Elektronisk signering och GDPR: guide för dataskyddsombud

Vilka personuppgifter behandlar en signeringslösning?

En elektronisk signeringsplattform behandlar flera kategorier av personuppgifter.

• Signerares identitet: namn, förnamn, e-postadress, telefonnummer
• Dokumentinnehål: potentiellt känsliga personuppgifter (arbetsavtal, hälsodata, finansiell information)
• Granskningsloggdata: IP-adress, tidsstämpel, user-agent
• Beteendedata: handskriven signaturstil på surfplatta (om biometrisk QES)

Värdskap och överföringar utanför EU

GDPR föreskriver att personuppgifter endast får överföras utanför EU till länder som erbjuder en adekvat skyddsnivå eller under lämpliga garantier (SCCs, BCRs). För signeringslösningar innebär detta:

• EU-värdskap → inbyggd överföring, inga ytterligare formaliteter
• US-värdskap med SCCs → möjligt men residual Cloud Act-risk
• US-enhet (Cloud Act) → risk som inte kan elimineras även med EU-värdskap

Amerikansk Cloud Act och elektronisk signering

Cloud Act (2018) tillåter amerikanska myndigheter att få åtkomst till data som lagras av amerikanska företag, även om data är lagrade i Europa. DocuSign, Adobe Sign och Dropbox Sign är amerikanska företag som omfattas av Cloud Act. Certyneo är en fransk enhet och omfattas inte av denna extraterritorialitet.

Rekommendationer för dataskyddsombud

1. 1Välj en leverantör vars juridiska enhet är registrerad i EU eller Storbritannien (efter Brexit med adekvathetsavgörelse)
2. 2Kontrollera att värdskapet är uteslutande i EU, utan replikering på servrar utanför EU
3. 3Skaffa och signera ett DPA som uppfyller artikel 28 i GDPR
4. 4Dokumentera effektbedömningen (DPIA) om ni behandlar känslig data i era dokument
5. 5Kontrollera datalagringstiden och raderingsriktlinjer vid kontraktets slut

GDPR-frågor om elektronisk signering

Innebär elektronisk signering en behandling av personuppgifter?

Ja. E-postadressen, namnet och eventuellt underteckarens telefonnummer samlas in. Dokumentens innehål kan också innehålla personuppgifter. Signeringsleverantören är en databehandlare enligt GDPR och är föremål för artikel 28:s krav.

Är DocuSign GDPR-kompatibel?

DocuSign säger sig vara GDPR-kompatibel och erbjuder SCCs. Men som ett amerikanskt företag är det fortfarande föremål för Cloud Act. CNIL har påmint om att Cloud Act skapar en icke-eliminerbar risk för europeiska data som lagras av amerikanska enheter, även i EU.

Är Certyneo GDPR-kompatibel?

Ja. Certyneo är en fransk enhet, hostad i EU (IONOS Tyskland), inte föremål för Cloud Act. Data är krypterad under överföring (TLS 1.3) och i vila. Certyneo erbjuder ett DPA som är kompatibelt med artikel 28 i GDPR.

Måste en DPIA genomföras för användning av en signeringslösning?

En DPIA är inte systematiskt obligatorisk för standard elektronisk signering. Den är nödvändig om du signerar dokument som innehåller känslig data (hälsa, HR med fackföreningsdata, etc.) eller om din användning av signering innebär profilering eller övervakning i stor skala.