCCs. Ako americká spoločnosť však zostáva podliehajúca Cloud Act. CNIL upozornila, že Cloud Act predstavuje neodstrániteľné riziko pre európske údaje hostované americkými subjektmi, aj v EU.
- Je Certyneo v súlade s RGPD?
- Áno. Certyneo je francúzsky subjekt, hostovaný v EU (IONOS Nemecko), nepodliehajúci Cloud Act. Údaje sú šifrované pri prenose (TLS 1.3) a v kľude. Certyneo ponúka DPA v súlade s článkom 28 RGPD.
- Je potrebné vykonať AIPD pre použitie riešenia podpisu?
- AIPD nie je systematicky požadovaná pre štandardný elektronický podpis. Uplatňuje sa, ak podpisujete dokumenty obsahujúce citlivé údaje (zdravotné, HR s odborovými údajmi atď.) alebo ak vaše používanie podpisu zahŕňa profilovanie alebo veľkoplošný monitoring.