Elektronisk signering och RGPD: guide för dataskyddsombud
Införandet av en elektronisk signeringslösning väcker flera RGPD-frågor: var är data lagrade? Vem kan komma åt dem? Finns det Cloud Act-risk? Den här guiden besvarar dessa frågor och förklarar hur man väljer en RGPD-kompatibel lösning för er organisation.
Vilka personuppgifter behandlar en signeringslösning?
En elektronisk signeringsplattform behandlar flera kategorier av personuppgifter.
- Signerares identitet: namn, förnamn, e-postadress, telefonnummer
- Dokumentinnehål: potentiellt känsliga personuppgifter (arbetsavtal, hälsodata, finansiell information)
- Granskningsloggdata: IP-adress, tidsstämpel, user-agent
- Beteendedata: handskriven signaturstil på surfplatta (om biometrisk QES)
Värdskap och överföringar utanför EU
RGPD föreskriver att personuppgifter endast får överföras utanför EU till länder som erbjuder en adekvat skyddsnivå eller under lämpliga garantier (SCCs, BCRs). För signeringslösningar innebär detta:
- EU-värdskap → inbyggd överföring, inga ytterligare formaliteter
- US-värdskap med SCCs → möjligt men residual Cloud Act-risk
- US-enhet (Cloud Act) → risk som inte kan elimineras även med EU-värdskap
Amerikansk Cloud Act och elektronisk signering
Cloud Act (2018) tillåter amerikanska myndigheter att få åtkomst till data som lagras av amerikanska företag, även om data är lagrade i Europa. DocuSign, Adobe Sign och Dropbox Sign är amerikanska företag som omfattas av Cloud Act. Certyneo är en fransk enhet och omfattas inte av denna extraterritorialitet.
| Solution | Cloud Act-risknivå per lösning |
|---|---|
| Certyneo | Ingen risk — fransk enhet |
| Yousign | Ingen risk — fransk enhet |
| DocuSign | Residual risk — amerikansk enhet |
| Adobe Acrobat Sign | Residual risk — amerikansk enhet |
| Dropbox Sign | Residual risk — amerikansk enhet |
DPA och rättslig grund
Behandlingen av data genom en signeringslösning måste bygga på en giltig rättslig grund (kontrakt, berättigat intresse eller samtycke). Ett Data Processing Agreement (DPA) måste slutas med signeringsleverantören. Certyneo erbjuder ett RGPD-kompatibelt DPA som kan signeras elektroniskt och innehåller element som krävs enligt artikel 28 i RGPD.
Rekommendationer för dataskyddsombud
- 1Välj en leverantör vars juridiska enhet är registrerad i EU eller Storbritannien (efter Brexit med adekvathetsavgörelse)
- 2Kontrollera att värdskapet är uteslutande i EU, utan replikering på servrar utanför EU
- 3Skaffa och signera ett DPA som uppfyller artikel 28 i RGPD
- 4Dokumentera effektbedömningen (DPIA) om ni behandlar känslig data i era dokument
- 5Kontrollera datalagringstiden och raderingsriktlinjer vid kontraktets slut
RGPD-frågor om elektronisk signering
- Innebär elektronisk signering en behandling av personuppgifter?
- Ja. E-postadressen, namnet och eventuellt underteckarens telefonnummer samlas in. Dokumentens innehål kan också innehålla personuppgifter. Signeringsleverantören är en databehandlare enligt RGPD och är föremål för artikel 28:s krav.
- Är DocuSign RGPD-kompatibel?
- DocuSign säger sig vara RGPD-kompatibel och erbjuder SCCs. Men som ett amerikanskt företag är det fortfarande föremål för Cloud Act. CNIL har påmint om att Cloud Act skapar en icke-eliminerbar risk för europeiska data som lagras av amerikanska enheter, även i EU.
- Är Certyneo RGPD-kompatibel?
- Ja. Certyneo är en fransk enhet, hostad i EU (IONOS Tyskland), inte föremål för Cloud Act. Data är krypterad under överföring (TLS 1.3) och i vila. Certyneo erbjuder ett DPA som är kompatibelt med artikel 28 i RGPD.
- Måste en DPIA genomföras för användning av en signeringslösning?
- En DPIA är inte systematiskt obligatorisk för standard elektronisk signering. Den är nödvändig om du signerar dokument som innehåller känslig data (hälsa, HR med fackföreningsdata, etc.) eller om din användning av signering innebär profilering eller övervakning i stor skala.