Elektronski potpis i RGPD: vodič za DPO-je
Usvajanje rešenja za elektronski potpis postavlja nekoliko RGPD pitanja: gde se podaci čuvaju? Ko im može pristupiti? Postoji li rizik Cloud Act-a? Ovaj vodič odgovara na ova pitanja i objašnjava kako odabrati RGPD-kompatibilno rešenje za vašu organizaciju.
Koje ličnih podatke obrađuje rešenje za potpis?
Platforma za elektronski potpis obrađuje nekoliko kategorija ličnih podataka.
- Identitet potpisnika: ime, prezime, e-pošta, broj telefona
- Sadržaj dokumenata: potencijalno osetljivi lični podaci (ugovori o radu, zdravstveni podaci, finansijski podaci)
- Podaci iz audit trail-a: IP adresa, vremenski žig, user-agent
- Bihejvioralni podaci: trag ručnog potpisa na tableti (ako je biometrijski QES)
Hostovanje i transferi van EU
RGPD zahteva da se lični podaci prebacuju van EU samo prema zemljama koje pružaju odgovarajući nivo zaštite ili pod odgovarajućim garan cijama (SCC, BCR). Za rešenja za potpise, to znači:
- Hostovanje u EU → nativan transfer, bez dodatnih formalnosti
- Hostovanje u SAD-u sa SCC-om → moguće, ali rezidualni rizik Cloud Act
- Američka entitet (Cloud Act) → neuklonjivi rizik čak i sa hostovanjem u EU
Američki Cloud Act i elektronski potpis
Cloud Act (2018) omogućava američkim organima da pristupe podacima koje hostuju amerikanske kompanije, čak i ako su podaci skladišteni u Evropi. DocuSign, Adobe Sign i Dropbox Sign su američke kompanije koje su podložne Cloud Act-u. Certyneo je francuska entitet, nije podložna ovoj eksteritorijalnosti.
| Solution | Nivo rizika Cloud Act po rešenju |
|---|---|
| Certyneo | Bez rizika — francuska entitet |
| Yousign | Bez rizika — francuska entitet |
| DocuSign | Rezidualni rizik — američka entitet |
| Adobe Acrobat Sign | Rezidualni rizik — američka entitet |
| Dropbox Sign | Rezidualni rizik — američka entitet |
DPA i pravne osnove
Obrada podataka pomoću rešenja za potpise mora biti zasnovana na važećoj pravnoj osnovi (ugovor, legitimni interes ili saglasnost). Data Processing Agreement (DPA) mora biti zaključen sa pružaocem usluge potpisa. Certyneo nudi RGPD-usklađeni DPA koji se može elektronski potpisati, sa elementima koji se zahtevaju članom 28 RGPD-a.
Preporuke za DPO
- 1Izaberite pružaoca čija je pravna entitet sa sedi štom u EU ili Ujedinjenom Kraljevstvu (nakon Bregzita sa odlukom o adekvatnosti)
- 2Proverite da je hostovanje isključivo u EU, bez replikacije na serverima van EU
- 3Nabavite i potpišite DPA usklađen sa članom 28 RGPD-a
- 4Dokumentujte analizu uticaja (AIPD) ako obrađujete osetljive podatke u vašim dokumentima
- 5Proverite period čuvanja podataka i politiku brisanja na kraju ugovora
RGPD FAQ o elektronskom potpisu
- Da li elektronski potpis uključuje obradu ličnih podataka?
- Da. E-pošta, ime i potencijalno broj telefona potpisnika se prikupljaju. Sadržaj dokumenata može sadržavati i lične podatke. Pružalac usluge potpisa je obrađivač podataka prema RGPD-u, podložan obavezama člana 28.
- Da li je DocuSign usklađen sa RGPD-om?
- DocuSign tvrdi da je usklađen sa RGPD-om i nudi SCC-ove. Međutim, kao američka kompanija, ostaje podložna Cloud Act-u. CNIL je podsetila da Cloud Act kreira neuklonjivi rizik za evropske podatke koje hostuju američke entitete, čak i u EU.
- Da li je Certyneo usklađen sa RGPD-om?
- Da. Certyneo je francuska entitet, hostovana u EU (IONOS Nemačka), nije podložna Cloud Act-u. Podaci su šifrovani u tranzitu (TLS 1.3) i u mirovanju. Certyneo nudi DPA usklađen sa članom 28 RGPD-a.
- Da li je potrebna AIPD za korišćenje rešenja za potpise?
- AIPD se sistematski ne zahteva za standardni elektronski potpis. Obavezna je ako potpisujete dokumente sa osetljivim podacima (zdravstvo, HR sa sindikalnim podacima, itd.) ili ako vaša upotreba potpisa uključuje profilisanje ili nadzor u velikom opsegu.