Elektronski podpis in GDPR: vodnik za DPO

Katere osebne podatke obdeluje rešitev za podpis?

Platforma za elektronski podpis obdeluje več kategorij osebnih podatkov.

• Istovetnost podpisnika: ime, priimek, e-pošta, telefonska številka
• Vsebina dokumentov: potencialno občutljivi osebni podatki (pogodbe o zaposlitvi, zdravstveni podatki, finančni podatki)
• Podatki revizijske sledi: IP naslov, časovni žig, user-agent
• Vedenjski podatki: slika ročnega podpisa na tablici (pri biometričnem QES)

Gostovanje in prenosi izven EU

GDPR zahteva, da se osebni podatki prenesejo izven EU le v države s primerno stopnjo zaščite ali z ustreznimi jamstvi (SCCs, BCRs). Za rešitve za podpisovanje to pomeni:

• Gostovanje v EU → domač prenos, brez dodatnih formalnosti
• Gostovanje v ZDA s SCCs → mogoče, toda preostali tveganja Cloud Act
• Ameriška entiteta (Cloud Act) → neodstranljivo tveganje tudi pri gostovanju v EU

Ameriški Cloud Act in elektronski podpis

Cloud Act (2018) dovoljuje ameriškim oblastem dostop do podatkov, ki jih gostijo ameriška podjetja, tudi če so podatki shranjeni v Evropi. DocuSign, Adobe Sign in Dropbox Sign so ameriška podjetja, podvržena Cloud Act. Certyneo je francoska entiteta, ki ni podvržena tej ekstrateritorialnosti.

Priporočila za DPO

1. 1Izberite izvajalca, katerega pravna entiteta ima sedež v EU ali Združenem kraljevstvu (po Brexitu z odločbo o ustreznosti)
2. 2Preverite, da je gostovanje izključno v EU brez podvajanja na strežnikih izven EU
3. 3Pridobite in podpišite DPA, skladnega s 28. členom GDPR
4. 4Dokumentirajte analizo učinka (AIPD), če v svojih dokumentih obdelujete občutljive podatke
5. 5Preverite obdobje hrambe podatkov in politiko brisanja ob koncu pogodbe

Vprašanja GDPR o elektronskem podpisu

Ali elektronski podpis pomeni obdelavo osebnih podatkov?

Da. Zbrani so e-naslov, ime in potencialno telefonska številka podpisnika. Vsebina dokumentov lahko vsebuje tudi osebne podatke. Izvajalec podpisovanja je obdelovalec v smislu GDPR in je podvržen obveznostim 28. člena.

Ali je DocuSign skladna s GDPR?

DocuSign trdi, da je skladna s GDPR in ponuja SCCs. Vendar pa je kot ameriška družba še vedno podvržena Cloud Act. CNIL je opozorila, da Cloud Act predstavlja neodstranljivo tveganje za evropske podatke, ki jih gostijo ameriške entitete, tudi v EU.

Ali je Certyneo skladna s GDPR?

Da. Certyneo je francoska entiteta, gostovana v EU (IONOS Nemčija), ki ni podvržena Cloud Act. Podatki so šifrirani med prenosom (TLS 1.3) in v mirovanju. Certyneo ponuja DPA, skladnega s 28. členom GDPR.

Ali je treba opraviti AIPD za uporabo rešitve za podpisovanje?

AIPD ni sistematično zahtevana za standardni elektronski podpis. Obvezna je, če podpisujete dokumente, ki vsebujejo občutljive podatke (zdravje, kadrovske zadeve s sindikalnimi podatki itd.) ali če vaša uporaba podpisovanja vključuje profiliranje ali nadzor v velikem obsegu.