Elektronski potpis i GDPR: vodič za DPO-je

Koje ličnih podatke obrađuje rešenje za potpis?

Platforma za elektronski potpis obrađuje nekoliko kategorija ličnih podataka.

• Identitet potpisnika: ime, prezime, e-pošta, broj telefona
• Sadržaj dokumenata: potencijalno osetljivi lični podaci (ugovori o radu, zdravstveni podaci, finansijski podaci)
• Podaci audit trail-a: IP adresa, vremenska oznaka, user-agent
• Bihejvioralni podaci: trag ručnog potpisa na tableti (ako je biometrijski QES)

Hostovanje i transferi van EU

GDPR zahteva da se lični podaci prebacuju van EU samo prema zemljama koje pružaju odgovarajući nivo zaštite ili pod odgovarajućim garan cijama (SCC, BCR). Za rešenja za potpise, to znači:

• Hostovanje u EU → nativan transfer, bez dodatnih formalnosti
• Hostovanje u SAD-u sa SCC-om → moguće, ali rezidualni rizik Cloud Act
• Američka entitet (Cloud Act) → neuklonjivi rizik čak i sa hostovanjem u EU

Američki Cloud Act i elektronski potpis

Cloud Act (2018) omogućava američkim vlastima pristup podacima hostovanih od strane američkih pravnih lica, čak i ako su ti podaci skladišteni u Evropi. DocuSign, Adobe Sign i Dropbox Sign su američka preduzeća podložna Cloud Act-u. Certyneo je francuska pravna lica, nije podložna ovoj eksteritorijalnosti.

Preporuke za DPO

1. 1Izaberite pružaoca čija je pravna entitet sa sedi štom u EU ili Ujedinjenom Kraljevstvu (nakon Bregzita sa odlukom o adekvatnosti)
2. 2Proverite da je hostovanje isključivo u EU, bez replikacije na serverima van EU
3. 3Nabavite i potpišite DPA usklađen sa članom 28 GDPR-a
4. 4Dokumentujte analizu uticaja (AIPD) ako obrađujete osetljive podatke u vašim dokumentima
5. 5Proverite period čuvanja podataka i politiku brisanja na kraju ugovora

GDPR FAQ o elektronskom potpisu

Da li elektronski potpis uključuje obradu ličnih podataka?

Da. E-pošta, ime i potencijalno broj telefona potpisnika se prikupljaju. Sadržaj dokumenata može sadržavati i lične podatke. Pružalac usluge potpisa je obrađivač podataka prema GDPR-u, podložan obavezama člana 28.

Da li je DocuSign usklađen sa GDPR-om?

DocuSign tvrdi da je usklađen sa GDPR-om i nudi SCC-ove. Međutim, kao američka kompanija, ostaje podložna Cloud Act-u. CNIL je podsetila da Cloud Act kreira neuklonjivi rizik za evropske podatke koje hostuju američke entitete, čak i u EU.

Da li je Certyneo usklađen sa GDPR-om?

Da. Certyneo je francuska entitet, hostovana u EU (IONOS Nemačka), nije podložna Cloud Act-u. Podaci su šifrovani u tranzitu (TLS 1.3) i u mirovanju. Certyneo nudi DPA usklađen sa članom 28 GDPR-a.

Da li je potrebna AIPD za korišćenje rešenja za potpise?

AIPD se sistematski ne zahteva za standardni elektronski potpis. Obavezna je ako potpisujete dokumente sa osetljivim podacima (zdravstvo, HR sa sindikalnim podacima, itd.) ili ako vaša upotreba potpisa uključuje profilisanje ili nadzor u velikom opsegu.