Elektronski podpis in RGPD: vodnik za DPO
Uvedba rešitve za elektronski podpis vzbuja več vprašanj v zvezi z RGPD: kje se podatki nahajajo? Kdo jih lahko dostopa? Ali obstaja tveganje Cloud Act? Ta vodnik odgovarja na ta vprašanja in pojasnjuje, kako izbrati rešitev za podpis, ki je skladna z RGPD za vašo organizacijo.
Katere osebne podatke obdeluje rešitev za podpis?
Platforma za elektronski podpis obdeluje več kategorij osebnih podatkov.
- Istovetnost podpisnika: ime, priimek, e-pošta, telefonska številka
- Vsebina dokumentov: potencialno občutljivi osebni podatki (pogodbe o zaposlitvi, zdravstveni podatki, finančni podatki)
- Podatki revizijske sledi: IP naslov, časovni žig, user-agent
- Vedenjski podatki: slika ročnega podpisa na tablici (pri biometričnem QES)
Gostovanje in prenosi izven EU
GDPR zahteva, da se osebni podatki prenesejo izven EU le v države s primerno stopnjo zaščite ali z ustreznimi jamstvi (SCCs, BCRs). Za rešitve za podpisovanje to pomeni:
- Gostovanje v EU → domač prenos, brez dodatnih formalnosti
- Gostovanje v ZDA s SCCs → mogoče, toda preostali tveganja Cloud Act
- Ameriška entiteta (Cloud Act) → neodstranljivo tveganje tudi pri gostovanju v EU
Ameriški Cloud Act in elektronski podpis
Cloud Act (2018) dovoljuje ameriškim oblastem dostop do podatkov, ki jih gostijo ameriška podjetja, tudi če so podatki shranjeni v Evropi. DocuSign, Adobe Sign in Dropbox Sign so ameriška podjetja, podvržena Cloud Act. Certyneo je francoska entiteta, ki ni podvržena tej ekstrateritorialnosti.
| Solution | Raven tveganja Cloud Act po rešitvi |
|---|---|
| Certyneo | Brez tveganja — francoska entiteta |
| Yousign | Brez tveganja — francoska entiteta |
| DocuSign | Preostalo tveganje — ameriška entiteta |
| Adobe Acrobat Sign | Preostalo tveganje — ameriška entiteta |
| Dropbox Sign | Preostalo tveganje — ameriška entiteta |
DPA in pravne osnove
Obdelava podatkov z rešitvijo za podpisovanje mora temeljiti na veljavni pravni osnovi (pogodba, zakoniti interes ali soglasje). Z izvajalcem podpisovanja mora biti sklenjen Sporazum o obdelavi podatkov (DPA). Certyneo ponuja DPA, skladnega s GDPR, ki ga je mogoče digitalno podpisati, in vključuje elemente, zahtevane s 28. členom GDPR.
Priporočila za DPO
- 1Izberite izvajalca, katerega pravna entiteta ima sedež v EU ali Združenem kraljevstvu (po Brexitu z odločbo o ustreznosti)
- 2Preverite, da je gostovanje izključno v EU brez podvajanja na strežnikih izven EU
- 3Pridobite in podpišite DPA, skladnega s 28. členom GDPR
- 4Dokumentirajte analizo učinka (AIPD), če v svojih dokumentih obdelujete občutljive podatke
- 5Preverite obdobje hrambe podatkov in politiko brisanja ob koncu pogodbe
Vprašanja GDPR o elektronskem podpisu
- Ali elektronski podpis pomeni obdelavo osebnih podatkov?
- Da. Zbrani so e-naslov, ime in potencialno telefonska številka podpisnika. Vsebina dokumentov lahko vsebuje tudi osebne podatke. Izvajalec podpisovanja je obdelovalec v smislu GDPR in je podvržen obveznostim 28. člena.
- Ali je DocuSign skladna s GDPR?
- DocuSign trdi, da je skladna s GDPR in ponuja SCCs. Vendar pa je kot ameriška družba še vedno podvržena Cloud Act. CNIL je opozorila, da Cloud Act predstavlja neodstranljivo tveganje za evropske podatke, ki jih gostijo ameriške entitete, tudi v EU.
- Ali je Certyneo skladna s GDPR?
- Da. Certyneo je francoska entiteta, gostovana v EU (IONOS Nemčija), ki ni podvržena Cloud Act. Podatki so šifrirani med prenosom (TLS 1.3) in v mirovanju. Certyneo ponuja DPA, skladnega s 28. členom GDPR.
- Ali je treba opraviti AIPD za uporabo rešitve za podpisovanje?
- AIPD ni sistematično zahtevana za standardni elektronski podpis. Obvezna je, če podpisujete dokumente, ki vsebujejo občutljive podatke (zdravje, kadrovske zadeve s sindikalnimi podatki itd.) ali če vaša uporaba podpisovanja vključuje profiliranje ali nadzor v velikem obsegu.