Elektronik imza ve GDPR: DPO'lar için rehber

İmza çözümü hangi kişisel verileri işler?

Elektronik imza platformu çeşitli kişisel veri kategorilerini işler.

• İmza sahibinin kimliği: ad, soyad, e-posta, telefon numarası
• Belge içeriği: potansiyel olarak hassas kişisel veriler (iş sözleşmeleri, sağlık verileri, finansal veriler)
• Denetim izi verileri: IP adresi, zaman damgası, kullanıcı aracısı
• Davranışsal veriler: tablet üzerinde el yazısı imza izleri (QES biyometrik ise)

Barındırma ve AB dışı aktarımlar

GDPR, kişisel verilerin AB dışına yalnızca yeterli koruma düzeyi sağlayan ülkelere veya uygun garantiler (SCCs, BCRs) altında aktarılmasını gerektirmektedir. İmza çözümleri için bu şu anlama gelmektedir:

• AB barındırması → doğal aktarım, ek formalite yoktur
• SCCs ile ABD barındırması → mümkündür ancak Cloud Act artık risker içerir
• ABD kuruluşu (Cloud Act) → AB barındırılsa bile sorun giderilemeyen risk

Amerikan Cloud Act ve elektronik imza

Cloud Act (2018), Amerikan hukuku tabi şirketlerin barındırdığı verilere Amerikan yetkililerinin erişmesine izin vermektedir; bu veriler Avrupa'da depolanmış olsa bile. DocuSign, Adobe Sign ve Dropbox Sign, Cloud Act'e tabi Amerikan şirketleridir. Certyneo, bu dışa doğru yasal yetki kapsamında olmayan bir Fransız kuruluşudur.

VOP'lar için öneriler

1. 1Yasal merkezi AB veya Birleşik Krallık'ta olan bir sağlayıcı seçiniz (post-Brexit yeterlilik kararı ile)
2. 2Barındırmanın yalnızca AB'de ve AB dışı sunucularda çoğaltma olmaksızın gerçekleştiğini doğrulayınız
3. 3GDPR'nin 28. maddesine uygun bir DPA alınız ve imzalayınız
4. 4Belgelerinizde hassas veriler işliyorsanız etki değerlendirmesini (AIPD) belgelendirin
5. 5Veri saklama süresi ve sözleşme sonunda silme politikasını doğrulayınız

Elektronik imza hakkında GDPR soruları

Elektronik imza, kişisel veri işlenmesine neden olur mu?

Evet. İmzalayan kişinin e-postası, adı ve potansiyel olarak telefon numarası toplanmaktadır. Belgelerin içeriği de kişisel veriler içerebilir. İmza sağlayıcı, GDPR'nin 28. maddesi kapsamında veri işleyenidir.

DocuSign GDPR uyumlu mu?

DocuSign, GDPR uyumlu olduğunu ileri sürmekte ve SCC'ler sunmaktadır. Bununla birlikte, bir Amerikan şirketi olarak Cloud Act'e tabi olmaya devam etmektedir. CNIL, Cloud Act'in AB dışındaki kuruluşlar tarafından barındırılan Avrupa verileri için, AB'de barındırılsa bile sorun giderilemeyen bir risk oluşturduğunu belirtmiştir.

Certyneo GDPR uyumlu mu?

Evet. Certyneo bir Fransız kuruluşu olup, AB'de barındırılmakta (IONOS Almanya) ve Cloud Act'e tabi değildir. Veriler transit sırasında (TLS 1.3) ve beklemede şifrelenmiştir. Certyneo, GDPR'nin 28. maddesine uygun bir DPA sunmaktadır.

İmza çözümü kullanımı için AIPD yapılması gerekli mi?

AIPD, standart elektronik imza için otomatik olarak gerekli değildir. Hassas veriler (sağlık, sendika verilerine sahip İK) içeren belgeler imzalıyorsanız veya imza kullanımınız profilleme veya ölçekte gözetim gerektiriyorsa gereklidir.